WO2014191179A1 - Method and device for filtering a data packet - Google Patents

Method and device for filtering a data packet Download PDF

Info

Publication number
WO2014191179A1
WO2014191179A1 PCT/EP2014/059486 EP2014059486W WO2014191179A1 WO 2014191179 A1 WO2014191179 A1 WO 2014191179A1 EP 2014059486 W EP2014059486 W EP 2014059486W WO 2014191179 A1 WO2014191179 A1 WO 2014191179A1
Authority
WO
WIPO (PCT)
Prior art keywords
filter
network
rule
configurable area
filter rule
Prior art date
Application number
PCT/EP2014/059486
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2014191179A1 publication Critical patent/WO2014191179A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Definitions

  • the invention relates to a method for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network and a network filter device for this purpose.
  • Network filtering devices so-called security gateways or firewalls, are installed at network boundaries in order to realize a controlled coupling between several differently critical network areas.
  • critical may mean that there are a number of requests for traffic within the network area that must be met.
  • a critical network area compared to a less critical network area will then have more or more stringent requirements.
  • filtering devices that filter network traffic so that only allowed network traffic is allowed through. Admissibility is determined by the filter rules. It is also known to integrate a security gateway as a so-called personal firewall on a device.
  • Process automation there are critical automation areas. These critical automation areas have high requirements for definable functions. For example, a process step with a high reliability must be performed with predetermined parameters. This is to ensure functional safety, also called safety. It is known to logically seal the device configuration of safety components. A distinction can be made between a regular configuration and a safety configuration. The two configurations can be administered via passwords (see "Security-related
  • Safety protocols are known for safety applications. Safety status data is transferred. With the help of
  • Safety protocols make it possible to use a network infrastructure together for safety-related communication and general communication. However, such safety protocols are not protected against intentional attacks or manipulation. Therefore, they are only applicable in a closed network environment.
  • firewalls known from the prior art do not take into account the requirements of a safety-critical network area, for which in particular a freedom from retroactivity on safety-critical systems and a controlled, defined fault behavior must be taken into account.
  • the coupling can be done with an office network.
  • the object of the present invention is therefore to provide an improved method for filtering at least one data packet by means of a network filter device and a network filter device therefor.
  • configurable area is configured separately from the at least one second configurable area by means of a configuration.
  • a threat to functional safety is understood as a state in which the functional safety of the second network is not ensured. is ensured.
  • This may be, for example, the possibility of implementing a process step which involves the processing of a parameter so that a request within the second network is not fulfilled. Such a requirement can be given in particular by not exceeding or falling short of upper and lower threshold values of a parameter.
  • the term functional safety also referred to as safety in the following, thus encompasses all aspects that contribute to the proper performance of functions within the second network. Requirements for filter properties of filter devices to protect a safety-relevant network determine the degree of functional safety.
  • security against attack also referred to as security in the following, includes security requirements which may not be met due to manipulation by an attacker. Accordingly, there is a risk of attack security if it can not be ensured that definable requirements are met.
  • the requirements define the scope and degree of attack security. If, for example, due to a faulty implementation of a network filter device for an attacker, there are possibilities of manipulation, there is a threat to attack security. In particular, confidentiality, availability and integrity should be ensured by ensuring security against attack. As a rule, a data packet as a whole is blocked or forwarded if a threat is recognized due to a component or a feature of the component.
  • At least the first configurable range is formed by a first filter rule, wherein the first filter rule ensures the functional safety and wherein the first Configurable area is configured to modify the first filter rule protected.
  • the first filter rule thus specifies the requirements which are imposed on a data traffic or a data packet which is to be transmitted from the first network to the second network.
  • the first filter specification is designed in such a way that it ensures functional safety, also called safety. This may mean, in particular, that transmission from the first network is not transmitted to the second network if the data packet has components, for example within an address line, which indicate an influence on safety-relevant communication.
  • An indication of an IP address, Ethernet address or protocol number may be such an ingredient.
  • the fact that the first configurable area is configured in a protected manner may mean that it is configured separately. This may mean in particular that the first configurable area can not be configured together with the second configurable area.
  • the first filter rule is changed and a changed first filter rule is generated if a test value that can be entered with a configuration change matches a stored check value.
  • a test value that can be entered with a configuration change matches a stored check value.
  • Enter authentication This may be, for example, a password assigned to a user, for example a password which is known to a group of persons who is authorized to change the configuration.
  • the first filter specification is changed to requirements for specifiable properties.
  • a restricted range is formed within the first configurable range, so that, for example, essential characteristics of the data packet or essential requirements for the data packet must always be met. This happens on the one hand independently of the second configurable range and also independently of a non-configurable range of the first configurable range.
  • an influence on real-time communication can be prevented, for example by no further communication being possible during a time slot reserved for real-time communication or within a virtual local area network reserved for real-time communication, also called virtual local area network (VLAN).
  • VLAN virtual local area network
  • the prevention of overload can always be guaranteed.
  • a safety-related communication can always be blocked, thus guaranteeing no feedback on safety communication.
  • communication via unprotected remote access so-called remote access such as Telnet or simple network management protocol, English Simple Network Management Protocol, SNMP for short, can always be blocked.
  • the first filter specification is sealed.
  • a seal is a special one
  • Protection mechanism for activating a configuration For example, file sealing might require entering a checksum, such as an MD5 hash, a CRC checksum, a SHA1 / SHA256 hash.
  • a seal can not be undone. This ensures that a sealed configuration can not be changed.
  • the first filter specification is replaced by the configuration by an updated filter specification.
  • a safety-related filter specification also called a safety policy, can only be deleted and set up completely new. This particularly increases the assurance of a faulty configuration of the first filter rule.
  • a blocking filter instruction is automatically activated, which can be canceled by setting up and resealing a filter instruction.
  • the first filter rule is replaced by the configuration by a user by the updated filtering rule, if a user authentication by the network filtering device was successful.
  • the user authentication can be realized by common methods, such as a user-specific password input. It is conceivable that additionally a reset of the network filter device is necessary.
  • the updated filter specification is enforced after performing an operation release.
  • the concept of enforcement describes the operating state of the network filter device in which it is active and converts filter specifications according to the configuration. This makes it possible for an internal interface to be deactivated without the operation being enabled, so that no repercussion on the second network or safety network is possible. This ensures a period of maintenance.
  • the at least one second configurable region is formed by a second filter specification and the network filter device calculates a common filter rule from the first filter rule and the second filter rule.
  • a more flexible designed second filter rule can be taken into account by the network filter device, which takes into account in particular aspects of attack security.
  • the second configurable area can be arbitrarily updated by updating the filter rules. Demands placed on the network filter device with regard to attack security can thus be met, as it is possible to react promptly to current threats, in particular the networks. At the same time, however, it is ensured that the boundary conditions required from the safety point of view are not impaired, since these boundary conditions can not be changed together with a security configuration change. A safety approval obtained for a system remains in particular for this purpose.
  • Functional security threats can also be caused by authorized personnel updating network filter rules, for example, due to current IT security threats.
  • authorized personnel updating network filter rules for example, due to current IT security threats.
  • the second filter specification can be updated relatively freely as in a conventional network filter device especially after ordinary user authentication.
  • a secure shell access or ssh access or an HTTPS web configuration server can be used.
  • the common filter specification is enforced by a common filter machine.
  • a so-called policy combiner which calculates the common filter rule, can be part of the common filter machine.
  • Network traffic can pass through the network filter device only insofar as it satisfies both requirements imposed by the first filter specification and by the second filter specification.
  • the first filter specification is enforced by a first filter machine.
  • the first filter specification is enforced by a first filter machine and the second filter specification by a second filter machine.
  • the separate configuration options are clearly defined.
  • the necessary administration accesses for setting up the configuration can thus be designed for the requirements from the point of view of functional security or attack security in each case.
  • the at least one second configurable range is determined by a second filter rule formed, wherein the second filter rule, the attack security is ensured and wherein the at least one second configurable area is configured protected.
  • the functional safety-oriented filter regulations can be kept completely out of the second filter specification. It is also possible to set the second filter specification in a protected manner, for example by user authentication by the network filter device having been successfully carried out before the second filter rule is changed.
  • the second filter rule is changed and a second modified filter rule is generated if a second check value, which can be input with a second configuration change, matches a second stored check value.
