CZ300943B6 - Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení - Google Patents
Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení Download PDFInfo
- Publication number
- CZ300943B6 CZ300943B6 CZ20023010A CZ20023010A CZ300943B6 CZ 300943 B6 CZ300943 B6 CZ 300943B6 CZ 20023010 A CZ20023010 A CZ 20023010A CZ 20023010 A CZ20023010 A CZ 20023010A CZ 300943 B6 CZ300943 B6 CZ 300943B6
- Authority
- CZ
- Czechia
- Prior art keywords
- network
- server
- networks
- data connection
- interconnection
- Prior art date
Links
Abstract
Zpusob podle vynálezu spocívá v tom, že se datové spojení ze sítového zarízení umísteného v první síti (1) na výstupu z této první síte (1) zakoncí, pricemž se z "front" serveru (9) predá informace o nove ustaveném datovém spojení "back" serveru (8), jehož programový prostredek proverí oprávnenost tohoto datového spojení. Pri oprávnenosti ustaveného datového spojení iniciuje "back" server (8) datové spojení se sítovým zarízením, umísteným v alespon jedné další síti (2, 3, 4) a predává se mu datový obsah. Datový obsah v opacném smeru se predává pres "back" server (8) na "front" server (9) a dále sítovému zarízení v první síti (1). Propojení sítí spocívá v tom, že má nekompatibilní clen (7) s protokolem rozdílným od standardních sítových protokolu v síti (1, 2, 3, 4), vložený mezi "front" server (9), pripojený k první síti (1), a "back" server (8), pripojený k alespon jedné další síti (2, 3, 4).
Description
(57) Anotace:
Způsob podle vynálezu spočívá v tom, fe se datové spojení ze síťového zařízení umísířného v první síti (1) na výstupu z této první sítě (I) zakončí, přičemž se z front serveru (9) předá informace o nově ustaveném datovém pojení back serveru (8), jehož programový prostředek prověří oprávněnost tohoto datového spojení. Pří oprávněnosti ustaveného datového spojení iniciuje back server (8) datové spojení se síťovým zařízením, umístěným v alespoň jedné další síti (2, 3,4) a předává se mu datový obsah. Datový obsah v opačném směru se předává přes back server (8) na fronť' server (9) a dále síťovému zařízeni v první síti (I). Propojení sítí spočívá v tom, že má nekompatibilní člen (7) s protokolem rozdílným od standardních síťových protokolů v síti (I, 2,3,4), vložený mezí front server (9), připojený k první síti (1), a back server (8), připojený k alespoň jedné další síti (2,3, 4).
CO co
Tt σ>
o o
co
N
O
Způsob komunikace mezi sítěmi a propojení sítí k jeho provedení
Oblast techniky s
Vynález se týká způsobu komunikace mezi sítěmi, pomocí kterého se navzájem mezi sítěmi převádějí datová spojení a alespoň jedna síť se zabezpečuje proti zakázanému vstupu. Vynález se dále týká propojení sítí k provedení způsobu.
Dosavadní stav techniky
V současné době je zabezpečení dvou, případně více propojených sítí založeno na použití fírewallu, který filtruje provoz mezi dvěma, případně více sítěmi a rozhoduje, která data a v jakých směrech smějí procházet z jedné sítě do druhé. Firewally jsou určeny především pro paketové protokoly, jako jsou v dnešní době nejpoužívanější protokoly TCP/IP. Způsob zabezpečení pomocí fírewallu je v takových případech označován jako filtrování paketů.
Firewall je z hlediska logické struktury sítě tranparentní člen pracující na nízké úrovni, který se fyzicky chová jako směrovaě (router). Spolu komunikující síťová zařízení umístěná v různých sítích navazují spojení, v prostředí TCP/IP sítí zpravidla protokolem TCP respektive nad ním postaveným aplikačním protokolem, které transparentně prochází přes firewall a tudíž koncové body spojení jsou právě tato komunikující síťová zařízení.
Toto zabezpečení propojení dvou, případně více sítí, například připojení podnikové LAN na internet, má následující nevýhody:
chyba v implementaci fírewallu může umožnit útočníkovi nežádoucí průnik z jedné sítě do druhé, chyba v implementaci fírewallu může umožnit útočníkovi manipulaci s konfigurací fírewallu spolu s následným průnikem do chráněné sítě, chybná (nedostatečná) konfigurace fírewallu může umožnit útočníkovi nežádoucí průnik z jedné sítě do druhé, nedostatečné zabezpečení fírewallu samotného lze zneužít k útoku zevnitř z chráněné sítě, například za účelem umožnění průniku zvenčí, vynesení dat atd.
