AT525753B1 - Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk - Google Patents
Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk Download PDFInfo
- Publication number
- AT525753B1 AT525753B1 ATA50469/2022A AT504692022A AT525753B1 AT 525753 B1 AT525753 B1 AT 525753B1 AT 504692022 A AT504692022 A AT 504692022A AT 525753 B1 AT525753 B1 AT 525753B1
- Authority
- AT
- Austria
- Prior art keywords
- program
- client
- data
- firewall
- comparison
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Bei einem computerimplementierten Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk wird vorgeschlagen, dass wenn ein auf einem Client (1) installiertes Programm (2) eine Verbindung mit einem Netzwerk (3) aufbauen will und der Client (1) ein für eine Adresse des Netzwerks (3) bestimmtes Datenpaket an eine Firewall (4) über einen vorgegebenen Port sendet, ein Abgleichprogramm (5) das Datenpaket stoppt und zumindest den Port von dem Datenpaket ausliest, wobei von der Firewall (4) wenigstens eine Anfrage zu dem einen Port an den Client (1) gesendet wird, wobei ein auf dem Client (1) installiertes Verifizierungsprogramm (6) anhand der wenigstens einen Anfrage Verifizierungsdaten zur Identifikation des Programmes (2) erstellt und an die Firewall (4) sendet, wobei das Abgleichprogramm (5) aus den Verifizierungsdaten Abgleichsdaten erstellt und die Abgleichsdaten mit einem vorgegebenen Entscheidungskriterium abgleicht und das Abgleichprogramm (5) bei Erfüllen des Entscheidungskriteriums das Datenpaket durch die Firewall (4) durchlässt und bei nicht Erfüllen des Entscheidungskriteriums das Datenpaket blockiert.
Description
COMPUTERIMPLEMENTIERTES VERFAHREN ZUR VERHINDERUNG UNERWÜNSCHTER VERBINDUNGEN UND DATENUBERTRAGUNGEN VON PROGRAMMEN AUF EINEM CLIENT AN EIN NETZWERK
[0001] Die Erfindung betrifft ein computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk gemäß dem Oberbegriff des Patentanspruches 1.
[0002] Es sind Software- und Hardware-Firewalls bekannt, welche den Zugriff von Anwendungen aus Netzwerken, insbesondere aus dem Internet, auf Clients wie beispielsweise Personal Computer, oder auf andere Netzwerke zulassen, einschränken oder verbieten.
[0003] In Hinblick auf die Sicherheit eines Clients ist Schadsoftware von großer Bedeutung. Gängige Schadsoftware umfasst Computerviren, Computerwürmer und Trojanische Pferde. Trojanische Pferde umfassen hierzu insbesondere Adware, Ransomware, Spyware und beispielsweise Keylogger. Adware forscht den Client und das Nutzerverhalten aus um gezielt Werbung zu platzieren. Die gesammelten Informationen enthalten einen finanziellen Wert und werden häufig an die Marktforschung verkauft. Ransomware sind Schadprogramme, beispielsweise Verschlüsselungstrojaner, Erpressungstrojaner, Kryptotrojaner und ähnliche, mit deren Hilfe ein Eindringling den Zugriff eines Clientinhabers auf Daten oder auf das gesamte Computersystem untersagen kann. Dabei werden häufig private Daten eines Computerinhabers verschlüsselt oder der Zugriff auf sie verhindert, wobei für die Entschlüsselung oder Freigabe ein Lösegeld gefordert wird. Nach Installation einer schädlichen Datei wird hierbei ein Schlüssel eines externen Dienstes angefordert. Weiters existiert Spyware, mittels welcher die ungewollte Herausgabe von Daten von einem Client an ein externes Netzwerk durch Verbindungen von dem Client mit dem externen Netzwerk verursacht wird. Keylogger sind eine Unterklasse der Spyware und können die Tastatureingaben eines Nutzers aufzeichnen und diese Daten einem Dritten bereitstellen. Obig genannte Schadsoftware ist oftmals schwer aufzufinden und Schäden können in einer kurzen Zeitspanne, bereits bevor diese Programme bemerkt werden, erfolgen.