  • the second filter rule which is to ensure the security of attack of the second network, not completely new deposited, but can be adjusted. This is particularly advantageous in view of the many necessary updates or updates of a firewall designed to ensure security of attack.
  • the coupling site is activated if the first configurable area has been configured.
  • the transmission of data traffic is thus excluded if a configuration of the network filter device does not exist.
  • a configuration of the network filter device does not exist.
  • no inadmissible data traffic can be transmitted to the second network, since the coupling point is then inactive.
  • the presence of a valid security configuration would therefore not be sufficient to packet packets, because the filter specification, which checks safety aspects, must also be configured in each case.
  • the invention further relates to a network filter device for filtering at least one data packet at a coupling point between a first network and a second network, wherein a component of the at least one data packet can be blocked if the component has at least one feature which is a threat to a functional safety and / or attack security of the second network, comprising a first configurable area and at least a second configurable area, the first configurable being configurable separately from the at least one second configurable area by means of a configuration.
  • the network filter device further comprises at least one further unit, suitable for use according to one of the embodiments or developments described above.
  • the network filter device further comprises a temperature monitoring sensor unit for detecting a physical modification of the network filter device.
  • Figure 1 is a schematic representation of networks with a network filter device according to a first embodiment of the invention
  • Figure 2 is a schematic representation of a network filter device according to a second embodiment of the invention
  • Figure 3 is a schematic representation of a first
  • Figure 4 is a schematic representation of a part of a
  • Figure 5 is a schematic representation of the second
  • Figure 6 is a schematic representation of a network filter device according to a sixth embodiment of the invention.
  • Figure 7 is a schematic representation of a network filter device according to a seventh embodiment of the invention
  • Figure 8 is a schematic representation of a network filter device according to an eighth embodiment of the invention.
  • FIG. 1 shows a network filter device 1 at a coupling point between a first network 100 and a second network 200.
  • a data packet 300 is to be transmitted from the first network 100 to the second network 200.
  • the first network 100 is, for example, an office network.
  • the second network 200 is in particular a safety network.
  • safety network describes an environment in which high demands are placed on ensuring defined functionalities. In particular, it may be a rail automation network, a vehicle control network, an energy automation network Manufacturing automation network or a process automation network act.
  • Messages or data packets transmitted in these safety networks must be checked to ensure that they do not contain any inadmissible components. For example, a schedule update is to be sent from the first network 100 to the second network 200 or rail automation network. An illegal component is present in particular when a message is transmitted within a communication, which leads to instructions being implemented which result in a malfunction of the automation system, for example, or cause damage in a similar manner. Within a safety network, it must therefore be ensured that a functional safety SF is not endangered. For example, a function or a parameter of a function should not be able to be influenced on the basis of a communication which does not originate from the second network 200 but, for example, from the first network 100. For this purpose, features of the data packet 300 are analyzed.
  • a data packet is not transmitted from the first network 100 into the second network 200 if the data packet has components within an address line that indicate an influence on safety-relevant communication.
  • An indication of an IP address, Ethernet address, or protocol number identifying communication partners within the second network 200, such as two lane automation network controllers Gl, G2, may be such.
  • an attack security SC should also not be jeopardized.
  • Threat to attack security SC occurs when, for example, an attacker intentionally attempts to intercept communications or more generally intentionally attempts to manipulate a data packet 300.
  • the protection against threats against attackers, ie the protection of the attack security SC is thereby re- be adapted to protect devices Gl, G2 within the second network 200 from tampering.
  • the data packet 300 is checked by means of a common filter machine M12.
  • the common filter machine M12 implements a common filter specification F12.
  • the common filter specification F12 is calculated from a first filter specification Fl, which ensures the functional safety SF, and a second filter instruction F2, which ensures the attack safety SC.
  • the first filter instruction Fl and the second filter instruction F2 are each configured via separate administration accesses.
  • a first configurable area 10 and at least one second configurable area 20 separate from the first configurable area 10 are provided.
  • the second configurable area 20 is accessible independently of the first configurable area 10 to allow periodically necessary updates of the second filter rule F2.
  • a security policy for setting the second filter specification F2 via a removable configuration memory such as an SD card or a USB card is configurable.
  • FIG. 2 shows how the first filter specification Fl and the second filter specification F2 are respectively enforced via a separate filter machine, namely a first filter machine M1 and a second filter machine M2.
  • a separate filter machine namely a first filter machine M1 and a second filter machine M2.
  • the data packet 300 first passes through the first filter machine M1 and is thereby checked for security aspects. Subsequently, the checking of the data packet 300 is carried out for safety aspects. If the data packet 300 passes both tests, the data traffic is forwarded to the second network 200. This results in an effective
  • FIG. 3 illustrates how within the first configurable range 10 a first filter specification Fl can be restrictively changed.
  • the first filter specification Fl is changed and an altered first filter specification Fl 'is generated.
  • an input test value P by a user who wants to make the configuration change is entered.
  • a stored check value RP is stored, with the aid of which a user can be authenticated. This ensures that a configuration change can not be made by any user.
  • FIG. 4 shows how an updated filter specification FA is generated by means of a configuration K from the first filter specification F1.
  • the updated filter instruction FA completely replaces the first filter instruction F1.
  • a first filter specification F1 can not be changed. In particular, this is advantageous to minimize misconfiguration.
  • Performing an operation release BF may involve actuating a local or local key switch or a similar local operating element of the network filter device.
  • the interface between the first network 100 and the second network 200 is activated only after the operational release BF has been established.
  • a first filter instruction F1 which has been sealed, can only be deleted and reconfigured. Again, this is a configuration access advantageously with a user authentication to secure.
  • the configuration K may require that, in addition to configuration data, a password for user identification or a checksum for ensuring data integrity be provided, which protects against inadmissible or erroneous configuration.
  • FIG. 5 schematically shows how the second filter specification F2 is also changed by means of a configuration K protected by user authentication and a second modified filter specification F2 1 is generated.
  • a second test value P2 which can be input with a second configuration change is compared with a second stored test value RP2.
  • a common filter specification F12 is calculated from the first filter specification Fl and the second filter specification F2 by means of a policy combiner.
  • the common filter specification F12 is enforced on the one hand via a common filter machine Ml2.
  • a first filter machine M1 passes through the first filter specification F1.
  • the safety policy which is defined by the first filter instruction F1 is enforced twice.
  • a particularly high degree of protection is achieved since two separate filter machines or filter engines enforce the safety policy.
  • the first filter specification F1 can serve as a safety configuration to analyze the network traffic occurring at the network interface NI of the network filter device oriented to the second network 200.
  • a network device 31, a so-called Networktap is provided in order to access the network traffic, in particular the data packet 300.
  • the data packet 300 is evaluated by a monitoring machine 32 or monitoring engine.
  • the network interface NI is disabled by providing a signal to Fail Silent.
  • an analysis device 33 is provided for analyzing the configured second filter specification F2.
  • the security policy is analyzed and checked whether this also meets the requirements of the safety policy, i. E. also covers the first filter regulation Fl with.
  • the configuration K of the specifications for the first filter specification Fl is again carried out separately via the first configurable region 10. Enforced by a filter machine M2 then only the second filter rule F2. If the analysis device 33 recognizes that the security requirements are not covered by the security policy, the network interface NI directed to the second network 200 can again be deactivated via a fail-silent signal.
  • two separate partitions can be replaced by a hypervisor, such as the
  • Operating system PikeOS be realized.
  • the two separate partitions are each separated by the hypervisor. Communication is not possible directly, but only under the control of the hypervisor.
  • An integrated realization is possible, with software implementations separated by partitioning or a microvisor being logically separated from one another.
  • the configurable network t leverages, in particular the security policy with the designated filter machine, by a remote solution, ie a hosted firewall, be realized.
  • the present invention provides a firewall solution with at least two separately configurable filter policies. This allows different constraints to be applied to the way the configuration can be set up and updated. There is a relatively static eligible part and a configurable, updatable part. It ensures that even configuration errors in the firewall security rules have no effect on essential safety features. Certificates that certify the functional security of a plant remain valid for a longer period of time, while still ensuring a currently configured security firewall.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for filtering at least one data packet by means of a network filtering device (1) at a coupling point between a first network (100) and a second network (200) and to a network filtering device therefor, wherein at least one constituent of the at least one data packet (300) is blocked if a threat to functional safety and/or security against attacks of the second network is detected. A first configurable region (10) and at least one second configurable region (20) are provided, and the first configurable region is configured separately from the at least one second configurable region.