Firewall založený na filtrování paketů nemůže principiálně zabránit útokům spočívajícím ve zneužití bezpečnostních slabin síťových zařízení, a to ať z hlediska hardware nebo software, se kterými smí útočník legálně navázat komunikaci.
Podstata vynálezu
Úkolem vynálezu je vytvořit způsob komunikace mezí sítěmi a propojení sítí kjeho provedení, které nemají shora uvedené nevýhody stávajícího stavu techniky, neboje alespoň minimalizují.
Způsob komunikace mezi sítěmi spočívá podle vynálezu v tom, že se datové spojení ze síťového zařízení umístěného v první síti na výstupu z první sítě přeruší, přičemž se z front serveru předá informace o nově ustaveném datovém spojení back serveru, jehož programový prostředek prověří oprávněnost tohoto datového spojení. Při oprávněnosti ustaveného datového spojení iniciuje back server datové spojení se síťovým zařízením umístěným v alespoň jedné další síti a předává mu datový obsah. Datový obsah v opačném směru se předává analogicky pres back server na front server a dále síťovému zařízení v síti.
Propojení sítí spočívá podle vynálezu v tom, že.á nekompatibilní člen s protokolem rozdílným od standardních síťových protokolů v síti, vložený mezi back server připojený k první síti a front server připojený k alespoň jedné další síti. Softwarové vybavení back serveru spravuje a řídí konfiguraci bezpečnostního systému, realizuje se síťovým prostředím nekompatibilní komunikační protokol pro komunikaci s front serverem a po nekompatibilním členu ovládá front server. Front server implementuje protilehlou část komunikačního protokolu a svoji činnost odvozuje od příkazů přijatých od back serveru. Back server instruuje front server, které příchozí spojení smí akceptovat a předávat na back server. Front server akceptuje povolená příchozí spojení a aplikační datový obsah předává spolu s informací o kategorii spojení back serveru. Back server podle ío kategorie spojení zvolí skutečné cílové zařízení, naváže s ním spojení a předává datový obsah od front serveru. Opačný datový tok je směrován analogicky s tím rozdílem, že potřebná spojení jsou již navázána.
V rozsahu vynálezu spočívá rovněž možnost pro zajištění proti útoku zevnitř další sítě propojení sítí rozšířit o další front server vložený mezi back server a další síť.
Přitom je výhodné, když protokol nekompatibilního členu má charakteristiku point-to-point.
Způsob a propojení sítí podle vynálezu přináší odstranění, nebo alespoň minimalizaci shora uve20 děných bezpečnostních nedostatků firewallů. Výhody způsobu a propojení sítí podle vynálezu spočívají zejména v tom, že:
implementace front serveru a back serveru jednoduchá, a tudíž pri ovládnutí front serveru, je velmi přístupného z první sítě, je minimalizováno riziko zneužití případné chyby v implementaci,
- ani vlivem chyby v implementaci front serveru nelze manipulovat s konfigurací, protože je spravována útočníkovi nepřístupným back serverem, který neimplementuje rozhraní pro její změny z front serveru první sítě, konfigurace zabezpečení na úrovni aplikačních spojení je řádově jednodušší, než konfigurace filtrovacích pravidel na úrovni jednotlivých paketů, tudíž je sníženo riziko mylné kon30 figurace bezpečnostního zařízení, nedostatečné zabezpečení front serveru, vedoucí k jeho úplnému ovládnutí útočníkem, neumožní průnik do další sítě, protože propojení obou sítí je realizováno nekompatibilním členem, který není standardně prostupný pro útočníkem použité síťové protokoly. Použití front serveru v obou sítích s back serverem uprostřed, umožňuje stejnou ochranu proti útoku z obou sítí.
Další výhodou způsobu a propojení sítí podle vynálezu je, že nejsou omezeny na žádnou konkrétní technologii, a to jak po stránce hardwaru (přenosových médií), tak i síťových protokolů a softwaru, a lze je, jednoduše bez dalších opatření, pro dosažení komplexního bezpečnostního systému kombinovat s dalšími prvky, které řeší jiné aspekty bezpečnosti, jako například s HTTP proxy, se zajištěním šifrování dat a autentizace přístupu pomocí SSL, se SOC KS proxy, s verifikací směrovaných aplikačních protokolů, samotným filtrováním paketů realizovaným za současného stavu techniky firewaly a podobně.
Přehled obrázků na výkrese
Další podrobnosti vynálezu jsou v následujícím objasněny pomocí výkresů na příkladech provedení. Na výkresech znázorňuje:
so obr. 1 propojení dvou sítí, z nichž druhá je chráněna před útokem z první sítě, obr. 2 propojení dvou sítí, z nichž každá je chráněna před útokem ze zbývající sítě a samotný back server je chráněn před útokem z každé sítě, obr. 3 propojení čtyř sítí, z nichž každá je chráněna před útoky z libovolné jiné sítě a samotný back server je chráněn před útokem z každé sítě.