[0004] Eine klassische Firewall, die zwischen einem Client und einem Netzwerk arbeitet erkennt in der Regel nicht, von welchem Programm ein Verbindungsaufbau mit dem Netzwerk initialisiert wurde. Beispielsweise wird hierbei der Port 80/443 zugelassen und Port 22 blockiert. Wenn ein Client und ein Server mit einem selbstsignierten Zertifikat arbeiten ist es einer herkömmlichen Firewall nicht möglich Daten einer ausgehenden Verbindung zu prüfen. Am Client bedarf es hierbei keiner Administratorrechte, wodurch jeder Benutzer ein Programm starten kann wodurch alle Daten im Netzwerk, auf welche der Benutzer Zugriff hat, in ein anderes Netzwerk, insbesondere in das Internet, übertragen werden können. Schadsoftware nützt diese Problematik bzw. Sicherheitslücke aus, wodurch sensible Daten unwissentlich in die falschen Hände gelangen können. Schadsoftwareangriffe steigen in den letzten Jahren ständig an, wodurch ein großer Bedarf an einer sicheren Firewall besteht, welche auch ausgehende Verbindungen von Programmen an Netzwerke zuverlässig überwacht und gegebenenfalls blockiert.
[0005] Aufgabe der Erfindung ist es daher ein computerimplementiertes Verfahren der eingangs genannten Art anzugeben, mit welchem die genannten Nachteile vermieden werden können, mit welchem unerwünschte Verbindungen und Datenübertragungen von Programmen auf einem OClient an ein Netzwerk einfach und zuverlässig verhindert werden können.
[0006] Erfindungsgemäß wird dies durch die Merkmale des Patentanspruches 1 erreicht.
[0007] Dadurch ergibt sich der Vorteil, dass von einem Client ausgehende Verbindungen von Programmen mit Netzwerken einfach und zuverlässig überwacht und blockiert werden können, wodurch die Sicherheit des Clients hoch ist. Hierdurch können Schadsoftwareangriffe zuverlässig verhindert werden, da für die Schadsoftware in dem Abgleichsprogramm keine Abgleichswerte hinterlegt sind und ausgehende Verbindungen der auf dem Client befindlichen Schadsoftware mit Netzwerken blockiert werden. Weiters können hierdurch Benutzer keine Programme dazu veran-
lassen Verbindungen mit anderen Netzwerken, beispielsweise dem Internet, aufzubauen, für welche keine Abgleichswerte hinterlegt sind. Durch das Zusammenspiel des Verifizierungsprogrammes mit dem Abgleichsprogramm und dem Abgleich der Abgleichsdaten mit dem Entscheidungskriterium wird ein sehr hoher Sicherheitslevel für den Client geschaffen. Hierdurch kann ein Systemadministrator mit geringem Aufwand die Kontrolle über sein Netzwerk und dessen Clients behalten und nur freigegebenen Nutzern und/oder Programmen und/oder Clients eine Verbindung mit einem externen Netzwerk erlauben. Weiters können durch die Firewall, wie bereits bekannt, auch eingehende Verbindungen überwacht, zugelassen oder blockiert werden, um die Sicherheit des Clients zu gewährleisten. Weiters ist vorteilhaft, dass keine Verletzung des Datenschutzes betreffend den Benutzer stattfindet, da keine detaillierte Analyse des Inhaltes des Datenpakets notwendig ist. Weiters können auch keine User mit Administratorrechten auf einem Client ungewollte Programmverbindungen mit externen Netzwerken wissentlich als auch unwissentlich aufbauen, da die in dem Entscheidungskriterium abgelegten Abgleichsdaten eindeutig sind und zur Anderung der abgelegten Abgleichsdaten eine eigene Berechtigung, wie beispielsweise ein Passwort, notwendig ist.
[0008] Die Erfindung betrifft weiters ein Computerprogrammprodukt gemäß dem Patentanspruch 8.
[0009] Die Erfindung betrifft weiters ein Computerprogrammprodukt gemäß dem Patentanspruch 9.
[0010] Die Erfindung betrifft weiters ein System zur Datenverarbeitung gemäß dem Patentanspruch 10.
[0011] Die Erfindung hat daher weiters die Aufgabe ein System zur Datenverarbeitung der eingangs genannten Art anzugeben, mit welchem die genannten Nachteile vermieden werden können, mit welchem unerwünschte Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk einfach und zuverlässig verhindert werden können.
[0012] Erfindungsgemäß wird dies durch die Merkmale des Patentanspruches 10 erreicht. [0013] Die Vorteile des Systems entsprechen den Vorteilen des oben genannten Verfahrens. [0014] Die Unteransprüche betreffen weitere vorteilhafte Ausgestaltungen der Erfindung.