Description

Beschreibung description
VERFAHREN UND VORRICHTUNG ZUM FILTERN EINES DATENPAKETES METHOD AND DEVICE FOR FILTERING A DATA PACKAGE
Die Erfindung betrifft ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk und eine Netzwerkfiltereinrichtung hier- für. The invention relates to a method for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network and a network filter device for this purpose.
Netzwerkfiltereinrichtungen, sogenannte Security Gateways oder Firewalls, werden an Netzwerkgrenzen installiert, um eine kontrollierte Kopplung zwischen mehreren unterschiedlich kritischen Netzwerkbereichen zu realisieren. Kritisch kann insbesondere bedeuten, dass eine Anzahl an Anforderungen an Datenverkehr innerhalb des Netzwerkbereichs besteht, welche erfüllt sein muss. Ein kritischer Netzwerkbereich im Vergleich zu einem weniger kritischen Netzwerkbereich weist dann mehr oder strengere Anforderungen auf. Network filtering devices, so-called security gateways or firewalls, are installed at network boundaries in order to realize a controlled coupling between several differently critical network areas. In particular, critical may mean that there are a number of requests for traffic within the network area that must be met. A critical network area compared to a less critical network area will then have more or more stringent requirements.
Es gibt Filtereinrichtungen, durch welche eine Filterung des NetzWerkverkehrs erfolgt, sodass nur zulässiger Netzwerkverkehr durchgelassen wird. Die Zulässigkeit wird durch die Fil- terregeln festgelegt. Es ist auch bekannt, ein Security Gateway als sogenannt Personal Firewall auf einem Gerät zu integrieren . There are filtering devices that filter network traffic so that only allowed network traffic is allowed through. Admissibility is determined by the filter rules. It is also known to integrate a security gateway as a so-called personal firewall on a device.
In industriellen Automatisierungssystemen, wie beispielsweise der Bahn-Automatisierung, Fertigungs-Automatisierung oderIn industrial automation systems, such as the railway automation, manufacturing automation or
Prozess-Automatisierung, bestehen kritische Automatisierungsbereiche. Diese kritischen Automatisierungsbereiche weisen hohe Anforderungen an festlegbare Funktionen auf. Beispielsweise muss ein Prozessschritt mit einer hohen Zuverlässigkeit mit vorgegebenen Parametern durchgeführt werden. Damit soll die funktionale Sicherheit, auch Safety genannt, sichergestellt werden. Es ist bekannt, bei Safety-Komponenten die Gerätekonfiguration logisch zu versiegeln. Dabei kann zwischen einer regulären Konfiguration und einer Safety-Konfiguration unterschieden werden. Die beiden Konfigurationen sind über Passwörter administrierbar (s. hierzu "Sicherheitsgerichtetes Process automation, there are critical automation areas. These critical automation areas have high requirements for definable functions. For example, a process step with a high reliability must be performed with predetermined parameters. This is to ensure functional safety, also called safety. It is known to logically seal the device configuration of safety components. A distinction can be made between a regular configuration and a safety configuration. The two configurations can be administered via passwords (see "Security-related
Steuerrelais Safety, Handbuch", A. Dielmann und B. Papst, Januar 2013) .  Control Relay Safety, Handbook ", A. Dielmann and B. Papst, January 2013).
Ferner sind für Safety-Anwendungen Safety-Protokolle bekannt. Dabei werden Safety-Statusdaten übertragen. Mit Hilfe vonFurthermore, safety protocols are known for safety applications. Safety status data is transferred. With the help of
Safety-Protokollen wird ermöglicht, eine Netzwerkinfrastruktur gemeinsam für Safety bezogene Kommunikation und allgemeine Kommunikation zu benutzen. Solche Safety- Protokolle sind jedoch nicht gegen absichtliche Angriffe oder Manipulationen geschützt. Daher sind sie nur in einer geschlossenen Netzwerkumgebung anwendbar . Safety protocols make it possible to use a network infrastructure together for safety-related communication and general communication. However, such safety protocols are not protected against intentional attacks or manipulation. Therefore, they are only applicable in a closed network environment.
Die Sicherheit von verfügbaren Firewalls hängt davon ab, dass Filterregeln korrekt konfiguriert sind. Filterregeln müssen dabei im Allgemeinen regelmäßig aktualisiert werden, um neue Bedrohungen oder eine geänderte Netzwerkkonfiguration zu berücksichtigen. Implementierungsfehler in einer Firewall müssen durch das Einspielen von sogenannten Patches korrigiert werden . The security of available firewalls depends on filtering rules being configured correctly. Filter rules generally need to be updated regularly to accommodate new threats or a changed network configuration. Implementation errors in a firewall must be corrected by installing so-called patches.
Aus dem Stand der Technik bekannte Firewalls berücksichtigen allerdings nicht die Anforderungen eines Safety-kritischen Netzwerkbereichs, für welche insbesondere eine Rückwirkungs - freiheit auf Safety-kritische Systeme und ein kontrolliertes, definiertes Fehlerverhalten zu berücksichtigen sind. However, firewalls known from the prior art do not take into account the requirements of a safety-critical network area, for which in particular a freedom from retroactivity on safety-critical systems and a controlled, defined fault behavior must be taken into account.
Es besteht der Trend, auch kritische Automatisierungsbereiche mit allgemeinen Netzen zu koppeln. Dabei kann beispielsweise die Kopplung mit einem Büronetz erfolgen. There is a trend to couple even critical automation areas with general networks. In this case, for example, the coupling can be done with an office network.
Es besteht daher ein Bedarf an einer Netzwerkfiltereinrichtung zur sicheren und zuverlässigen Kopplung von Netzwerkbe- reichen oder Netzwerken, welche die besonderen Anforderungen von Safety-relevanten Netzwerkbereichen berücksichtigen. There is therefore a need for a network filter device for the secure and reliable coupling of network range or networks that take into account the special requirements of safety-relevant network areas.
Die Aufgabe der vorliegenden Erfindung besteht daher darin, ein verbessertes Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung und eine Netzwerkfiltereinrichtung hierfür bereitzustellen. The object of the present invention is therefore to provide an improved method for filtering at least one data packet by means of a network filter device and a network filter device therefor.
Diese Aufgabe wird durch ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung und eine Netzwerkfiltereinrichtung hierfür gelöst. Vorteilhafte Ausführungsformen und Weiterbildungen sind in den Unteransprüchen angegeben. Die im Folgenden genannten Vorteile müssen nicht notwendigerweise durch die Gegenstände der unabhängigen Patentansprüche erzielt werden. Es kann sich vielmehr auch um Vorteile handeln, welche lediglich durch einzelne Ausführungsformen oder Weiterbildungen erzielt werden. This object is achieved by a method for filtering at least one data packet by means of a network filter device and a network filter device for this purpose. Advantageous embodiments and further developments are specified in the subclaims. The advantages mentioned below need not necessarily be achieved by the subject-matter of the independent patent claims. Rather, it may also be advantages, which are achieved only by individual embodiments or developments.
Es wird ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk vorgeschlagen, wobei mindestens ein Bestandteil des mindestens einen Datenpaketes blockiert wird, falls in dem mindestens einen Bestandteil mindestens ein Merkmal erkannt wird, welches auf eine Gefährdung einer funktionalen Sicherheit und/oder einer Angriffssicherheit des zweiten Netzwerkes hindeutet, wobei die Netzwerkfiltereinrichtung einen ersten konfigurierbaren Bereich und mindestens einen zweiten konfigurierbaren Bereich aufweist und der erste A method is proposed for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network, wherein at least one component of the at least one data packet is blocked if at least one feature is detected in the at least one component indicates a threat to a functional security and / or a security of attack of the second network, wherein the network filter device has a first configurable area and at least one second configurable area, and the first one
konfigurierbare Bereich separat von dem mindestens einen zweiten konfigurierbaren Bereich mittels einer Konfiguration konfiguriert wird. configurable area is configured separately from the at least one second configurable area by means of a configuration.
Unter einer Gefährdung einer funktionalen Sicherheit wird in der vorliegenden Anmeldung ein Zustand verstanden, in welchem die funktionale Sicherheit des zweiten Netzwerkes nicht si- chergestellt ist. Es kann sich dabei beispielsweise um die Möglichkeit der Umsetzung eines Prozessschrittes handeln, welcher die Bearbeitung eines Parameters beinhaltet, sodass eine Anforderung innerhalb des zweiten Netzwerkes nicht er- füllt wird. Eine solche Anforderung kann insbesondere gegeben sein, indem obere und untere Schwellenwerte eines Parameters nicht über- bzw. unterschritten werden dürfen. Der Begriff der funktionalen Sicherheit, im Folgenden auch Safety genannt, umfasst damit alle Aspekte, welche dazu beitragen, dass Funktionen innerhalb des zweiten Netzwerkes ordnungsgemäß durchgeführt werden. Anforderungen an Filtereigenschaften von Filtereinrichtungen zum Schutz eines Safety-relevanten Netzwerkes legen den Grad einer funktionalen Sicherheit fest. Der Begriff der Angriffssicherheit, im Folgenden auch Securi- ty genannt, umfasst dagegen Sicherheitsanforderungen, welche aufgrund einer Manipulation durch einen Angreifer möglicherweise nicht erfüllt werden. Eine Gefährdung einer Angriffssicherheit liegt dementsprechend vor, wenn nicht sichergestellt werden kann, dass festlegbare Anforderungen erfüllt werden. Die Anforderungen definieren dabei den Umfang und den Grad der Angriffssicherheit. Sind also beispielsweise aufgrund einer fehlerhaften Implementierung einer Netzwerkfiltereinrichtung für einen Angreifer Möglichkeiten einer Manipulation vorhanden, so besteht eine Gefährdung der Angriffssicherheit. Es sollen durch das Sicherstellen der Angriffssicherheit insbesondere Vertraulichkeit, Verfügbarkeit und Integrität sichergestellt werden. In der Regel wird ein Datenpaket als Ganzes blockiert oder weitergeleitet, wenn aufgrund eines Bestandteiles oder eines Merkmales des Bestandteiles eine Gefährdung erkannt wird. In the present application, a threat to functional safety is understood as a state in which the functional safety of the second network is not ensured. is ensured. This may be, for example, the possibility of implementing a process step which involves the processing of a parameter so that a request within the second network is not fulfilled. Such a requirement can be given in particular by not exceeding or falling short of upper and lower threshold values of a parameter. The term functional safety, also referred to as safety in the following, thus encompasses all aspects that contribute to the proper performance of functions within the second network. Requirements for filter properties of filter devices to protect a safety-relevant network determine the degree of functional safety. On the other hand, the term security against attack, also referred to as security in the following, includes security requirements which may not be met due to manipulation by an attacker. Accordingly, there is a risk of attack security if it can not be ensured that definable requirements are met. The requirements define the scope and degree of attack security. If, for example, due to a faulty implementation of a network filter device for an attacker, there are possibilities of manipulation, there is a threat to attack security. In particular, confidentiality, availability and integrity should be ensured by ensuring security against attack. As a rule, a data packet as a whole is blocked or forwarded if a threat is recognized due to a component or a feature of the component.
