DE10138865C2 - Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken - Google Patents
Verfahren und Computersystem zur Sicherung der Kommunikation in NetzwerkenInfo
- Publication number
- DE10138865C2 DE10138865C2 DE10138865A DE10138865A DE10138865C2 DE 10138865 C2 DE10138865 C2 DE 10138865C2 DE 10138865 A DE10138865 A DE 10138865A DE 10138865 A DE10138865 A DE 10138865A DE 10138865 C2 DE10138865 C2 DE 10138865C2
- Authority
- DE
- Germany
- Prior art keywords
- client
- network
- computer
- control
- embedded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
Die Erfindung betrifft ein Verfahren und ein Computersystem
zur Sicherung der Kommunikation in Netzwerken, welche
speziell als eingebettetes Hard- und Softwaresystem für den
mobilen Anwender eingesetzt werden können, z. B. als in ein
Kabel integrierte Mikroprozessorhardware, auf der ein
geeignetes eingebettetes Betriebssystem und die für die
jeweiligen Sicherheitsfunktionen notwendigen Systemprogram
me laufen.
Für bekannte Sicherheitslösungen, wie z. B. Firewall, Vir
tual Private Networkts (VPN) oder Intrusion Detection Sy
stems werden zwei Ansätze verfolgt: entweder werden auf dem
auf das Internet zugreifenden Gerät (Client; z. B. PC,
Notebook o. ä.) spezielle Soft- oder Hardware-Installatio
nen vorgenommen oder die notwendigen Sicherheitsfunktionen
werden durch den Anbieter (Provider) des Internetzuganges
zentral bereitgestellt.
Ein mobiler Nutzer, wie z. B. ein Geschäftsreisender, hat
das Problem, daß er u. U. ständig den Anbieter eines Inter
netzuganges wechseln muß, um entsprechend schnell und ko
stengünstig über das Internet kommunizieren zu können. Er
weiß in der Regel nicht, ob und welche Sicherheitsvorkeh
rungen der lokale Anbieter des Internetzugangs liefert und
muß sich deshalb selbst schützen. Das kann bisher nur
dadurch erfolgen, daß der mobile Nutzer entsprechende
Software auf seinem mobilen Gerät vorhält, die er
gegebenenfalls an die Gegebenheiten des jeweiligen Netzanbieters
anpassen muß. Die Konfigurierung ist in der Regel
eine Aufgabe, die nur durch besonders geschultes Personal
vorgenommen werden kann und die bei jedem neuen (mobilen)
Gerät wiederholt werden muß.
Bisherige in Software realisierte Lösungen haben das Pro
blem, daß sie oft nicht richtig konfiguriert sind, und daß
andere auf dem zu sichernden Rechner laufende Software
unbeabsichtigte Einflüsse haben kann. Das gesamte System
ist dann in einem nicht definierten und somit unsicheren
Zustand. Eine von einem Benutzer konfigurierte Sicherheits
software leistet bei Fehlkonfigurationen keinerlei Schutz
und bietet daher nur eine trügerische Sicherheit. Software,
die Sicherheit gewähren soll, muß daher von einem in diesem
Bereich speziell geschulten Administrator konfiguriert
werden.
In der US-Patentschrift US 5,896,499 "Embedded Security
Processor" wird ein eingebetteter Sicherheitsprozessor
beschrieben. Dieser Prozessor wird in Verbindung mit dem
Hauptprozessor des zu schützenden Systems genutzt. Eine
bevorzugte Einsatzvariante des Sicherheitsprozessors sieht
vor, der sich der Sicherheitsprozessor auf einem Erweiterungs-
Board befindet. Der Sicherheitsprozessor bezieht sein Programm
aus einem Datenspeicher des zu schützenden Systems, wobei der
Zugriff vom Hauptprozessor des zu schützenden Systems
gesteuert wird. Das zu schützende System stellt somit die vom
Sicherheitsprozessor benötigten Daten bereit, wird somit als
vertrauenswürdig angesehen. Bei Manipulationen des zu
schützenden Systems oder bei Befall mit Schadsoftware wirkt
sich dieses Konzept nachteilig auf die Sicherheit des Systems
aus, da durch Änderung des Inhalts des Datenspeichers, aus dem
der Sicherheitsprozessor seine Daten bezieht, die Funktion des
Sicherheitsprozessors beeinträchtigt werden kann.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren
zur Sicherung der Kommunikation in Netzwerken sowie ein
Computersystem zur Ausführung dieses Verfahrens zu schaffen,
die die genannten Nachteile der vorhandenen Lösungen beheben,
und insbesondere ein Verfahren bereitzustellen, durch welches
sicherheitsrelevante Daten und die Ausführung der
Sicherheitsfunktionen gegen Zugriffe von außen, insbesondere
gegen Zugriffe durch auf dem zu schützenden System (Client)
installierte Software, geschützt werden.