[0015] Ausdrücklich wird hiermit auf den Wortlaut der Patentansprüche Bezug genommen, wodurch die Patentansprüche an dieser Stelle durch Bezugnahme in die Beschreibung eingefügt sind und als wörtlich wiedergegeben gelten.
[0016] Die Erfindung wird unter Bezugnahme auf die beigeschlossene Zeichnung, in welcher lediglich eine bevorzugte Ausführungsform beispielhaft dargestellt ist, näher beschrieben. Dabei zeigt:
[0017] Fig. 1 eine schematische Abbildung des Systems zur Datenverarbeitung.
[0018] Die Fig. 1 zeigt zumindest Teile eines computerimplementierten Verfahrens, umfassend
die Schritte A bis F,
wobei A) ein auf einem Client 1 installiertes Programm 2 eine Verbindung mit einem Netzwerk 3 aufbauen will und der Client 1 ein für eine Adresse des Netzwerks 3 bestimmtes Datenpaket an eine Firewall 4 über einen vorgegebenen Port sendet,
wobei B) ein mit der Firewall 4 zusammenwirkendes Abgleichprogramm 5 das Datenpaket stoppt und zumindest den Port von dem Datenpaket ausliest,
wobei C) bei zumindest einem ersten Verbindungsaufbau des Programmes 2 von der Firewall(4 wenigstens eine Anfrage zu dem einen Port an den Client 1 gesendet wird,
wobei D) ein auf dem Client 1 installiertes Verifizierungsprogramm 6 anhand der wenigstens einen Anfrage Verifizierungsdaten zur Identifikation des Programmes 2, welches das für
die Adresse des Netzwerks 3 bestimmte Datenpaket gesendet hat, erstellt und an die Firewall 4 sendet,
wobei E) das Abgleichprogramm 5 aus den Verifizierungsdaten Abgleichsdaten erstellt und die Abgleichsdaten mit einem vorgegebenen Entscheidungskriterium abgleicht
und F) das Abgleichprogramm 5 bei Erfüllen des Entscheidungskriteriums das Datenpaket durch die Firewall 4 durchlässt und bei nicht Erfüllen des Entscheidungskriteriums das Datenpaket blockiert.
[0019] Weiters ist ein Computerprogrammprodukt umfassend Befehle vorgesehen, die bei der Ausführung des Verifizierungsprogrammes 6 durch einen Client 1 diesen veranlassen, die Schritte A und D des computerimplementierten Verfahrens auszuführen.
[0020] Weiters ist auch ein Computerprogrammprodukt umfassend Befehle vorgesehen, die bei der Ausführung des Abgleichprogrammes 5 durch die Hardware-Firewall 4 diese veranlassen, die Schritte B, C, E und F des computerimplementierten Verfahrens auszuführen.
[0021] Es ist weiters auch ein System zur Datenverarbeitung vorgesehen, umfassend wenigstens einen Client 1 und wenigstens eine Hardware-Firewall 4, sowie Mittel zur Ausführung der Schritte A und D des computerimplementierten Verfahrens auf dem Client 1 und Mittel zur Ausführung der Schritte B, C, E und F des computerimplementierten Verfahrens auf der Hardware-Firewall 4.
[0022] Dadurch ergibt sich der Vorteil, dass von einem Client 1 ausgehende Verbindungen von Programmen 2 mit Netzwerken 3 einfach und zuverlässig überwacht und blockiert werden können, wodurch die Sicherheit des Clients 1 hoch ist. Hierdurch können Schadsoftwareangriffe zuverlässig verhindert werden, da für die Schadsoftware in dem Abgleichsprogramm 5 keine Abgleichswerte hinterlegt sind und ausgehende Verbindungen der auf dem Client 1 befindlichen Schadsoftware mit Netzwerken blockiert werden. Weiters können hierdurch Benutzer keine Programme 2 dazu veranlassen Verbindungen mit anderen Netzwerken 3, beispielsweise dem Internet, aufzubauen, für welche keine Abgleichswerte hinterlegt sind. Durch das Zusammenspiel des Verifizierungsprogrammes 6 mit dem Abgleichsprogramm 5 und dem Abgleich der Abgleichsdaten mit dem Entscheidungskriterium wird ein sehr hoher Sicherheitslevel für den Client 1 geschaffen. Hierdurch kann ein Systemadministrator mit geringem Aufwand die Kontrolle über sein Netzwerk und dessen Clients 1 behalten und nur freigegebenen Nutzern und/oder Programmen und/oder Clients 1 eine Verbindung mit einem externen Netzwerk 3 erlauben. Weiters können durch die Firewall 4, wie bereits bekannt, auch eingehende Verbindungen überwacht, zugelassen oder blockiert werden, um die Sicherheit des Clients 1 zu gewährleisten. Weiters ist vorteilhaft, dass keine Verletzung des Datenschutzes betreffend den Benutzer stattfindet, da keine detaillierte Analyse des Inhaltes des Datenpakets notwendig ist. Weiters können auch keine User mit Administratorrechten auf einem Client ungewollte Programmverbindungen mit externen Netzwerken 3 wissentlich als auch unwissentlich aufbauen, da die in dem Entscheidungskriterium abgelegten Abgleichsdaten eindeutig sind und zur Anderung der abgelegten Abgleichsdaten eine eigene Berechtigung, wie beispielsweise ein Passwort, notwendig ist.