Příklady provedení vynálezu
Na obr. 1 znázorněné propojení sítí I, 2 propojuje první síť I a druhou síť 2. Sestává z front serveru 9, který je připojen k první síti 1, a z back serveru 8, který je připojen ke druhé síti 2. Mezi front serverem 9 a back serverem 8 je vložen nekompatibilní člen 7. Front server 9 i back server ío 8 jsou u tohoto příkladu provedení tvořeny počítačem s příslušným operačním systémem. Toto propojení umožňuje, že se datové spojení ze síťového zařízení umístěného v první síti I na výstupu z první sítě I zakončí, přičemž se z front serveru 9 předá informace o nově ustaveném datovém spojení back serveru 8, jehož programový prostředek prověří oprávněnost tohoto datového spojení. Při oprávněnosti ustaveného datového spojení iniciuje back server 8 datové spojení se síťovým zařízením umístěným ve druhé síti 2 a předává mu datový obsah. Datový obsah v opačném směru se předává analogicky přes back server 8 na front server 9 a dále síťovému zařízení v první síti L
Propojení první sítě I a druhé sítě 2, znázorněné na obr. 2 sestává ze dvou front serverů 9, tvoře20 ných počítači, z nichž první front server 9 je připojen k první síti 1 a druhý front server 9 je připojen ke druhé síti 2. Mezi oběma front servery 9 je zapojen back server 8, tvořený rovněž počítačem, přičemž mezi front servery 9 a back serverem 8 jsou vloženy nekompatibilní Členy 7. Toto provedení umožňuje realizaci způsobu podle vynálezu také u příchozího datového spojení ze síťového zařízení umístěného v první síti f, jak je popsáno v souvislosti s obr. 1, ale obdobně také u příchozího datového spojení ze síťového zařízení umístěného v druhé síti 2. Tím je první síť i chráněna proti útoku z druhé sítě 2 a back server 8 samotný je navíc na rozdíl od případu na obr. 1 chráněn proti útoku z druhé sítě 2.
Na obr. 3 je znázorněno propojení čtyř sítí 1, 2, 3, 4, které sestává ze čtyř front serverů 9, který jsou připojeny vždy jeden front server 9 k jedné síti 1, 2, 3, 4 a back serveru 8, který je zapojen mezi těmito front servery 9, přičemž mezi front servery 9 a back serverem 8 jsou vloženy nekompatibilní členy 7. Front servery 9 i back server 8 jsou i v tomto případě tvořeny počítači. Pomocí tohoto propojení je každá ze sítí 1,2,3,4 chráněna před útoky z libovolné z těchto sítí 1, 2,3,4.
Způsob podle vynálezu lze v prostředí dnes nejběžněji používaných sítí TCP/IP s přenosovým médiem Ethernet realizovat pomocí back serveru 8 a front serverů 9, tvořenými běžnými počítači s vhodným operačním systémem (MS Windows, Linux a podobně) a nekompatibilním členem 7, tvořeným standardními nebo vysokorychlostními sériovými porty, nebo rozhraním SCSI (Smáli
Computer System Interface), nebo rozhraním SCI (Scalable Coherent Interface), případně proprietámím propojovacím zařízením nekompatibilním s TCP/IP a Ethemetem a pomocí speciálního aplikačního softwarového vybavení realizujícího vlastní bezpečnostní funkce.
Claims (4)
- PATENTOVÉ NÁROKY so 1. Způsob komunikace mezí sítěmi, pomocí kterého se navzájem mezi sítěmi (1,
- 2,
- 3,4) převádějí datová spojení a alespoň jedna síť (1, 2, 3, 4) se zabezpečuje proti zakázanému vstupu, vyznačující se tím, že se datové spojení ze síťového zařízení umístěného v první sítí (1) na výstupu z této první sítě (1) zakončí, přičemž se z front serveru (9) předá informace o nově ustaveném datovém spojení back serveru (8), jehož programový prostředek prověří oprávněnost55 tohoto datového spojení, při oprávněnosti ustaveného datového spojení iniciuje back server (8)CZ 300943 Bó datové spojení se síťovým zařízením umístěným v alespoň jedné další síti (2, 3, 4) a předává se mu datový obsah, přičemž datový obsah v opačném směru se předává přes back server (8) na front server (9) a dále síťovému zařízení v první síti (1).5 2. Propojení sítí k provedení způsobu komunikace mezi sítěmi podle nároku 1, vyznačující se tím, že má nekompatibilní člen (7) s protokolem rozdílným od standardních síťových protokolů v síti (1, 2, 3, 4), vložený mezi front server (9), připojený k první síti (1), a back server (8), připojený k alespoň jedné další síti (2,3,4).ío 3. Propojení podle nároku 2, vyznačující se tím, že mezi back serverem (8) a další sítí (2,3,4) je vložen další front server (9).