Gemäß einer vorteilhaften Ausführungsform wird mindestens der erste konfigurierbare Bereich durch eine erste Filtervorschrift gebildet, wobei die erste Filtervorschrift die funktionale Sicherheit sicherstellt und wobei der erste konfigurierbare Bereich zum Verändern der ersten Filtervorschrift geschützt konfiguriert wird. According to an advantageous embodiment, at least the first configurable range is formed by a first filter rule, wherein the first filter rule ensures the functional safety and wherein the first Configurable area is configured to modify the first filter rule protected.
Die erste Filtervorschrift legt damit die Anforderungen fest, welche an einen Datenverkehr oder an ein Datenpaket, welche von dem ersten Netzwerk in das zweite Netzwerk übertragen werden sollen, gestellt werden. Dabei wird die erste Filtervorschrift derart ausgestaltet, dass sie die funktionale Sicherheit, auch Safety genannt, sicherstellt. Dies kann insbe- sondere bedeuten, dass aus dem ersten Netzwerk nicht in das zweite Netzwerk übertragen wird, falls das Datenpaket Bestandteile aufweist, beispielsweise innerhalb einer Adresszeile, die auf eine Beeinflussung einer Safety-relevanten Kommunikation hindeuten. Eine Angabe einer IP-Adresse, Ether- net -Adresse oder Protokoll -Nummer kann ein solcher Bestandteil sein. The first filter rule thus specifies the requirements which are imposed on a data traffic or a data packet which is to be transmitted from the first network to the second network. The first filter specification is designed in such a way that it ensures functional safety, also called safety. This may mean, in particular, that transmission from the first network is not transmitted to the second network if the data packet has components, for example within an address line, which indicate an influence on safety-relevant communication. An indication of an IP address, Ethernet address or protocol number may be such an ingredient.
Dass der erste konfigurierbare Bereich geschützt konfiguriert wird, kann insbesondere bedeuten, dass er separat konfigu- riert wird. Dies kann insbesondere bedeuten, dass der erste konfigurierbare Bereich nicht gemeinsam mit dem zweiten konfigurierbaren Bereich konfiguriert werden kann. In particular, the fact that the first configurable area is configured in a protected manner may mean that it is configured separately. This may mean in particular that the first configurable area can not be configured together with the second configurable area.
Gemäß einer vorteilhaften Ausführungsform wird die erste Fil- tervorschrift verändert und eine veränderte erste Filtervorschrift erzeugt, falls ein mit einer Konfigurationsänderung eingebbarer Prüfwert mit einem hinterlegten Prüfwert übereinstimmt . Für ein Konfigurieren zu Zwecken einer Konfigurationsänderung, d.h. zur Anpassung der ersten Filtervorschrift, ist es nötig, den eingebbaren Prüfwert zu Zwecken der According to an advantageous embodiment, the first filter rule is changed and a changed first filter rule is generated if a test value that can be entered with a configuration change matches a stored check value. For configuration for purposes of configuration change, i. For adaptation of the first filter specification, it is necessary to use the input test value for the purposes of
Authentisierung einzugeben. Dabei kann es sich beispielsweise um ein einem Nutzer zugeordnetes Passwort handeln, beispiels- weise ein Passwort, welches einem Personenkreis bekannt ist, welcher zur Konfigurationsänderung berechtigt ist. Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift bis auf Anforderungen an vorgebbare Eigenschaften verändert . Somit wird ein eingeschränkt veränderbarer Bereich innerhalb des ersten konfigurierbaren Bereiches gebildet, sodass beispielsweise essentielle Eigenschaften des Datenpaketes oder essentielle Anforderungen an das Datenpaket immer erfüllt werden müssen. Dies geschieht dann einerseits unabhängig von dem zweiten konfigurierbaren Bereich sowie außerdem unabhängig von einem nicht konfigurierbaren Bereich des ersten konfigurierbaren Bereiches. Dadurch kann insbesondere eine Beeinflussung von Echtzeit -Kommunikation verhindert werden, beispielsweise indem während eines für Echtzeit-Kommunikation reservierten Zeitslots oder innerhalb eines für Echtzeit- Kommunikation reservierten virtuellen lokalen Netzwerkes, auch Virtual local area network (VLAN) genannt, keine weitere Kommunikation möglich ist. Auch das Verhindern einer Überlast kann so stets gewährleistet werden. Ferner kann eine Safety- bezogene Kommunikation stets blockiert werden und somit eine Rückwirkungsfreiheit auf Safety-Kommunikation garantiert werden. Ferner kann auch eine Kommunikation über ungeschützte entfernte Zugänge, sogenannte Remote-Zugänge wie Telnet oder einfaches Netzwerkverwaltungsprotokoll, englisch Simple Net- work Management Protocol, kurz SNMP, stets blockiert werden. Enter authentication. This may be, for example, a password assigned to a user, for example a password which is known to a group of persons who is authorized to change the configuration. According to an advantageous embodiment, the first filter specification is changed to requirements for specifiable properties. Thus, a restricted range is formed within the first configurable range, so that, for example, essential characteristics of the data packet or essential requirements for the data packet must always be met. This happens on the one hand independently of the second configurable range and also independently of a non-configurable range of the first configurable range. In this way, in particular an influence on real-time communication can be prevented, for example by no further communication being possible during a time slot reserved for real-time communication or within a virtual local area network reserved for real-time communication, also called virtual local area network (VLAN). Also, the prevention of overload can always be guaranteed. Furthermore, a safety-related communication can always be blocked, thus guaranteeing no feedback on safety communication. Furthermore, communication via unprotected remote access, so-called remote access such as Telnet or simple network management protocol, English Simple Network Management Protocol, SNMP for short, can always be blocked.
Gemäß einer Weiterbildung wird die erste Filtervorschrift versiegelt . Unter einer Versiegelung versteht man einen speziellen According to a development, the first filter specification is sealed. A seal is a special one
Schutzmechanismus zum Aktivieren einer Konfiguration. Zum Versiegeln von Dateien kann beispielsweise das Eingeben einer Prüfsumme erforderlich sein, wie beispielsweise ein MD5-Hash- Wert, eine CRC-Prüfsumme, ein SHA1-/SHA256-Hashwert . Eine Versiegelung kann nicht rückgängig gemacht werden. So kann gewährleistet werden, dass eine versiegelte Konfiguration nicht geändert werden kann. Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift mittels der Konfiguration durch eine aktualisierte Filtervorschrift ersetzt. Im Fall einer Versiegelung kann eine Safety-bezogene Filtervorschrift, auch Safety Policy genannt, nur gelöscht und vollständig neu eingerichtet werden. Dies erhöht insbesondere die Sicherstellung einer fehlerhaften Konfiguration der ersten Filtervorschrift. In einer Variante wird beim Löschen der versiegelten Safety-bezogenen Filtervorschrift automatisch eine sperrende Filtervorschrift aktiviert, die durch Einrichten und erneute Versiegelung einer Filtervorschrift aufhebbar ist . Gemäß einer weiteren vorteilhaften Ausführungsform wird die erste Filtervorschrift mittels der Konfiguration durch einen Nutzer durch die aktualisierte Filtervorschrift ersetzt, falls eine Nutzer-Authentifizierung durch die Netzwerkfiltereinrichtung erfolgreich war. Protection mechanism for activating a configuration. For example, file sealing might require entering a checksum, such as an MD5 hash, a CRC checksum, a SHA1 / SHA256 hash. A seal can not be undone. This ensures that a sealed configuration can not be changed. According to an advantageous embodiment, the first filter specification is replaced by the configuration by an updated filter specification. In the case of a seal, a safety-related filter specification, also called a safety policy, can only be deleted and set up completely new. This particularly increases the assurance of a faulty configuration of the first filter rule. In one variant, when the sealed safety-related filter instruction is deleted, a blocking filter instruction is automatically activated, which can be canceled by setting up and resealing a filter instruction. According to a further advantageous embodiment, the first filter rule is replaced by the configuration by a user by the updated filtering rule, if a user authentication by the network filtering device was successful.
Die Nutzer-Authentifizierung kann über gängige Verfahren realisiert werden, wie beispielsweise eine nutzerspezifische Passworteingabe. Es ist dabei denkbar, dass zusätzlich ein Zurücksetzen der Netzwerkfiltereinrichtung nötig ist. The user authentication can be realized by common methods, such as a user-specific password input. It is conceivable that additionally a reset of the network filter device is necessary.
Gemäß einer vorteilhaften Ausführungsform wird die aktualisierte Filtervorschrift nach einem Durchführen einer Betriebsfreigabe durchgesetzt. Der Begriff des Durchsetzens beschreibt dabei den Betriebszustand der Netzwerkfiltereinrichtung, in welchem diese aktiv ist und Filtervorschriften entsprechend der Konfiguration umsetzt. Dadurch kann es ermöglicht werden, dass ohne erfolgte Betriebsfreigabe eine interne Schnittstelle deaktiviert ist, sodass keine Rückwirkung auf das zweite Netzwerk oder Safety- Netzwerk möglich ist. Somit wird ein Zeitraum einer Wartung abgesichert . Gemäß einer Ausführungsform wird der mindestens eine zweite konfigurierbare Bereich durch eine zweite Filtervorschrift gebildet und durch die Netzwerkfiltereinrichtung eine gemeinsame Filtervorschrift aus der ersten Filtervorschrift und der zweiten Filtervorschrift berechnet. According to an advantageous embodiment, the updated filter specification is enforced after performing an operation release. The concept of enforcement describes the operating state of the network filter device in which it is active and converts filter specifications according to the configuration. This makes it possible for an internal interface to be deactivated without the operation being enabled, so that no repercussion on the second network or safety network is possible. This ensures a period of maintenance. According to one embodiment, the at least one second configurable region is formed by a second filter specification and the network filter device calculates a common filter rule from the first filter rule and the second filter rule.
Somit kann eine flexibler gestaltete zweite Filtervorschrift durch die Netzwerkfiltereinrichtung berücksichtigt werden, welche insbesondere Aspekte der Angriffssicherheit berück- sichtigt. Thus, a more flexible designed second filter rule can be taken into account by the network filter device, which takes into account in particular aspects of attack security.
