CZ300943B6 - Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení - Google Patents

Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení Download PDF

Info

Publication number
CZ300943B6
CZ300943B6 CZ20023010A CZ20023010A CZ300943B6 CZ 300943 B6 CZ300943 B6 CZ 300943B6 CZ 20023010 A CZ20023010 A CZ 20023010A CZ 20023010 A CZ20023010 A CZ 20023010A CZ 300943 B6 CZ300943 B6 CZ 300943B6
Authority
CZ
Czechia
Prior art keywords
network
server
networks
data connection
interconnection
Prior art date
Application number
CZ20023010A
Other languages
English (en)
Other versions
CZ20023010A3 (en
Inventor
Procháska@Aleš
Original Assignee
A && L Soft S.R.O.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by A && L Soft S.R.O. filed Critical A && L Soft S.R.O.
Priority to CZ20023010A priority Critical patent/CZ300943B6/cs
Publication of CZ20023010A3 publication Critical patent/CZ20023010A3/cs
Publication of CZ300943B6 publication Critical patent/CZ300943B6/cs

Links

Abstract

Zpusob podle vynálezu spocívá v tom, že se datové spojení ze sítového zarízení umísteného v první síti (1) na výstupu z této první síte (1) zakoncí, pricemž se z "front" serveru (9) predá informace o nove ustaveném datovém spojení "back" serveru (8), jehož programový prostredek proverí oprávnenost tohoto datového spojení. Pri oprávnenosti ustaveného datového spojení iniciuje "back" server (8) datové spojení se sítovým zarízením, umísteným v alespon jedné další síti (2, 3, 4) a predává se mu datový obsah. Datový obsah v opacném smeru se predává pres "back" server (8) na "front" server (9) a dále sítovému zarízení v první síti (1). Propojení sítí spocívá v tom, že má nekompatibilní clen (7) s protokolem rozdílným od standardních sítových protokolu v síti (1, 2, 3, 4), vložený mezi "front" server (9), pripojený k první síti (1), a "back" server (8), pripojený k alespon jedné další síti (2, 3, 4).