[0023] Das auf dem Client 1 installierte Programm 2, welches eine Verbindung zu dem Netzwerk aufbauen will kann auch als Applikation bzw. „App“ bezeichnet werden. Der Client 1 ist insbesondere ein Personal Computer mit z.B. Windows, Linux, Android, osX oder iOS als Betriebssystem. Das Netzwerk 3 kann insbesondere das Internet sein. Alternativ kann das Netzwerk 3 beispielsweise ein Firmennetzwerk bzw. ein lokaler Server sein.
[0024] Das Datenpaket ist bevorzugt ein IP-Paket und umfasst Kopfdaten, die beispielsweise Informationen über Quelle, Ziel, Status und Fragmentierung enthalten, und Nutzdaten.
[0025] Es kann auch vorgesehen sein, dass das mit der Firewall 4 zusammenwirkende Abgleichprogramm 5 neben dem Port von dem Datenpaket auch die IP-Adresse des Clients 1 ausliest. Die Kombination von dem Port mit der IP-Adresse ist hierbei eine eindeutige Information.
[0026] Bei zumindest einem ersten Verbindungsaufbau des Programmes 2 wird von der Firewall
4 wenigstens eine Anfrage zu dem einen Port an den Client 1 gesendet. Als Port wird hier insbesondere der Quellport des Datenpakets bezeichnet.
[0027] Bevorzugt kann vorgesehen sein, dass im Falle einer TCP-Verbindung mittels eines Synchronisations-Flags (SYN) bestimmt wird, ob ein erstmaliger Verbindungsaufbau des Programmes 2 vorliegt. Der Verbindungsaufbau wird hierbei von dem Client 1 eingeleitet, wobei im TCPHeader die SYN-Flag gesetzt wird. Damit wird gegenüber der Firewall 4 angezeigt, dass der Client 1 bzw. ein Programm des Clients 1 eine Verbindung unter einer bestimmten Sequenznummer aufbauen möchte. Die Firewall 4 kann nun den Verbindungsaufbau mit einem bestimmten Bestätigungs-Flag (ACK) bestätigen. Danach werden die einzelnen Informationseinheiten der Transportschicht des TCP-Protokolls nacheinander gesendet und bestätigt.
[0028] Es kann auch vorgesehen sein, dass bei jedem Verbindungsaufbau des Programmes 2 von der Firewall 4 wenigstens eine Anfrage zu dem einen Port an den Client 1 gesendet wird. Dies kann bevorzugt der Fall sein, wenn UDP-Verbindungen aufgebaut werden.
[0029] Es kann auch bevorzugt vorgesehen sein, dass die Anfrage ausschließlich eine Anfrage betreffend den Port enthält.
[0030] Es kann auch bevorzugt vorgesehen sein, dass nur dann eine Anfrage erfolgt, wenn nicht zweifelsfrei erkannt werden kann, dass die Anfrage keine Folgeanfrage desselben Programmes 2 ist.
[0031] Ein Port ist Teil einer Netzwerkadresse, der die Zuordnung von TCP- und UDP- Verbindungen und Datenpaketen zu Server- und Client-Programmen durch Betriebssysteme bewirkt.
[0032] Das gegenständliche computerimplementierte Verfahren ist bevorzugt für das Internet Protokoll Version 4 (IPv4) mit TCP/UDP aber auch für andere Protokolle wie z.B. IPv6 anwendbar.