Dadurch, dass der erste konfigurierbare Bereich separat von dem mindestens einen zweiten konfigurierbaren Bereich konfiguriert wird, kann der zweite konfigurierbare Bereich durch Aktualisierungen der Filtervorschriften beliebig aktualisiert werden. An die Netzwerkfiltereinrichtung gestellte Anforderungen im Hinblick auf die Angriffssicherheit können somit erfüllt werden, da auf aktuelle Bedrohungen, insbesondere der Netzwerke, zeitnah reagiert werden kann. Gleichzeitig wird jedoch gewährleistet, dass die aus Safety-Sicht erforderlichen Randbedingungen nicht beeinträchtigt werden, da diese Randbedingungen nicht gemeinsam mit einer Security- Konfigurationsänderung veränderbar sind. Eine für ein System erhaltene Safety-Zulassung bleibt dafür insbesondere erhal- ten. By configuring the first configurable area separately from the at least one second configurable area, the second configurable area can be arbitrarily updated by updating the filter rules. Demands placed on the network filter device with regard to attack security can thus be met, as it is possible to react promptly to current threats, in particular the networks. At the same time, however, it is ensured that the boundary conditions required from the safety point of view are not impaired, since these boundary conditions can not be changed together with a security configuration change. A safety approval obtained for a system remains in particular for this purpose.
Gefährdungen für die funktionale Sicherheit können auch dadurch entstehen, dass berechtigtes Personal Netzwerkfilterregeln aktualisieren möchte, beispielsweise aufgrund von aktu- eilen IT-Security-Bedrohungen . Es besteht insbesondere dieFunctional security threats can also be caused by authorized personnel updating network filter rules, for example, due to current IT security threats. There is in particular the
Gefahr, dass im Rahmen einer Störungssuche vorrübergehend sogenannte Bypass -Regeln konfiguriert werden oder eine Netzwerkfiltereinrichtung durch Umstecken von Netzverbindungen überbrückt wird, wodurch nicht länger sichergestellt ist, dass eine Safety-bezogene Policy durchgesetzt wird. Danger that as part of a troubleshooting so-called bypass rules are configured temporarily or a network filter device is bridged by plugging network connections, which is no longer ensured that a safety-related policy is enforced.
Die zweite Filtervorschrift kann dabei relativ frei wie bei einer herkömmlichen Netzwerkfiltereinrichtung aktualisierbar sein, insbesondere nach einer gewöhnlichen Nutzer-Authenti - sierung. Dabei kann insbesondere ein Secure Shell -Zugang oder ssh-Zugang oder ein HTTPS-Web-Konfigurationsserver verwendet werden . The second filter specification can be updated relatively freely as in a conventional network filter device especially after ordinary user authentication. In particular, a secure shell access or ssh access or an HTTPS web configuration server can be used.
Gemäß einer Ausführungsform wird die gemeinsame Filtervorschrift durch eine gemeinsame Filtermaschine durchgesetzt. According to one embodiment, the common filter specification is enforced by a common filter machine.
Ein sogenannter Policy Combiner, der die gemeinsame Filter- Vorschrift berechnet, kann dabei Bestandteil der gemeinsamen Filtermaschine sein. Netzwerkverkehr kann dabei die Netzwerkfiltereinrichtung nur passieren, soweit er beide durch die erste Filtervorschrift und durch die zweite Filtervorschrift vorgegebenen Anforderungen erfüllt. A so-called policy combiner, which calculates the common filter rule, can be part of the common filter machine. Network traffic can pass through the network filter device only insofar as it satisfies both requirements imposed by the first filter specification and by the second filter specification.
Gemäß einer Ausführungsform wird ferner die erste Filtervorschrift durch eine erste Filtermaschine durchgesetzt. According to one embodiment, furthermore, the first filter specification is enforced by a first filter machine.
Dadurch wird erreicht, dass die erste Filtervorschrift dop- pelt durchgesetzt wird. Zum einen wird sie für die Berechnung der gemeinsamen Filtervorschrift verwendet und durch die gemeinsame Filtervorschrift umgesetzt, zum anderen wird das zu prüfende Datenpaket nochmals separat auf das Erfüllen der Anforderungen durch die erste Filtervorschrift geprüft. Dies erhöht den Schutz des zweiten Netzwerkes nochmals. This ensures that the first filter rule is enforced twice. On the one hand, it is used for the calculation of the common filter specification and implemented by the common filter rule; on the other hand, the data packet to be checked is again checked separately for the fulfillment of the requirements by the first filter rule. This increases the protection of the second network again.
Gemäß einer weiteren Ausführungsform wird die erste Filtervorschrift durch eine erste Filtermaschine durchgesetzt und die zweite Filtervorschrift durch eine zweite Filtermaschine. According to a further embodiment, the first filter specification is enforced by a first filter machine and the second filter specification by a second filter machine.
Die separaten Konfigurationsmöglichkeiten sind dabei klar vorgegeben. Die jeweils nötigen Administrationszugänge zum Einrichten der Konfiguration können so auf die Anforderungen aus Sicht der funktionalen Sicherheit oder der Angriffssi- cherheit jeweils ausgelegt werden. The separate configuration options are clearly defined. The necessary administration accesses for setting up the configuration can thus be designed for the requirements from the point of view of functional security or attack security in each case.
Gemäß einer Ausführungsform wird der mindestens eine zweite konfigurierbare Bereich durch eine zweite Filtervorschrift gebildet, wobei durch die zweite Filtervorschrift die Angriffssicherheit sichergestellt ist und wobei der mindestens eine zweite konfigurierbare Bereich geschützt konfiguriert wird . According to one embodiment, the at least one second configurable range is determined by a second filter rule formed, wherein the second filter rule, the attack security is ensured and wherein the at least one second configurable area is configured protected.
Die auf die funktionale Sicherheit abzielenden Filtervorschriften können dabei vollständig aus der zweiten Filtervorschrift herausgehalten werden. Auch das Festlegen der zweiten Filtervorschrift kann geschützt erfolgen, indem beispielswei - se vor Verändern der zweiten Filtervorschrift eine Nutzer- Authentifizierung durch die Netzwerkfiltereinrichtung erfolgreich durchgeführt worden sein muss . The functional safety-oriented filter regulations can be kept completely out of the second filter specification. It is also possible to set the second filter specification in a protected manner, for example by user authentication by the network filter device having been successfully carried out before the second filter rule is changed.
Gemäß einer Ausführungsform wird die zweite Filtervorschrift verändert und eine zweite veränderte Filtervorschrift erzeugt, falls ein mit einer zweiten Konfigurationsänderung eingebbarer zweiter Prüfwert mit einem zweiten hinterlegten Prüfwert übereinstimmt. Dabei muss die zweite Filtervorschrift, welche die Angriffssicherheit des zweiten Netzwerkes gewährleisten soll, nicht vollständig neu hinterlegt werden, sondern kann angepasst werden. Dies ist insbesondere im Hinblick auf die vielen notwendigen Aktualisierungen oder Updates einer auf Sicherstel- lung der Angriffssicherheit ausgelegten Firewall vorteilhaft. According to one embodiment, the second filter rule is changed and a second modified filter rule is generated if a second check value, which can be input with a second configuration change, matches a second stored check value. In this case, the second filter rule, which is to ensure the security of attack of the second network, not completely new deposited, but can be adjusted. This is particularly advantageous in view of the many necessary updates or updates of a firewall designed to ensure security of attack.
Gemäß einer weiteren Ausführungsform wird die Kopplungsstelle aktiviert, falls der erste konfigurierbare Bereich konfiguriert worden ist. According to a further embodiment, the coupling site is activated if the first configurable area has been configured.
Das Übermitteln von Datenverkehr ist somit ausgeschlossen, falls eine Konfiguration der Netzwerkfiltereinrichtung nicht vorhanden ist. Insbesondere bei Wartungsarbeiten oder Aktualisierungsarbeiten an der zweiten Filtervorschrift wird somit sichergestellt, dass kein unzulässiger Datenverkehr in das zweite Netzwerk übermittelt werden kann, da die Kopplungs- stelle dann inaktiv ist. Das Vorhandensein einer gültigen Se- curity-Konfiguration würde demnach nicht ausreichen, um Da- tenpakete passieren zu lassen, da die Filtervorschrift, welche Safety-Aspekte prüft, zusätzlich in jedem Fall konfiguriert sein muss. Die Erfindung betrifft ferner eine Netzwerkfiltereinrichtung zum Filtern mindestens eines Datenpaketes an einer Kopplungs - stelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk, wobei ein Bestandteil des mindestens einen Datenpaketes blockierbar ist, falls der Bestandteil mindestens ein Merkmal aufweist, welches auf eine Gefährdung einer funktionalen Sicherheit und/oder einer Angriffssicherheit des zweiten Netzwerkes hindeutet, umfassend einen ersten konfigurierbaren Bereich und mindestens einen zweiten konfigurierbaren Bereich, wobei der erste konfigurierbare separat von dem mindestens einen zweiten konfigurierbaren Bereichs mittels einer Konfiguration konfigurierbar ist. The transmission of data traffic is thus excluded if a configuration of the network filter device does not exist. In particular, during maintenance or updating of the second filter rule is thus ensured that no inadmissible data traffic can be transmitted to the second network, since the coupling point is then inactive. The presence of a valid security configuration would therefore not be sufficient to packet packets, because the filter specification, which checks safety aspects, must also be configured in each case. The invention further relates to a network filter device for filtering at least one data packet at a coupling point between a first network and a second network, wherein a component of the at least one data packet can be blocked if the component has at least one feature which is a threat to a functional safety and / or attack security of the second network, comprising a first configurable area and at least a second configurable area, the first configurable being configurable separately from the at least one second configurable area by means of a configuration.
Gemäß einer Weiterbildung umfasst die Netzwerkfiltereinrichtung ferner mindestens eine weitere Einheit, geeignet zur Verwendung gemäß einem der oben beschriebenen Ausführungsformen oder Weiterbildungen. According to a further development, the network filter device further comprises at least one further unit, suitable for use according to one of the embodiments or developments described above.
Gemäß einer Ausführungsform umfasst die Netzwerkfiltereinrichtung ferner eine Sensoreinheit zur Temperüberwachung zur Erkennung einer physikalischen Modifikation der Netzwerkfiltereinrichtung . According to one embodiment, the network filter device further comprises a temperature monitoring sensor unit for detecting a physical modification of the network filter device.
Die Erfindung wird nachfolgend mit Ausführungsbeispielen anhand der Figuren näher erläutert. Es zeigen: The invention will be explained in more detail below with exemplary embodiments with reference to the figures. Show it:
Figur 1 eine schematische Darstellung von Netzwerken mit einer Netzwerkfiltereinrichtung gemäß einem ersten Ausführungsbeispiel der Erfindung; Figur 2 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem zweiten Ausführungsbeispiel der Erfindung; Figur 3 eine schematische Darstellung eines ersten Figure 1 is a schematic representation of networks with a network filter device according to a first embodiment of the invention; Figure 2 is a schematic representation of a network filter device according to a second embodiment of the invention; Figure 3 is a schematic representation of a first