Description

(57) Anotace:
Způsob podle vynálezu spočívá v tom, fe se datové spojení ze síťového zařízení umísířného v první síti (1) na výstupu z této první sítě (I) zakončí, přičemž se z front serveru (9) předá informace o nově ustaveném datovém pojení back serveru (8), jehož programový prostředek prověří oprávněnost tohoto datového spojení. Pří oprávněnosti ustaveného datového spojení iniciuje back server (8) datové spojení se síťovým zařízením, umístěným v alespoň jedné další síti (2, 3,4) a předává se mu datový obsah. Datový obsah v opačném směru se předává přes back server (8) na fronť' server (9) a dále síťovému zařízeni v první síti (I). Propojení sítí spočívá v tom, že má nekompatibilní člen (7) s protokolem rozdílným od standardních síťových protokolů v síti (I, 2,3,4), vložený mezí front server (9), připojený k první síti (1), a back server (8), připojený k alespoň jedné další síti (2,3, 4).
CO co
Tt σ>
o o
co
N
O
Způsob komunikace mezi sítěmi a propojení sítí k jeho provedení
Oblast techniky s
Vynález se týká způsobu komunikace mezi sítěmi, pomocí kterého se navzájem mezi sítěmi převádějí datová spojení a alespoň jedna síť se zabezpečuje proti zakázanému vstupu. Vynález se dále týká propojení sítí k provedení způsobu.
Dosavadní stav techniky
V současné době je zabezpečení dvou, případně více propojených sítí založeno na použití fírewallu, který filtruje provoz mezi dvěma, případně více sítěmi a rozhoduje, která data a v jakých směrech smějí procházet z jedné sítě do druhé. Firewally jsou určeny především pro paketové protokoly, jako jsou v dnešní době nejpoužívanější protokoly TCP/IP. Způsob zabezpečení pomocí fírewallu je v takových případech označován jako filtrování paketů.
Firewall je z hlediska logické struktury sítě tranparentní člen pracující na nízké úrovni, který se fyzicky chová jako směrovaě (router). Spolu komunikující síťová zařízení umístěná v různých sítích navazují spojení, v prostředí TCP/IP sítí zpravidla protokolem TCP respektive nad ním postaveným aplikačním protokolem, které transparentně prochází přes firewall a tudíž koncové body spojení jsou právě tato komunikující síťová zařízení.
Toto zabezpečení propojení dvou, případně více sítí, například připojení podnikové LAN na internet, má následující nevýhody:
chyba v implementaci fírewallu může umožnit útočníkovi nežádoucí průnik z jedné sítě do druhé, chyba v implementaci fírewallu může umožnit útočníkovi manipulaci s konfigurací fírewallu spolu s následným průnikem do chráněné sítě, chybná (nedostatečná) konfigurace fírewallu může umožnit útočníkovi nežádoucí průnik z jedné sítě do druhé, nedostatečné zabezpečení fírewallu samotného lze zneužít k útoku zevnitř z chráněné sítě, například za účelem umožnění průniku zvenčí, vynesení dat atd.
Firewall založený na filtrování paketů nemůže principiálně zabránit útokům spočívajícím ve zneužití bezpečnostních slabin síťových zařízení, a to ať z hlediska hardware nebo software, se kterými smí útočník legálně navázat komunikaci.
Podstata vynálezu
Úkolem vynálezu je vytvořit způsob komunikace mezí sítěmi a propojení sítí kjeho provedení, které nemají shora uvedené nevýhody stávajícího stavu techniky, neboje alespoň minimalizují.
Způsob komunikace mezi sítěmi spočívá podle vynálezu v tom, že se datové spojení ze síťového zařízení umístěného v první síti na výstupu z první sítě přeruší, přičemž se z front serveru předá informace o nově ustaveném datovém spojení back serveru, jehož programový prostředek prověří oprávněnost tohoto datového spojení. Při oprávněnosti ustaveného datového spojení iniciuje back server datové spojení se síťovým zařízením umístěným v alespoň jedné další síti a předává mu datový obsah. Datový obsah v opačném směru se předává analogicky pres back server na front server a dále síťovému zařízení v síti.
Propojení sítí spočívá podle vynálezu v tom, že.á nekompatibilní člen s protokolem rozdílným od standardních síťových protokolů v síti, vložený mezi back server připojený k první síti a front server připojený k alespoň jedné další síti. Softwarové vybavení back serveru spravuje a řídí konfiguraci bezpečnostního systému, realizuje se síťovým prostředím nekompatibilní komunikační protokol pro komunikaci s front serverem a po nekompatibilním členu ovládá front server. Front server implementuje protilehlou část komunikačního protokolu a svoji činnost odvozuje od příkazů přijatých od back serveru. Back server instruuje front server, které příchozí spojení smí akceptovat a předávat na back server. Front server akceptuje povolená příchozí spojení a aplikační datový obsah předává spolu s informací o kategorii spojení back serveru. Back server podle ío kategorie spojení zvolí skutečné cílové zařízení, naváže s ním spojení a předává datový obsah od front serveru. Opačný datový tok je směrován analogicky s tím rozdílem, že potřebná spojení jsou již navázána.
V rozsahu vynálezu spočívá rovněž možnost pro zajištění proti útoku zevnitř další sítě propojení sítí rozšířit o další front server vložený mezi back server a další síť.
Přitom je výhodné, když protokol nekompatibilního členu má charakteristiku point-to-point.