- 4. Propojení podle nároku 2 nebo 3, vyznačující se tím, že protokol nekompatibilního členu (7) má charakteristiku, point-to-point.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CZ20023010A CZ300943B6 (cs) | 2002-09-06 | 2002-09-06 | Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CZ20023010A CZ300943B6 (cs) | 2002-09-06 | 2002-09-06 | Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení |
Publications (2)
Publication Number | Publication Date |
---|---|
CZ20023010A3 CZ20023010A3 (en) | 2004-04-14 |
CZ300943B6 true CZ300943B6 (cs) | 2009-09-23 |
Family
ID=32046697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CZ20023010A CZ300943B6 (cs) | 2002-09-06 | 2002-09-06 | Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení |
Country Status (1)
Country | Link |
---|---|
CZ (1) | CZ300943B6 (cs) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6026502A (en) * | 1997-01-27 | 2000-02-15 | Wakayama; Hironori | Method and mechanism for preventing from invading of computer virus and/or hacker |
DE19838253A1 (de) * | 1998-08-22 | 2000-02-24 | Inst Telematik Ev | Datenverbindung zwischen zwei Rechnern und Verfahren zur Datenübertragung zwischen zwei Rechnern |
US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US20020032755A1 (en) * | 2000-09-13 | 2002-03-14 | Marc Abrahams | Registration system and method using a back end server |
CA2432589A1 (en) * | 2000-12-22 | 2002-07-04 | Research In Motion Limited | Wireless router system and method |
-
2002
- 2002-09-06 CZ CZ20023010A patent/CZ300943B6/cs not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6026502A (en) * | 1997-01-27 | 2000-02-15 | Wakayama; Hironori | Method and mechanism for preventing from invading of computer virus and/or hacker |
US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
DE19838253A1 (de) * | 1998-08-22 | 2000-02-24 | Inst Telematik Ev | Datenverbindung zwischen zwei Rechnern und Verfahren zur Datenübertragung zwischen zwei Rechnern |
US20020032755A1 (en) * | 2000-09-13 | 2002-03-14 | Marc Abrahams | Registration system and method using a back end server |
CA2432589A1 (en) * | 2000-12-22 | 2002-07-04 | Research In Motion Limited | Wireless router system and method |
Also Published As
Publication number | Publication date |
---|---|
CZ20023010A3 (en) | 2004-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US6854063B1 (en) | Method and apparatus for optimizing firewall processing | |
US5550984A (en) | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information | |
US5935245A (en) | Method and apparatus for providing secure network communications | |
US6901517B1 (en) | Hardware based security groups, firewall load sharing, and firewall redundancy | |
US6003084A (en) | Secure network proxy for connecting entities | |
US7581247B2 (en) | Network address translation gateway for networks using non-translatable port addresses | |
US7797411B1 (en) | Detection and prevention of encapsulated network attacks using an intermediate device | |
US7313618B2 (en) | Network architecture using firewalls | |
US8726008B2 (en) | Network security smart load balancing | |
US20020069356A1 (en) | Integrated security gateway apparatus | |
CN101517979B (zh) | 通过https连接的安全隧道 | |
US7792990B2 (en) | Remote client remediation | |
US20130246627A1 (en) | Network access control system and method using adaptive proxies | |
Žagar et al. | Security aspects in IPv6 networks–implementation and testing | |
RU2214623C2 (ru) | Вычислительная сеть с межсетевым экраном и межсетевой экран | |
US20060150243A1 (en) | Management of network security domains | |
US20050086533A1 (en) | Method and apparatus for providing secure communication | |
US20020099795A1 (en) | System and method for maintaining two-way asynchronous notification between a client and a web server | |
CZ300943B6 (cs) | Zpusob komunikace mezi sítemi a propojení sítí k jeho provedení | |
US20060047784A1 (en) | Method, apparatus and system for remotely and dynamically configuring network elements in a network | |
US7860977B2 (en) | Data communication system and method | |
RU53522U1 (ru) | Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты) | |
AU2004292243A1 (en) | A method of implementing a high-speed header bypass function | |
WO2001060019A1 (en) | Computer security system | |
Woodall | Firewall design principles |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Patent lapsed due to non-payment of fee |
Effective date: 20020906 |