konfigurierbaren Bereiches gemäß einem dritten Ausführungsbeispiel der Erfindung; Figur 4 eine schematische Darstellung eines Teils einer  configurable range according to a third embodiment of the invention; Figure 4 is a schematic representation of a part of a
Netzwerkfiltereinrichtung gemäß einem vierten Aus- führungsbeispiel der Erfindung;  Network filter device according to a fourth embodiment of the invention;
Figur 5 eine schematische Darstellung des zweiten Figure 5 is a schematic representation of the second
konfigurierbaren Bereiches;  configurable range;
Figur 6 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem sechsten Ausführungsbeispiel der Erfindung; Figure 6 is a schematic representation of a network filter device according to a sixth embodiment of the invention;
Figur 7 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem siebten Ausführungsbeispiel der Erfindung; Figur 8 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem achten Ausführungsbeispiel der Erfindung. Figure 7 is a schematic representation of a network filter device according to a seventh embodiment of the invention; Figure 8 is a schematic representation of a network filter device according to an eighth embodiment of the invention.
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist. In the figures, functionally identical elements are provided with the same reference numerals, unless stated otherwise.
Figur 1 zeigt eine Netzwerkfiltereinrichtung 1 an einer Kopplungsstelle zwischen einem ersten Netzwerk 100 und einem zweiten Netzwerk 200. Von dem ersten Netzwerk 100 soll ein Datenpaket 300 an das zweite Netzwerk 200 übermittelt werden. Bei dem ersten Netzwerk 100 handelt es sich beispielsweise um ein Büronetzwerk. Bei dem zweiten Netzwerk 200 handelt es sich insbesondere um ein Safety-Netzwerk . Dabei beschreibt der Begriff Safety-Netzwerk eine Umgebung, in welcher hohe Anforderungen an die Sicherstellung von festgelegten Funktionalitäten gestellt werden. Insbesondere kann es sich um ein Bahn-Automatisierungsnetzwerk, ein Fahrzeug- Steuerungsnetzwerk, ein Energie -Automatisierungsnetzwerk, ein Fertigungs-Automatisierungsnetzwerk oder ein Prozess- Automatisierungsnetzwerk handeln . FIG. 1 shows a network filter device 1 at a coupling point between a first network 100 and a second network 200. A data packet 300 is to be transmitted from the first network 100 to the second network 200. The first network 100 is, for example, an office network. The second network 200 is in particular a safety network. The term "safety network" describes an environment in which high demands are placed on ensuring defined functionalities. In particular, it may be a rail automation network, a vehicle control network, an energy automation network Manufacturing automation network or a process automation network act.
In diese Safety-Netzwerke übermittelte Nachrichten oder Da- tenpakete sind darauf zu prüfen, dass sie keine unzulässigen Bestandteile enthalten. Beispielsweise soll eine Fahrplanaktualisierung vom ersten Netzwerk 100 an das zweite Netzwerk 200 oder Bahn-Automatisierungsnetzwerk gesendet werden. Ein unzulässiger Bestandteil liegt insbesondere vor, wenn inner- halb einer Kommunikation eine Nachricht übermittelt wird, welche dazu führt, dass Anweisungen umgesetzt werden, welche eine Fehlfunktion beispielsweise der Automatisierungsanlage zur Folge haben oder in ähnlicher Weise Schaden anrichten. Innerhalb eines Safety-Netzwerkes ist also sicherzustellen, dass eine funktionale Sicherheit SF nicht gefährdet ist. Eine Funktion oder ein Parameter einer Funktion sollen dafür beispielsweise nicht aufgrund einer Kommunikation beeinflussbar sein, welche nicht aus dem zweiten Netzwerk 200 stammt, sondern beispielsweise aus dem ersten Netzwerk 100. Dafür werden Merkmale des Datenpaketes 300 analysiert. Insbesondere wird ein Datenpaket nicht aus dem ersten Netzwerk 100 in das zweite Netzwerk 200 übertragen, falls das Datenpaket Bestandteile innerhalb einer Adresszeile aufweist, die auf eine Beeinflussung einer Safety-relevanten Kommunikation hindeuten. Eine Angabe einer IP-Adresse, Ethernet -Adresse oder Protokoll- Nummer, die Kommunikationspartner innerhalb des zweiten Netzwerkes 200, wie beispielsweise zwei Steuerungsgeräte Gl, G2 des Bahn-Automatisierungsnetzwerkes, identifiziert, kann ein solcher Bestandteil sein. Messages or data packets transmitted in these safety networks must be checked to ensure that they do not contain any inadmissible components. For example, a schedule update is to be sent from the first network 100 to the second network 200 or rail automation network. An illegal component is present in particular when a message is transmitted within a communication, which leads to instructions being implemented which result in a malfunction of the automation system, for example, or cause damage in a similar manner. Within a safety network, it must therefore be ensured that a functional safety SF is not endangered. For example, a function or a parameter of a function should not be able to be influenced on the basis of a communication which does not originate from the second network 200 but, for example, from the first network 100. For this purpose, features of the data packet 300 are analyzed. In particular, a data packet is not transmitted from the first network 100 into the second network 200 if the data packet has components within an address line that indicate an influence on safety-relevant communication. An indication of an IP address, Ethernet address, or protocol number identifying communication partners within the second network 200, such as two lane automation network controllers Gl, G2, may be such.
Gleichzeitig soll bei einer bestehenden Verbindung zwischen dem zweiten Netzwerk 200 mit dem ersten Netzwerk 100 auch eine Angriffssicherheit SC nicht gefährdet sein. Eine Gefährdung der Angriffssicherheit SC liegt vor, wenn beispielsweise ein Angreifer absichtlich versucht, eine Kommunikation abzuhören oder allgemeiner absichtlich versucht, ein Datenpaket 300 zu manipulieren. Der Schutz vor Bedrohungen vor Angreifer, also der Schutz der Angriffssicherheit SC ist dabei re- gelmäßig anzupassen, um Geräte Gl, G2 innerhalb des zweiten Netzwerkes 200 vor Manipulationen zu schützen. At the same time, in the case of an existing connection between the second network 200 and the first network 100, an attack security SC should also not be jeopardized. Threat to attack security SC occurs when, for example, an attacker intentionally attempts to intercept communications or more generally intentionally attempts to manipulate a data packet 300. The protection against threats against attackers, ie the protection of the attack security SC is thereby re- be adapted to protect devices Gl, G2 within the second network 200 from tampering.
Das Datenpaket 300 wird mittels einer gemeinsamen Filterma- schine M12 geprüft. Die gemeinsame Filtermaschine M12 setzt dabei eine gemeinsame Filtervorschrift F12 durch. Die gemeinsame Filtervorschrift F12 wird aus einer ersten Filtervorschrift Fl, welche die funktionale Sicherheit SF sicherstellt, und einer zweiten Filtervorschrift F2, welche die An- griffssicherheit SC sicherstellt, berechnet. Die erste Filtervorschrift Fl sowie die zweite Filtervorschrift F2 werden jeweils über separate Administrationszugänge konfiguriert. Dafür ist ein erster konfigurierbarer Bereich 10 und separat von dem ersten konfigurierbaren Bereich 10 mindestens ein zweiter konfigurierbarer Bereich 20 vorgesehen. Der zweite konfigurierbare Bereich 20 ist unabhängig von dem ersten konfigurierbaren Bereich 10 zugänglich, um regelmäßig notwendige Aktualisierungen der zweiten Filtervorschrift F2 zu ermöglichen. Beispielsweise ist eine Security-Policy zur Fest- legung der zweiten Filtervorschrift F2 über einen wechselbaren Konfigurationsspeicher wie beispielsweise eine SD-Karte oder eine USB-Karte konfigurierbar. Gleichzeitig ist sichergestellt, dass die erste Filtervorschrift Fl nicht über diesen Weg veränderbar ist. The data packet 300 is checked by means of a common filter machine M12. The common filter machine M12 implements a common filter specification F12. The common filter specification F12 is calculated from a first filter specification Fl, which ensures the functional safety SF, and a second filter instruction F2, which ensures the attack safety SC. The first filter instruction Fl and the second filter instruction F2 are each configured via separate administration accesses. For this purpose, a first configurable area 10 and at least one second configurable area 20 separate from the first configurable area 10 are provided. The second configurable area 20 is accessible independently of the first configurable area 10 to allow periodically necessary updates of the second filter rule F2. For example, a security policy for setting the second filter specification F2 via a removable configuration memory such as an SD card or a USB card is configurable. At the same time, it is ensured that the first filter specification Fl can not be changed via this path.
Figur 2 zeigt, wie die erste Filtervorschrift Fl und die zweite Filtervorschrift F2 jeweils über eine eigene Filtermaschine, nämlich eine erste Filtermaschine Ml und eine zweite Filtermaschine M2 durchgesetzt werden. Das Datenpaket 300 durchläuft also beispielsweise zunächst die erste Filtermaschine Ml und wird dabei auf Security-Aspekte hin überprüft. Anschließend erfolgt die Überprüfung des Datenpaketes 300 auf Safety-Aspekte hin. Besteht das Datenpaket 300 beide Prüfungen, so wird der Datenverkehr an das zweite Netzwerk 200 wei- tergeleitet. Dabei ergibt sich also eine effektive FIG. 2 shows how the first filter specification Fl and the second filter specification F2 are respectively enforced via a separate filter machine, namely a first filter machine M1 and a second filter machine M2. For example, the data packet 300 first passes through the first filter machine M1 and is thereby checked for security aspects. Subsequently, the checking of the data packet 300 is carried out for safety aspects. If the data packet 300 passes both tests, the data traffic is forwarded to the second network 200. This results in an effective
Filterpolicy als UND-Verknüpfung aus den zwei separat konfigurierbaren Filterpolicy-Einstellungen . In Figur 3 ist veranschaulicht, wie innerhalb des ersten konfigurierbaren Bereiches 10 eine erste Filtervorschrift Fl restriktiv verändert werden kann. Mittels einer Konfiguration K wird die erste Filtervorschrift Fl verändert und es wird eine veränderte erste Filtervorschrift Fl' erzeugt. Dazu ist es nötig, dass ein eingebbarer Prüfwert P durch einen Nutzer, welcher die Konfigurationsänderung vornehmen möchte, eingegeben wird. In dem ersten konfigurierbaren Bereich 10 ist ein hinterlegter Prüfwert RP hinterlegt, mit Hilfe dessen ein Nutzer authentifiziert werden kann. Somit wird abgesichert, dass eine Konfigurationsänderung nicht durch einen beliebigen Nutzer vorgenommen werden kann. Filter policy as AND from the two separately configurable filter policy settings. FIG. 3 illustrates how within the first configurable range 10 a first filter specification Fl can be restrictively changed. By means of a configuration K, the first filter specification Fl is changed and an altered first filter specification Fl 'is generated. For this purpose, it is necessary that an input test value P by a user who wants to make the configuration change, is entered. In the first configurable area 10, a stored check value RP is stored, with the aid of which a user can be authenticated. This ensures that a configuration change can not be made by any user.