[0033] Das auf dem Client 1 installierte Verifizierungsprogramm 6 erstellt anhand der wenigstens einen Anfrage Verifizierungsdaten zur Identifikation des Programmes 2, welches das für die Adresse des Netzwerks 3 bestimmte Datenpaket gesendet hat, und sendet die Verifizierungsdaten an die Firewall 4.
[0034] Das Abgleichprogramm 5 erstellt aus den Verifizierungsdaten Abgleichsdaten und gleicht die Abgleichsdaten mit einem vorgegebenen Entscheidungskriterium ab. Durch den Vergleich der Abgleichsdaten mit dem vorgegebenen Entscheidungskriterium kann eine hohe Sicherheit erreicht werden, da die Abgleichsdaten eine eindeutige Information über das Programm enthalten und diese mit einem vorgegebenen eindeutigen Entscheidungskriterium verglichen werden.
[0035] Bei Erfüllen des Entscheidungskriteriums lässt das Abgleichprogramm 5 das Datenpaket durch die Firewall 4 durch und bei nicht Erfüllen des Entscheidungskriteriums wird das Datenpaket blockiert.
[0036] Es kann besonders bevorzugt vorgesehen sein, dass die Verifizierungsdaten wenigstens eine Prüfsumme des Programmes enthalten. Die Prüfsumme, im Englischen auch checksum genannt, ist ein Wert mit dem die Integrität von Daten überprüft werden kann. Mittels Prüfsummen kann plausibilisiert werden, dass zwei Datensätze übereinstimmen. Die Prüfsumme kann beispielsweise die SHA512 CheckSum des Programmes 2 sein. Vorteilhaft ist hierbei, dass eine Anderung des bestehenden Programmes 2 durch die Schadsoftware entdeckt und somit auch ein Verbindungsaufbau des geänderten Programmes 2 verboten werden kann.
[0037] Es kann weiters bevorzugt vorgesehen sein, dass die Verifizierungsdaten den Pfad und/ oder den Dateinamen und/oder den Benutzer und/oder den Client 1 des Programmes 2 enthalten.
[0038] Es kann auch bevorzugt vorgesehen sein, dass die Abgleichsdaten einen eindeutigen Abgleichswert enthalten, wobei der Abgleichswert mit vorgegebenen Abgleichswerten des Entscheidungskriteriums auf Übereinstimmung verglichen wird. Hierzu kann eine Liste von zugelassenen Abgleichswerten auf der Firewall 4 hinterlegt sein. Diese Liste kann bevorzugt aus Sicherheitsgründen lediglich von einem Systemadministrator mit einer speziellen Berechtigung modifiziert werden.
[0039] Es kann auch vorgesehen sein, dass das Abgleichprogramm 5 den Abgleichswert mittels einer Hashfunktion aus den Abgleichsdaten erstellt und die Abgleichsdaten in Form eines Hashwertes vorliegen. Die Hashfunktion kann auch als Hash- Algorithmus bezeichnet werden. Ein Hashwert kann auch als Fingerprint bezeichnet werden, da er eine nahezu eindeutige Kennzeichnung einer größeren Datenmenge herstellt. Hashwerte sind weiters eindeutig, wodurch bei einem Vergleich zweier Hashwerte eine eindeutige Aussage getroffen werden kann, ob die Hashwerte übereinstimmen oder nicht.
[0040] Es kann besonders bevorzugt vorgesehen sein, dass bei nicht Erfüllen des Entscheidungskriteriums von dem Abgleichprogramm 5 eine Blockierinformation an den Client 1 gesendet wird. Der Client 1 kann diese Blockierinformation bevorzugt dem Benutzer anzeigen bzw. ausgeben. In solch einem Fall kann der Benutzer Kontakt mit dem Systemadministrator aufnehmen um nachzuverfolgen, ob schädliche Software auf dem Client 1 installiert ist und ob diese eine Verbindung mit einem externen Netzwerk aufbauen wollte.
[0041] Es kann weiters besonders bevorzugt vorgesehen sein, dass die Schritte B, C, E und F durch ein auf einer Hardware-Firewall 4 installiertes Abgleichprogramm 5 ausgeführt werden. Durch die Verwendung einer Hardware-Firewall 4 kann die Sicherheit zusätzlich erhöht werden.
[0042] Alternativ kann vorgesehen sein, dass die Schritte B, C, E und F durch ein auf einer Software-Firewall 4 installiertes Abgleichprogramm 5 ausgeführt werden. Die Software-Firewall 4 bzw. das Abgleichprogramm 5 ist hierbei bevorzugt passwortgeschützt.