Způsob a propojení sítí podle vynálezu přináší odstranění, nebo alespoň minimalizaci shora uve20 děných bezpečnostních nedostatků firewallů. Výhody způsobu a propojení sítí podle vynálezu spočívají zejména v tom, že:
implementace front serveru a back serveru jednoduchá, a tudíž pri ovládnutí front serveru, je velmi přístupného z první sítě, je minimalizováno riziko zneužití případné chyby v implementaci,
- ani vlivem chyby v implementaci front serveru nelze manipulovat s konfigurací, protože je spravována útočníkovi nepřístupným back serverem, který neimplementuje rozhraní pro její změny z front serveru první sítě, konfigurace zabezpečení na úrovni aplikačních spojení je řádově jednodušší, než konfigurace filtrovacích pravidel na úrovni jednotlivých paketů, tudíž je sníženo riziko mylné kon30 figurace bezpečnostního zařízení, nedostatečné zabezpečení front serveru, vedoucí k jeho úplnému ovládnutí útočníkem, neumožní průnik do další sítě, protože propojení obou sítí je realizováno nekompatibilním členem, který není standardně prostupný pro útočníkem použité síťové protokoly. Použití front serveru v obou sítích s back serverem uprostřed, umožňuje stejnou ochranu proti útoku z obou sítí.
Další výhodou způsobu a propojení sítí podle vynálezu je, že nejsou omezeny na žádnou konkrétní technologii, a to jak po stránce hardwaru (přenosových médií), tak i síťových protokolů a softwaru, a lze je, jednoduše bez dalších opatření, pro dosažení komplexního bezpečnostního systému kombinovat s dalšími prvky, které řeší jiné aspekty bezpečnosti, jako například s HTTP proxy, se zajištěním šifrování dat a autentizace přístupu pomocí SSL, se SOC KS proxy, s verifikací směrovaných aplikačních protokolů, samotným filtrováním paketů realizovaným za současného stavu techniky firewaly a podobně.
Přehled obrázků na výkrese
Další podrobnosti vynálezu jsou v následujícím objasněny pomocí výkresů na příkladech provedení. Na výkresech znázorňuje:
so obr. 1 propojení dvou sítí, z nichž druhá je chráněna před útokem z první sítě, obr. 2 propojení dvou sítí, z nichž každá je chráněna před útokem ze zbývající sítě a samotný back server je chráněn před útokem z každé sítě, obr. 3 propojení čtyř sítí, z nichž každá je chráněna před útoky z libovolné jiné sítě a samotný back server je chráněn před útokem z každé sítě.
Příklady provedení vynálezu
Na obr. 1 znázorněné propojení sítí I, 2 propojuje první síť I a druhou síť 2. Sestává z front serveru 9, který je připojen k první síti 1, a z back serveru 8, který je připojen ke druhé síti 2. Mezi front serverem 9 a back serverem 8 je vložen nekompatibilní člen 7. Front server 9 i back server ío 8 jsou u tohoto příkladu provedení tvořeny počítačem s příslušným operačním systémem. Toto propojení umožňuje, že se datové spojení ze síťového zařízení umístěného v první síti I na výstupu z první sítě I zakončí, přičemž se z front serveru 9 předá informace o nově ustaveném datovém spojení back serveru 8, jehož programový prostředek prověří oprávněnost tohoto datového spojení. Při oprávněnosti ustaveného datového spojení iniciuje back server 8 datové spojení se síťovým zařízením umístěným ve druhé síti 2 a předává mu datový obsah. Datový obsah v opačném směru se předává analogicky přes back server 8 na front server 9 a dále síťovému zařízení v první síti L
Propojení první sítě I a druhé sítě 2, znázorněné na obr. 2 sestává ze dvou front serverů 9, tvoře20 ných počítači, z nichž první front server 9 je připojen k první síti 1 a druhý front server 9 je připojen ke druhé síti 2. Mezi oběma front servery 9 je zapojen back server 8, tvořený rovněž počítačem, přičemž mezi front servery 9 a back serverem 8 jsou vloženy nekompatibilní Členy 7. Toto provedení umožňuje realizaci způsobu podle vynálezu také u příchozího datového spojení ze síťového zařízení umístěného v první síti f, jak je popsáno v souvislosti s obr. 1, ale obdobně také u příchozího datového spojení ze síťového zařízení umístěného v druhé síti 2. Tím je první síť i chráněna proti útoku z druhé sítě 2 a back server 8 samotný je navíc na rozdíl od případu na obr. 1 chráněn proti útoku z druhé sítě 2.
Na obr. 3 je znázorněno propojení čtyř sítí 1, 2, 3, 4, které sestává ze čtyř front serverů 9, který jsou připojeny vždy jeden front server 9 k jedné síti 1, 2, 3, 4 a back serveru 8, který je zapojen mezi těmito front servery 9, přičemž mezi front servery 9 a back serverem 8 jsou vloženy nekompatibilní členy 7. Front servery 9 i back server 8 jsou i v tomto případě tvořeny počítači. Pomocí tohoto propojení je každá ze sítí 1,2,3,4 chráněna před útoky z libovolné z těchto sítí 1, 2,3,4.
Způsob podle vynálezu lze v prostředí dnes nejběžněji používaných sítí TCP/IP s přenosovým médiem Ethernet realizovat pomocí back serveru 8 a front serverů 9, tvořenými běžnými počítači s vhodným operačním systémem (MS Windows, Linux a podobně) a nekompatibilním členem 7, tvořeným standardními nebo vysokorychlostními sériovými porty, nebo rozhraním SCSI (Smáli
Computer System Interface), nebo rozhraním SCI (Scalable Coherent Interface), případně proprietámím propojovacím zařízením nekompatibilním s TCP/IP a Ethemetem a pomocí speciálního aplikačního softwarového vybavení realizujícího vlastní bezpečnostní funkce.