In Figur 4 ist dargestellt, wie mittels einer Konfiguration K aus der ersten Filtervorschrift Fl eine aktualisierte Filtervorschrift FA erzeugt wird. Die aktualisierte Filtervorschrift FA ersetzt damit die erste Filtervorschrift Fl vollständig. Insbesondere mithilfe einer Versiegelung kann damit eine erste Filtervorschrift Fl nicht verändert werden. Insbe- sondere ist dies vorteilhaft, um Fehlkonfigurationen zu minimieren. Um Filtereigenschaften an veränderte Safety- Anforderungen anzupassen, ist es somit nötig, eine vollständig neue Policy zu hinterlegen. Es ist insbesondere vorteilhaft, eine solche Konfigurationsänderung mit einer zu erfol- genden Betriebsfreigabe zu kombinieren. Das Durchführen einer Betriebsfreigabe BF kann dabei beinhalten, dass ein lokaler Taster oder ein lokaler Schlüsselschalter oder ein ähnliches lokales Bedienelement der Netzwerkfiltereinrichtung betätigt werden muss. Insbesondere wird erst nach erfolgter Betriebs - freigäbe BF die Kopplungsstelle zwischen erstem Netzwerk 100 und zweitem Netzwerk 200 aktiviert. Ohne erfolgte Betriebsfreigabe BF ist es nicht möglich, eine interne Schnittstelle der Netzwerkfiltereinrichtung auf einer Kopplungsseite hin zu dem zweiten Netzwerk 200 zu aktivieren, sodass keine Rückwir- kung auf das Safety-relevante Netzwerk, also das zweite Netzwerk 200, möglich ist. Eine erste Filtervorschrift Fl, welche versiegelt wurde, kann insbesondere nur noch gelöscht und neu konfiguriert werden. Auch hier ist ein Konfigurationszugriff vorteilhafterweise mit einer Nutzer-Authentisierung abzusichern. Es kann beispielsweise die Konfiguration K erfordern, dass zusätzlich zu Konfigurationsdaten ein Passwort zur Nutzeridentifikation oder eine Prüfsumme zur Sicherstellung ei- ner Datenintegrität einzugeben ist, welche vor unzulässiger oder fehlerhafter Konfiguration schützt. FIG. 4 shows how an updated filter specification FA is generated by means of a configuration K from the first filter specification F1. The updated filter instruction FA completely replaces the first filter instruction F1. In particular, with the aid of a seal, a first filter specification F1 can not be changed. In particular, this is advantageous to minimize misconfiguration. In order to adapt filter properties to changed safety requirements, it is therefore necessary to define a completely new policy. It is particularly advantageous to combine such a configuration change with an operational release to be effected. Performing an operation release BF may involve actuating a local or local key switch or a similar local operating element of the network filter device. In particular, the interface between the first network 100 and the second network 200 is activated only after the operational release BF has been established. Without operating release BF, it is not possible to activate an internal interface of the network filter device on a coupling side to the second network 200, so that no retroactive effect on the safety-relevant network, ie the second network 200, is possible. In particular, a first filter instruction F1, which has been sealed, can only be deleted and reconfigured. Again, this is a configuration access advantageously with a user authentication to secure. For example, the configuration K may require that, in addition to configuration data, a password for user identification or a checksum for ensuring data integrity be provided, which protects against inadmissible or erroneous configuration.
Figur 5 zeigt schematisch, wie auch die zweite Filtervorschrift F2 mittels einer über Nutzer-Authentisierung ge- schützten Konfiguration K verändert wird und eine zweite veränderte Filtervorschrift F21 erzeugt wird. Dabei wird ein mit einer zweiten Konfigurationsänderung eingebbarer zweiter Prüfwert P2 mit einem zweiten hinterlegten Prüfwert RP2 abgeglichen . FIG. 5 schematically shows how the second filter specification F2 is also changed by means of a configuration K protected by user authentication and a second modified filter specification F2 1 is generated. In this case, a second test value P2 which can be input with a second configuration change is compared with a second stored test value RP2.
In der in Figur 6 dargestellten Variante einer Netzwerkfiltereinrichtung wird aus der ersten Filtervorschrift Fl und der zweiten Filtervorschrift F2 eine gemeinsame Filtervorschrift F12 mittels eines Policy-Combiners berechnet. Durch- gesetzt wird die gemeinsame Filtervorschrift F12 einerseits über eine gemeinsame Filtermaschine Ml2. Zusätzlich setzt eine erste Filtermaschine Ml die erste Filtervorschrift Fl durch. Damit wird die Safety-Policy, welche durch die erste Filtervorschrift Fl definiert ist, zweimal durchgesetzt. Da- durch wird ein besonders hoher Schutz erreicht, da zwei separate Filtermaschinen oder Filter Engines die Safety-Policy durchsetzen. Sollte durch die Kombination der ersten Filtervorschrift Fl mit der zweiten Filtervorschrift F2 ein Filteraspekt aufgrund eines Fehlers in der Berechnung der gemeinsa- men Filtervorschrift F12 nicht durch die gemeinsame Filtermaschine M12 durchsetzbar sein, so wird zusätzlich immer nochmals eine Überprüfung auf Safety-Aspekte hin auf Grundlage der ersten Filtervorschrift Fl durchgeführt. Die aus Safety- Sicht erforderlichen Filterungen werden unabhängig von der Konfiguration oder Implementierung der gemeinsamen Filtermaschine F12 erfüllt. In einer weiteren in Figur 7 dargestellten Variante kann die erste Filtervorschrift Fl als Safety-Konfiguration dazu dienen, den an der zum zweiten Netzwerk 200 ausgerichteten Netzwerkschnittstelle NI der Netzwerkfiltereinrichtung auftreten- den Netzwerkverkehr zu analysieren. Dazu ist eine Netzwerkeinrichtung 31, ein sogenannter Networktap, vorgesehen, um den Netzwerkverkehr, insbesondere das Datenpaket 300, abzugreifen. Das Datenpaket 300 wird durch eine Überwachungsmaschine 32 oder sogenannte Monitoring Engine ausgewertet. In the variant of a network filter device shown in FIG. 6, a common filter specification F12 is calculated from the first filter specification Fl and the second filter specification F2 by means of a policy combiner. The common filter specification F12 is enforced on the one hand via a common filter machine Ml2. In addition, a first filter machine M1 passes through the first filter specification F1. This means that the safety policy, which is defined by the first filter instruction F1, is enforced twice. As a result, a particularly high degree of protection is achieved since two separate filter machines or filter engines enforce the safety policy. If, due to the combination of the first filter specification Fl with the second filter specification F2, a filter aspect can not be enforced by the common filter engine M12 due to an error in the calculation of the common filter specification F12, a check for safety aspects is additionally always based on the first filter regulation Fl performed. The required filtering from the safety point of view is fulfilled independently of the configuration or implementation of the common filter machine F12. In a further variant illustrated in FIG. 7, the first filter specification F1 can serve as a safety configuration to analyze the network traffic occurring at the network interface NI of the network filter device oriented to the second network 200. For this purpose, a network device 31, a so-called Networktap, is provided in order to access the network traffic, in particular the data packet 300. The data packet 300 is evaluated by a monitoring machine 32 or monitoring engine.
Falls unzulässiger Netzwerkverkehr beobachtet wird, wird die Netzwerkschnittstelle NI deaktiviert, indem ein Signal zum Fail Silent bereitgestellt wird. If improper network traffic is observed, the network interface NI is disabled by providing a signal to Fail Silent.
In einer weiteren in Figur 8 dargestellten Variante ist eine Analyseeinrichtung 33 zur Analyse der konfigurierten zweiten Filtervorschrift F2 vorgesehen. Damit wird also die Security- Policy analysiert und überprüft, ob diese auch die Vorgaben der Safety-Policy erfüllt, d.h. auch die erste Filtervorschrift Fl mit abdeckt. Die Konfiguration K der Vorgaben für die erste Filtervorschrift Fl erfolgt über den ersten konfigurierbaren Bereich 10 wiederum separat. Durchgesetzt wird über eine Filtermaschine M2 dann lediglich die zweite Filtervorschrift F2. Erkennt die Analyseeinrichtung 33, dass die Safety-Anforderungen durch die Security- Policy nicht ab- gedeckt werden, kann wiederum die zum zweiten Netzwerk 200 ausgerichtete Netzwerkschnittstelle NI über ein Fail-Silent- Signal deaktiviert werden. In a further variant shown in FIG. 8, an analysis device 33 is provided for analyzing the configured second filter specification F2. Thus, the security policy is analyzed and checked whether this also meets the requirements of the safety policy, i. E. also covers the first filter regulation Fl with. The configuration K of the specifications for the first filter specification Fl is again carried out separately via the first configurable region 10. Enforced by a filter machine M2 then only the second filter rule F2. If the analysis device 33 recognizes that the security requirements are not covered by the security policy, the network interface NI directed to the second network 200 can again be deactivated via a fail-silent signal.
In einer weiteren Realisierungsvariante können zwei separate Partitionen durch einen Hypervisor, wie beispielsweise dasIn a further realization variant, two separate partitions can be replaced by a hypervisor, such as the
Betriebssystem PikeOS, realisiert werden. Die zwei separaten Partitionen werden jeweils separiert voneinander durch den Hypervisor ausgeführt. Eine Kommunikation ist nicht direkt, sondern nur unter Kontrolle des Hypervisors möglich. Es ist dabei eine integrierte Realisierung möglich, wobei über Partitioning oder einen Microvisor separierte Software- Realisierungen voneinander logisch separiert werden. Bei einer verteilten Lösung kann der konfigurierbare Netzwerkfil- tereinrichtungsanteil , insbesondere die Security- Policy mit der dafür vorgesehenen Filtermaschine, durch eine Remote- Lösung, d.h. eine Hosted Firewall, realisiert sein. Operating system PikeOS, be realized. The two separate partitions are each separated by the hypervisor. Communication is not possible directly, but only under the control of the hypervisor. An integrated realization is possible, with software implementations separated by partitioning or a microvisor being logically separated from one another. In a distributed solution, the configurable network teinrichtungsanteil, in particular the security policy with the designated filter machine, by a remote solution, ie a hosted firewall, be realized.
Die vorliegende Erfindung schafft eine Firewall -Lösung mit mindestens zwei getrennt konfigurierbaren Filter-Policies . Dadurch können unterschiedliche Randbedingungen an die Art, wie die Konfiguration eingerichtet und aktualisiert werden kann, umgesetzt werden. Es existieren ein relativ statischer zulassungsfähiger Teil und ein konfigurierbarer, aktualisier barer Teil. Es wird dabei sichergestellt, dass selbst Konfigurationsfehler in den Firewall -Security-Regeln keine Auswir kung auf essentielle Safety-Eigenschaften haben. Zertifikate die die funktionale Sicherheit einer Anlage zertifizieren, bleiben über einen längeren Zeitraum gültig, wobei dennoch eine aktuell konfigurierte Security-Firewall sichergestellt wird . The present invention provides a firewall solution with at least two separately configurable filter policies. This allows different constraints to be applied to the way the configuration can be set up and updated. There is a relatively static eligible part and a configurable, updatable part. It ensures that even configuration errors in the firewall security rules have no effect on essential safety features. Certificates that certify the functional security of a plant remain valid for a longer period of time, while still ensuring a currently configured security firewall.