[0043] Das auf dem Client installierte Computerprogrammprodukt, welches die Schritte A und D des Verfahrens ausführt, wirkt mit dem Computerprogrammprodukt, welches die Schritte B, C, E und F des Verfahrens ausführt, zusammen, wie beispielhaft in Fig. 1 dargestellt ist. Die zusammenwirkenden Computerprogrammprodukte können als Filter angesehen werden, welche mit der Firewall zusammenwirken und die Sicherheit des Clients gegen ungewollten Datenverlust, Datenaustausch und Datendiebstahl deutlich erhöhen. Je nachdem ob eine Software- oder Hardware-Firewall verwendet wird, kann das Computerprogrammprodukt, welches die Schritte B, C, E und F des Verfahrens ausführt, auf dem Client im Falle einer Software-Firewall 4 oder auf der Hardware-Firewall 4 installiert sein. Die Firewall 4 kann beispielsweise ihre eigenen Verbindungen durch den Filter senden. Eine externe Hardware-Firewall 4 kann beispielsweise Linux oder OpenBSD als Betriebssystem haben.
[0044] Vorzugsweise können auch DNS Daten über das System geroutet werden, um weitere Einschränkungen erwirken zu können.
[0045] Das Computerprogrammprodukt, welches die Schritte A und D des Verfahrens ausführt umfasst das Verifizierungsprogramm 6.
[0046] Das Computerprogrammprodukt, welches die Schritte B, C, E und F des Verfahrens ausführt, umfasst das Abgleichprogramm 5.
[0047] Fig. 1 zeigt hierzu eine beispielhafte schematische Abbildung des Systems zur Datenverarbeitung, wobei die Schritte A bis F des computerimplementierten Verfahrens durch Pfeile angedeutet sind, welche den Buchstaben des jeweiligen Schrittes enthalten. Die strichlierten Pfeile beziehen sich hierbei auf Schritt F des Verfahrens, nämlich darauf, ob das Datenpaket durch die Firewall 4 durchgelassen wird oder nicht. Der Ubersichtlichkeit halber sind Programme in Fig. 1 durch Wolken, das Netzwerk 3 durch eine Ellipse und der Client 1 als auch die Hardware-Firewall 4 durch Rechtecke angedeutet.
[0048] Das folgende Ausführungsbeispiel ist exemplarisch und für das bessere Verständnis der Erfindung ausgelegt:
[0049] Beispielsweise erhält ein Benutzer eines Clients 1 eine E-Mail mit einem unbekannten Anhang und öffnet diesen unbedacht oder der Benutzer stößt im Internet unabsichtlich auf schädliche Seiten, wodurch Schadsoftware auf seinen Client 1 gelangt. Diese Schadsoftware kann entweder selbst versuchen eine Verbindung zu einem Netzwerk 3 herzustellen oder sie kann vertrauenswürdige Programme 2 modifizieren, sodass diese unter dem Deckmantel ihrer Vertrau-
enswürdigkeit eine Verbindung mit dem Netzwerk 3 herstellen. Ja nachdem um was für eine Schadsoftware es sich handelt können bei einer Verbindung mit dem Netzwerk 3 entweder weitere Teile der Schadsoftware heruntergeladen oder gesammelte Daten an Dritte übermittelt werden. Um eine Verbindung mit dem Netzwerk 3 herzustellen, sendet der Client 1 ein für eine Adresse des Netzwerks 3 bestimmtes Datenpaket an die Firewall 4 über einen vorgegebenen Port. Das mit der Firewall 4 zusammenwirkende Abgleichprogramm 5 stoppt das Datenpaket und liest zumindest den Port von dem Datenpaket aus. Sofern es sich um einen ersten Verbindungsaufbau des Programmes 2 handelt wird von der Firewall 4 wenigstens eine Anfrage zu dem einen Port an den Client 1 gesendet. Das auf dem Client 1 installierte Verifizierungsprogramm 6 erstellt nun anhand der wenigstens einen Anfrage Verifizierungsdaten zur Identifikation des Programmes 2 und sendet diese Verifizierungsdaten an die Firewall 4. Das Abgleichprogramm 5 erstellt nun aus den Verifizierungsdaten Abgleichsdaten und vergleicht die Abgleichsdaten mit dem vorgegebenen Entscheidungskriterium. Bei Erfüllen des Entscheidungskriteriums, wenn z.B. der Hashwert des Programmes 2 mit einem in dem Abgleichsprogramm 5 hinterlegten Hashwert übereinstimmt, wird das Datenpaket durch die Firewall 4 durchgelassen und bei nicht Erfüllen des Entscheidungskriteriums wird das Datenpaket vorzugsweise zwischengespeichert und blockiert. Hierzu kann, wie bereits zuvor angeführt, dem Benutzer eine Blockierinformation ausgegeben werden.