Claims (4)

  1. PATENTOVÉ NÁROKY so 1. Způsob komunikace mezí sítěmi, pomocí kterého se navzájem mezi sítěmi (1,
  2. 2,
  3. 3,4) převádějí datová spojení a alespoň jedna síť (1, 2, 3, 4) se zabezpečuje proti zakázanému vstupu, vyznačující se tím, že se datové spojení ze síťového zařízení umístěného v první sítí (1) na výstupu z této první sítě (1) zakončí, přičemž se z front serveru (9) předá informace o nově ustaveném datovém spojení back serveru (8), jehož programový prostředek prověří oprávněnost
    55 tohoto datového spojení, při oprávněnosti ustaveného datového spojení iniciuje back server (8)
    CZ 300943 Bó datové spojení se síťovým zařízením umístěným v alespoň jedné další síti (2, 3, 4) a předává se mu datový obsah, přičemž datový obsah v opačném směru se předává přes back server (8) na front server (9) a dále síťovému zařízení v první síti (1).
    5 2. Propojení sítí k provedení způsobu komunikace mezi sítěmi podle nároku 1, vyznačující se tím, že má nekompatibilní člen (7) s protokolem rozdílným od standardních síťových protokolů v síti (1, 2, 3, 4), vložený mezi front server (9), připojený k první síti (1), a back server (8), připojený k alespoň jedné další síti (2,3,4).
    ío 3. Propojení podle nároku 2, vyznačující se tím, že mezi back serverem (8) a další sítí (2,3,4) je vložen další front server (9).
  4. 4. Propojení podle nároku 2 nebo 3, vyznačující se tím, že protokol nekompatibilního členu (7) má charakteristiku, point-to-point.
CZ20023010A 2002-09-06 2002-09-06 Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení CZ300943B6 (cs)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CZ20023010A CZ300943B6 (cs) 2002-09-06 2002-09-06 Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CZ20023010A CZ300943B6 (cs) 2002-09-06 2002-09-06 Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení

Publications (2)

Publication Number Publication Date
CZ20023010A3 CZ20023010A3 (en) 2004-04-14
CZ300943B6 true CZ300943B6 (cs) 2009-09-23

Family

ID=32046697

Family Applications (1)

Application Number Title Priority Date Filing Date
CZ20023010A CZ300943B6 (cs) 2002-09-06 2002-09-06 Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení

Country Status (1)

Country Link
CZ (1) CZ300943B6 (cs)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6026502A (en) * 1997-01-27 2000-02-15 Wakayama; Hironori Method and mechanism for preventing from invading of computer virus and/or hacker
DE19838253A1 (de) * 1998-08-22 2000-02-24 Inst Telematik Ev Datenverbindung zwischen zwei Rechnern und Verfahren zur Datenübertragung zwischen zwei Rechnern
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US20020032755A1 (en) * 2000-09-13 2002-03-14 Marc Abrahams Registration system and method using a back end server
CA2432589A1 (en) * 2000-12-22 2002-07-04 Research In Motion Limited Wireless router system and method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6026502A (en) * 1997-01-27 2000-02-15 Wakayama; Hironori Method and mechanism for preventing from invading of computer virus and/or hacker
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
DE19838253A1 (de) * 1998-08-22 2000-02-24 Inst Telematik Ev Datenverbindung zwischen zwei Rechnern und Verfahren zur Datenübertragung zwischen zwei Rechnern
US20020032755A1 (en) * 2000-09-13 2002-03-14 Marc Abrahams Registration system and method using a back end server
CA2432589A1 (en) * 2000-12-22 2002-07-04 Research In Motion Limited Wireless router system and method

Also Published As

Publication number Publication date
CZ20023010A3 (en) 2004-04-14

Similar Documents

Publication Publication Date Title
US6854063B1 (en) Method and apparatus for optimizing firewall processing
US5550984A (en) Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5935245A (en) Method and apparatus for providing secure network communications
US6901517B1 (en) Hardware based security groups, firewall load sharing, and firewall redundancy
US6003084A (en) Secure network proxy for connecting entities
US7581247B2 (en) Network address translation gateway for networks using non-translatable port addresses
US7797411B1 (en) Detection and prevention of encapsulated network attacks using an intermediate device
US7313618B2 (en) Network architecture using firewalls
US8726008B2 (en) Network security smart load balancing
US20020069356A1 (en) Integrated security gateway apparatus
CN101517979B (zh) 通过https连接的安全隧道
US7792990B2 (en) Remote client remediation
US20130246627A1 (en) Network access control system and method using adaptive proxies
Žagar et al. Security aspects in IPv6 networks–implementation and testing
RU2214623C2 (ru) Вычислительная сеть с межсетевым экраном и межсетевой экран
US20060150243A1 (en) Management of network security domains
US20050086533A1 (en) Method and apparatus for providing secure communication
US20020099795A1 (en) System and method for maintaining two-way asynchronous notification between a client and a web server
CZ300943B6 (cs) Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení
US20060047784A1 (en) Method, apparatus and system for remotely and dynamically configuring network elements in a network
US7860977B2 (en) Data communication system and method
RU53522U1 (ru) Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты)
AU2004292243A1 (en) A method of implementing a high-speed header bypass function
WO2001060019A1 (en) Computer security system
Woodall Firewall design principles

Legal Events

Date Code Title Description
MM4A Patent lapsed due to non-payment of fee

Effective date: 20020906