Claims

Patentansprüche claims
1. Verfahren zum Filtern mindestens eines Datenpaketes (300) mittels einer Netzwerkfiltereinrichtung (1) an einer Kopp- lungsstelle zwischen einem ersten Netzwerk (100) und einem zweiten Netzwerk (200), wobei mindestens ein Bestandteil des mindestens einen Datenpaketes (300) blockiert wird, falls in dem mindestens einen Bestandteil mindestens ein Merkmal erkannt wird, welches auf eine Gefährdung einer funktionalen Sicherheit (SF) und/ oder einer Angriffssicherheit (SC) des zweiten Netzwerkes (200) hindeutet, wobei die Netzwerkfiltereinrichtung (1) einen ersten konfigurierbaren Bereich (10) und mindestens einen zweiten konfigurierbaren Bereich (20) aufweist und der erste konfigurierbare Bereich (10) separat von dem mindestens einen zweiten konfigurierbaren Bereich (20) mittels einer Konfiguration (K) konfiguriert wird. 1. A method for filtering at least one data packet (300) by means of a network filter device (1) at a coupling point between a first network (100) and a second network (200), wherein at least one component of the at least one data packet (300) is blocked if at least one feature is identified in the at least one component, which indicates a threat to a functional security (SF) and / or a security against attack (SC) of the second network (200), wherein the network filter device (1) has a first configurable area (FIG. 10) and at least one second configurable area (20) and the first configurable area (10) is configured separately from the at least one second configurable area (20) by means of a configuration (K).
2. Verfahren nach Anspruch 1, wobei mindestens der erste konfigurierbare Bereich (10) durch eine erste Filtervor- schritt (Fl) gebildet wird, wobei die erste Filtervorschrift (Fl) die funktionale Sicherheit (SF) sicherstellt und wobei der erste konfigurierbare Bereich (10) zum Verändern der ersten Filtervorschrift (Fl) geschützt konfiguriert wird. 2. The method of claim 1, wherein at least the first configurable area (10) is formed by a first Filtervor- step (Fl), wherein the first filter rule (Fl) ensures the functional safety (SF) and wherein the first configurable area (10 ) is configured to change the first filter rule (Fl).
3. Verfahren nach Anspruch 2, wobei die erste Filtervorschrift (Fl) verändert und eine veränderte erste Filtervorschrift (Fl') erzeugt wird, falls ein mit einer Konfigurationsänderung eingebbarer Prüfwert (P) mit einem hinterlegten Prüfwert (RP) übereinstimmt. 3. The method of claim 2, wherein the first filter rule (Fl) changed and a modified first filter rule (Fl ') is generated if a verifiable with a configuration change test value (P) with a stored test value (RP) matches.
4. Verfahren nach Anspruch 2 oder 3, wobei die erste Filtervorschrift (Fl) bis auf Anforderungen an vorgebbare Eigenschaften verändert wird. 4. The method of claim 2 or 3, wherein the first filter rule (Fl) is changed to requirements for specifiable properties.
5. Verfahren nach Anspruch 2, wobei die erste Filtervorschrift (Fl) versiegelt wird. 5. The method of claim 2, wherein the first filter rule (Fl) is sealed.
6. Verfahren nach Anspruch 5, wobei die erste Filtervorschrift (Fl) mittels der Konfiguration (K) durch eine aktualisierte Filtervorschrift (FA) ersetzt wird. 6. The method of claim 5, wherein the first filter rule (Fl) is replaced by the configuration (K) by an updated filter rule (FA).
7. Verfahren nach Anspruch 6, wobei die erste Filtervorschrift (Fl) mittels der Konfiguration (K) durch einen Nutzer durch die aktualisierte Filtervorschrift (FA) ersetzt wird, falls eine Nutzerauthentifizierung des Nutzers durch die Netzwerkfiltereinrichtung erfolgreich war. 7. The method of claim 6, wherein the first filter rule (Fl) is replaced by the user through the configuration (K) by the updated filtering rule (FA) if user authentication of the user by the network filtering means was successful.
8. Verfahren nach Anspruch 6 oder 7, wobei die aktualisierte Filtervorschrift (FA) nach einem Durchführen einer Betriebsfreigabe (BF) durchgesetzt wird. 8. The method of claim 6 or 7, wherein the updated filter rule (FA) is enforced after performing an operation release (BF).
9. Verfahren nach Anspruch 2, wobei der mindestens eine zweite konfigurierbare Bereich (20) durch eine zweite Filtervorschrift (F2) gebildet wird und durch die Netzwerkfiltereinrichtung (1) eine gemeinsame Filtervorschrift (F12) aus der ersten Filtervorschrift (Fl) und der zweiten Filtervorschrift (F2) berechnet wird. 9. The method according to claim 2, wherein the at least one second configurable area (20) is formed by a second filter rule (F2) and by the network filter means (1) a common filter rule (F12) from the first filter rule (Fl) and the second filter rule (F2) is calculated.
10. Verfahren nach Anspruch 9, wobei die gemeinsame Filtervorschrift (F12) durch eine gemeinsame Filtermaschine (M12) durchgesetzt wird. 10. The method of claim 9, wherein the common filter rule (F12) is enforced by a common filter machine (M12).
11. Verfahren nach Anspruch 10, wobei ferner die erste Filtervorschrift (Fl) durch eine erste Filtermaschine (Ml) durchgesetzt wird. 11. The method of claim 10, wherein further the first filter specification (Fl) is enforced by a first filter machine (Ml).
12. Verfahren nach einem der Ansprüche 2 bis 8, wobei die erste Filtervorschrift (Fl) durch eine erste Filtermaschine (Ml) durchgesetzt wird und die zweite Filtervorschrift (F2) durch eine zweite Filtermaschine (M2) durchgesetzt wird. 12. The method according to any one of claims 2 to 8, wherein the first filter rule (Fl) by a first filter machine (Ml) is enforced and the second filter specification (F2) is enforced by a second filter machine (M2).
13. Verfahren nach einem der vorstehenden Ansprüche, wobei der mindestens eine zweite konfigurierbare Bereich (20) durch eine zweite Filtervorschrift (F2) gebildet wird, wobei durch die zweite Filtervorschrift (F2) die Angriffssicherheit (SC) sichergestellt und wobei der mindestens eine zweite 13. The method according to any one of the preceding claims, wherein the at least one second configurable area (20) by a second filter rule (F2) is formed, wherein by the second filter rule (F2) the attack security (SC) ensured and wherein the at least one second
konfigurierbare Bereich (20) geschützt konfiguriert wird. Configurable area (20) is configured protected.
14. Verfahren nach Anspruch 13, wobei die zweite Filtervor- schritt (F2) verändert wird und eine zweite veränderte Filtervorschrift (F21 ) erzeugt wird, falls ein mit einer zweiten Konfigurationsänderung eingebbarer zweiter Prüfwert (P2) mit einem zweiten hinterlegten Prüfwert (RP2) übereinstimmt. 14. The method according to claim 13, wherein the second filter step (F2) is changed and a second modified filter rule (F2 1 ) is generated if a second check value (P2) which can be input with a second configuration change is associated with a second stored check value (RP2). matches.
15. Verfahren nach einem der Ansprüche 2 bis 14, wobei die Kopplungsstelle aktiviert wird, falls der erste 15. The method according to any one of claims 2 to 14, wherein the coupling point is activated, if the first
konfigurierbare Bereich (10) konfiguriert worden ist. configurable area (10) has been configured.
16. Netzwerkfiltereinrichtung (1) zum Filtern mindestens ei- nes Datenpaketes (300) an einer Kopplungsstelle zwischen einem ersten Netzwerk (100) und einem zweiten Netzwerk (200), wobei ein Bestandteil des mindestens einen Datenpaketes (10) blockierbar ist, falls der Bestandteil mindestens ein Merkmal aufweist, welches auf eine Gefährdung einer funktionalen Si- cherheit (SF) und/ oder einer Angriffssicherheit (SC) des zweiten Netzwerkes (200) hindeutet, umfassend einen ersten konfigurierbaren Bereich (10) und mindestens einen zweiten konfigurierbaren Bereich (20), wobei der erste 16. Network filter device (1) for filtering at least one data packet (300) at a coupling point between a first network (100) and a second network (200), wherein a component of the at least one data packet (10) is blockable, if the component has at least one feature which indicates a threat to a functional safety (SF) and / or a security against attack (SC) of the second network (200), comprising a first configurable area (10) and at least one second configurable area (20) , where the first
konfigurierbare Bereich (10) separat von dem mindestens einen zweiten konfigurierbaren Bereich (20) mittels einer Konfiguration konfigurierbar ist. configurable area (10) is configurable separately from the at least one second configurable area (20) by means of a configuration.
17. Netzwerkfiltereinrichtung (1) nach Anspruch 16, ferner mindestens eine weitere Einheit umfassend geeignet zur Ver- wendung gemäß einem der Ansprüche 2 bis 15. 17. Network filter device (1) according to claim 16, further comprising at least one further unit suitable for use according to one of claims 2 to 15.
18. Netzwerkfiltereinrichtung (1) nach Anspruch 16 oder 17, ferner umfassend eine Sensoreinheit zur Tamperüberwachung zur Erkennung einer physikalischen Modifikation der Netzwerkfil- tereinrichtung (1) . 18. Network filter device (1) according to claim 16 or 17, further comprising a sensor unit for tamper monitoring for detecting a physical modification of the network filter device (1).
PCT/EP2014/059486 2013-05-28 2014-05-08 Method and device for filtering a data packet WO2014191179A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013209914.2 2013-05-28
DE102013209914.2A DE102013209914A1 (en) 2013-05-28 2013-05-28 Filtering a data packet by means of a network filter device

Publications (1)

Publication Number Publication Date
WO2014191179A1 true WO2014191179A1 (en) 2014-12-04

Family

ID=50732148

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2014/059486 WO2014191179A1 (en) 2013-05-28 2014-05-08 Method and device for filtering a data packet

Country Status (2)

Country Link
DE (1) DE102013209914A1 (en)
WO (1) WO2014191179A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest
US11377072B2 (en) * 2018-11-02 2022-07-05 Uatc, Llc Systems and methods for tamper evident electronic detection
CN115047835A (en) * 2022-06-27 2022-09-13 中国核动力研究设计院 Method, device, equipment and medium for acquiring periodic test data based on DCS (distributed control System)
CN115047835B (en) * 2022-06-27 2024-06-04 中国核动力研究设计院 DCS-based periodic test data acquisition method, device, equipment and medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1496664A2 (en) * 2003-07-10 2005-01-12 Siemens Aktiengesellschaft System, method and security module for securing the access of a user to at least one automation component of an automation system
US7127738B1 (en) * 2000-10-18 2006-10-24 Nortel Networks Limited Local firewall apparatus and method
US20100165878A1 (en) * 2008-12-31 2010-07-01 Schneider Automation Inc. Communication Module with Network Isolation and Communication Filter

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127738B1 (en) * 2000-10-18 2006-10-24 Nortel Networks Limited Local firewall apparatus and method
EP1496664A2 (en) * 2003-07-10 2005-01-12 Siemens Aktiengesellschaft System, method and security module for securing the access of a user to at least one automation component of an automation system
US20100165878A1 (en) * 2008-12-31 2010-07-01 Schneider Automation Inc. Communication Module with Network Isolation and Communication Filter

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HANS-HERMANN BOCK ET AL: "Towards an IT Security Protection Profile for Safety-Related Communication in Railway Automation", 25 September 2012, COMPUTER SAFETY, RELIABILITY, AND SECURITY, SPRINGER BERLIN HEIDELBERG, BERLIN, HEIDELBERG, PAGE(S) 137 - 148, ISBN: 978-3-642-33677-5, XP047016659 *
HIERZU; A. DIELMANN; B. PAPST: "Sicherheitsgerichtetes Steuerrelais Safety, Handbuch", January 2013

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11377072B2 (en) * 2018-11-02 2022-07-05 Uatc, Llc Systems and methods for tamper evident electronic detection
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest
CN115047835A (en) * 2022-06-27 2022-09-13 中国核动力研究设计院 Method, device, equipment and medium for acquiring periodic test data based on DCS (distributed control System)
CN115047835B (en) * 2022-06-27 2024-06-04 中国核动力研究设计院 DCS-based periodic test data acquisition method, device, equipment and medium

Also Published As

Publication number Publication date
DE102013209914A1 (en) 2014-12-04

Similar Documents

Publication Publication Date Title
EP3001884B1 (en) Method, device and system for monitoring a security gateway
EP2299650A1 (en) Method for recognising anomalies in a control network
WO2012167995A2 (en) Connecting node for a communication network
EP3122016B1 (en) Automation network and method of surveillance for security of the transmission of data packets
EP3028409B1 (en) Filtering a data packet by means of a network filtering device
EP3688958B1 (en) System and method for the protected transmission of data
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
WO2014191179A1 (en) Method and device for filtering a data packet
EP1862931B1 (en) Device and method for protecting a medical device and a patient being treated with one of these devices against dangerous effects from a communications network
WO2017167490A1 (en) Reducing a possible attack on a weak point of a device via a network access point
EP2987301B1 (en) Controlling the funcionality of a network filter
WO2015062812A1 (en) Safety-related system having a supervisor
EP1675342A1 (en) Apparatus and method for a secure fault management within protected communication networks
DE102011106497B4 (en) System for remote maintenance or diagnosis of a computer-controlled flame cutting machine
EP3661830B1 (en) Concept for monitoring network traffic coming into a signal box
WO2020254106A1 (en) Filter, assembly, and method for operating an assembly
EP3813314A1 (en) Securing system and method for filtering data traffic
DE102018219262A1 (en) Device for securing a real-time Ethernet data network for a motor vehicle
EP3382976A1 (en) Protective device, method and apparatus comprising a protection device for protecting a communication network associated with the device
EP3603011B1 (en) Apparatuses and method for operating mobile radio communication with a track-mounted apparatus
WO2021197822A1 (en) Method for handling an anomaly in data, in particular in a motor vehicle
DE102022200262A1 (en) Method for exchanging data between two data processing units
EP3700171A1 (en) Testing and confirmation of the security configuration of network access to a rendezvous-server
EP3248137A1 (en) Electronic control device
WO2014075704A1 (en) Method and automation arrangement for controlling the data traffic between data processing devices

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14724393

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14724393

Country of ref document: EP

Kind code of ref document: A1