[0050] Nachfolgend werden Grundsätze für das Verständnis und die Auslegung gegenständlicher Offenbarung angeführt.
[0051] Merkmale werden üblicherweise mit einem unbestimmten Artikel „ein, eine, eines, einer“ eingeführt. Sofern es sich aus dem Kontext nicht anders ergibt, ist daher „ein, eine, eines, einer“ nicht als Zahlwort zu verstehen.
[0052] Mittels eines ordnenden Zahlwortes, beispielweise „erster“, „zweiter“ oder „dritter“, werden insbesondere ein Merkmal X bzw. ein Gegenstand Y in mehreren Ausführungsformen unterschieden, sofern dies nicht durch die Offenbarung der Erfindung anderweitig definiert wird. Insbesondere bedeutet ein Merkmal X bzw. Gegenstand Y mit einem ordnenden Zahlwort in einem Anspruch nicht, dass eine unter diesen Anspruch fallende Ausgestaltung der Erfindung ein weiteres Merkmal X bzw. einen weiteren Gegenstand Y aufweisen muss.
Claims (10)
1. Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk, umfassend die Schritte A bis F, wobei
A) ein auf einem Client (1) installiertes Programm (2) eine Verbindung mit einem Netzwerk (3) aufbauen will und der Client (1) ein für eine Adresse des Netzwerks (3) bestimmtes Datenpaket an eine Firewall (4) über einen vorgegebenen Port sendet, wobei B) ein mit der Firewall (4) zusammenwirkendes Abgleichprogramm (5) das Datenpaket stoppt und zumindest den Port von dem Datenpaket ausliest, wobei C) bei zumindest einem ersten Verbindungsaufbau des Programmes (2) von der Firewall (4) wenigstens eine Anfrage zu dem einen Port an den Client (1) gesendet wird, dadurch gekennzeichnet, dass D) ein auf dem Client (1) installiertes Verifizierungsprogramm (6) anhand der wenigstens einen Anfrage Verifizierungsdaten zur Identifikation des Programmes (2), welches das für die Adresse des Netzwerks (3) bestimmte Datenpaket gesendet hat, erstellt und an die Firewall (4) sendet, wobei E) das Abgleichprogramm (5) aus den Verifizierungsdaten Abgleichsdaten erstellt und die Abgleichsdaten mit einem vorgegebenen Entscheidungskriterium abgleicht und F) das Abgleichprogramm (5) bei Erfüllen des Entscheidungskriteriums das Datenpaket durch die Firewall (4) durchlässt und bei nicht Erfüllen des Entscheidungskriteriums das Datenpaket blockiert.
2, Computerimplementiertes Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Verifizierungsdaten wenigstens eine Prüfsumme des Programmes enthalten.
3. Computerimplementiertes Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Verifizierungsdaten den Pfad und/oder den Dateinamen und/oder den Benutzer und/oder den Client des Programmes enthalten.
4. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Abgleichsdaten einen eindeutigen Abgleichswert enthalten, wobei der Abgleichswert mit vorgegebenen Abgleichswerten des Entscheidungskriteriums auf UÜbereinstimmung verglichen wird.
5. Computerimplementiertes Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das Abgleichprogramm (5) den Abgleichswert mittels einer Hashfunktion aus den Abgleichsdaten erstellt.
6. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass bei nicht Erfüllen des Entscheidungskriteriums von dem Abgleichprogramm (5) eine Blockierinformation an den Client (1) gesendet wird.
7. Computerimplementiertes Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Schritte B, C, E und F durch ein auf einer Hardware-Firewall (4) installiertes Abgleichprogramm (5) ausgeführt werden.
8. Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Verifizierungsprogrammes (6) durch einen Client (1) diesen veranlassen, die Schritte A und D des Verfahrens nach Anspruch 1 auszuführen.
9. Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Abgleichprogrammes (5) durch die Hardware-Firewall (4) diese veranlassen, die Schritte B, C, E und F des Verfahrens nach Anspruch 1 auszuführen.
10. System zur Datenverarbeitung, umfassend wenigstens einen Client (1) und wenigstens eine Hardware-Firewall (4), sowie Mittel zur Ausführung der Schritte A und D des Verfahrens nach Anspruch 1 auf dem Client (1) und Mittel zur Ausführung der Schritte B, C, E und F des Verfahrens nach Anspruch 1 auf der Hardware-Firewall (4).
Hierzu 1 Blatt Zeichnungen
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ATA50469/2022A AT525753B1 (de) | 2022-06-28 | 2022-06-28 | Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ATA50469/2022A AT525753B1 (de) | 2022-06-28 | 2022-06-28 | Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk |
Publications (2)
Publication Number | Publication Date |
---|---|
AT525753B1 true AT525753B1 (de) | 2023-07-15 |
AT525753A4 AT525753A4 (de) | 2023-07-15 |
Family
ID=87157050
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ATA50469/2022A AT525753B1 (de) | 2022-06-28 | 2022-06-28 | Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk |
Country Status (1)
Country | Link |
---|---|
AT (1) | AT525753B1 (de) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110154471A1 (en) * | 2009-12-23 | 2011-06-23 | Craig Anderson | Systems and methods for processing application firewall session information on owner core in multiple core system |
US20190312888A1 (en) * | 2018-04-04 | 2019-10-10 | Sophos Limited | Securing endpoints in a heterogenous enterprise network |
GB2574334A (en) * | 2016-06-10 | 2019-12-04 | Sophos Ltd | Combined security and QOS coordination among devices |
-
2022
- 2022-06-28 AT ATA50469/2022A patent/AT525753B1/de active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110154471A1 (en) * | 2009-12-23 | 2011-06-23 | Craig Anderson | Systems and methods for processing application firewall session information on owner core in multiple core system |
GB2574334A (en) * | 2016-06-10 | 2019-12-04 | Sophos Ltd | Combined security and QOS coordination among devices |
US20190312888A1 (en) * | 2018-04-04 | 2019-10-10 | Sophos Limited | Securing endpoints in a heterogenous enterprise network |
Also Published As
Publication number | Publication date |
---|---|
AT525753A4 (de) | 2023-07-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102005037968B4 (de) | Schutzsystem für eine Netzwerkinformationssicherheitszone | |
DE60123672T2 (de) | Computersystemschutz | |
US20110238979A1 (en) | Device for Preventing, Detecting and Responding to Security Threats | |
US20050262556A1 (en) | Methods and apparatus for computer network security using intrusion detection and prevention | |
US11595385B2 (en) | Secure controlled access to protected resources | |
EP1417820B1 (de) | Verfahren und computersystem zur sicherung der kommunikation in netzwerken | |
Bansode et al. | Common vulnerabilities exposed in VPN–A survey | |
EP3970337A1 (de) | Verfahren zum selektiven ausführen eines containers und netzwerkanordnung | |
EP1298529A2 (de) | Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms | |
DE10241974B4 (de) | Überwachung von Datenübertragungen | |
AT525753B1 (de) | Computerimplementiertes Verfahren zur Verhinderung unerwünschter Verbindungen und Datenübertragungen von Programmen auf einem Client an ein Netzwerk | |
EP3318033B1 (de) | Anti-cracking verfahren mit hilfe eines vermittlungscomputer | |
CN116827646A (zh) | 一种基于eBPF的终端流量代理及访问控制方法 | |
Khandelwal et al. | Frontline techniques to prevent web application vulnerability | |
Cisco | Why You Need a Firewall | |
Cisco | Why You Need a Firewall | |
Cisco | Why You Need a Firewall | |
Cisco | Why You Need a Firewall | |
Cisco | Why You Need a Firewall | |
DE102014109906B4 (de) | Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
Bertino et al. | Threat Modelling for SQL Servers: Designing a Secure Database in a Web Application | |
EP1350375B1 (de) | Vorrichtung zur fälschungssicheren identifizierung, verifizierung und autorisierung von netzwerkanwendungen | |
DE102005050047B4 (de) | Verfahren, Anordnung und Sicherheitsgateway zur sicheren Authentifizierung und Datenübertragung zwischen zwei Datenverarbeitungseinheiten über mindestens ein Netzwerk | |
RU2607997C1 (ru) | Система защиты компьютерных сетей от несанкционированного доступа | |
WO2023079186A1 (de) | Verfahren und zugehörige computersysteme zur sicherung der integrität von daten |