Diese Aufgabe wird erfindungsgemäß gelöst durch die Merkmale
im kennzeichnenden Teil der Ansprüche 1 und 9 im
Zusammenwirken mit den Merkmalen im Oberbegriff. Zweckmäßige
Ausgestaltungen der Erfindung sind in den Unteransprüchen
enthalten.
Ein besonderer Vorteil der Erfindung liegt darin, daß bei dem
Verfahren zur Sicherung der Kommunikation in Netzwerken unter
Zwischenschaltung einer als embedded System ausgebildeten
Datenverarbeitungseinrichtung zwischen Nutzer-Rechner (Client)
und Netzwerkzugang der Datenaustausch zwischen Client und
Netzwerk durch das embedded System kontrolliert und/oder
gesteuert wird, wobei das embedded System als autonome Einheit
arbeitet, in dem Sinne, daß alle für die korrekte Ausführung
der auf dem embedded System installierten Kontroll- und/oder
Steuerfunktionen erforderlichen Daten auf dem embedded System
verfügbar sind und die Konfiguration des embedded System
und/oder auf dem embedded System installierte Kontroll-
und/oder Steuerfunktionen allein über eine vom Client-
Betriebsystem unabhängige Verbindung veränderbar sind.
Ein Computersystem zur Ausführung eines Verfahrens zur
Sicherung der Kommunikation in Netzwerken gemäß Anspruch 1 ist
vorteilhafterweise so aufgebaut, daß das Computersystem als
Singleboardcomputer oder als Chip-Lösung ausgebildet ist und
Mittel zum Datenaustausch mit einem Client-Rechner, Mittel zum
Datenaustausch mit dem Netzwerk und Mittel zur Kontrolle
und/oder Steuerung der Kommunikation zwischen Client-Rechner
und Netzwerk umfasst, wobei die für die korrekte Arbeitsweise
der Mittel zur Kontrolle und/oder Steuerung erforderlichen
Daten auf dem Computersystem selbst verfügbar sind und das
embedded System so eingerichtet ist, daß die Konfiguration
und/oder auf dem embedded System installierte Kontroll- und
Steuerfunktionen allein über eine vom Client-Betriebsystem
unabhängige Verbindung veränderbar sind.
Weitere Vorteile der Erfindung gegenüber einer reinen
Softwarelösung auf dem Client wie z. B. PC oder mobilen
Geräten (Notebook, PDA o. ä.) liegen darin, daß durch die
Erfindung der Client vor dem direkten Zugriff aus dem
Internet geschützt wird, da er keine aus dem Internet
erreichbare IP-Adresse erhält. Die Konfigurationsdaten für
den Internet-/Intranet-Zugang liegen geschützt auf dem
erfindungsgemäßen Computersystem und nicht auf dem Client.
Die Daten sind somit nicht vom Benutzer kopierbar oder
veränderbar.
In der Erfindung liegt ein eingebettetes Hard- und Soft
waresystem vor, welches der Benutzer nicht ändern kann und
nicht zu ändern braucht. Das Problem der bisherigen Soft
warelösungen, daß sie aufgrund der hohen Komplexität der
Systeme bzw. durch mangelhafte Kompetenz des Administrators
oft nicht richtig konfiguriert sind oder daß andere Soft
ware unbeabsichtigte Einflüsse haben kann, wird damit beho
ben.
Die Erfindung vereint einen Mini-Firewall und ein VPN in
einem Gerät. Die komplexe Konfiguration eines solchen
Systems entfällt für den Benutzer. Sie wird nur vom Admini
strator vorgenommen, wodurch ein hohes Sicherheitslevel
erreicht wird.
Alle Keys (Schlüssel, Passwörter) und personenspezifischen
Informationen werden sicher auf der vom Client unabhängigen
Hardware des eingebetteten Hard- und Softwaresystems
gespeichert. Somit muß diese Information nicht auf dem
Client vorgehalten werden. Auch diese Trennung - es gibt
hier zwei unterschiedliche Betriebssysteme - führt dazu,
daß die gesamte Sicherheit auf ein weitaus höheres Level
gehoben wird, als wenn sich alle Software auf nur einem
System befindet. Dieses Prinzip der unterschiedlichen
Betriebssysteme wird bei mehrstufigen Firewalls ganz bewußt
angewendet, um Angriffe wirksamer abzuwehren.
Die Konfiguration des eingebetteten Hard- und Software
systems ist remote über einen sicheren Kanal durchführbar.
Der Administrator muß sich dabei nur noch mit der Konfi
guration einer Software beschäftigen, da das eingebettete
Hard- und Softwaresystem nicht vom Betriebssystem des zu
schützendem (mobilen) Gerätes abhängig ist. Bisher mußte
ein Administrator für jedes im Einsatz befindliche
Betriebssystem (Unix, MacOS, Windows, . . .) wissen, welche
Software zu welchem Zweck der Absicherung (Firewalling/VPN)
verfügbar ist und wie diese konfiguriert werden muß.
Die Erfindung soll nachstehend anhand von einem zumindest
teilweise in den Figuren dargestellten Ausführungsbeispie
len näher erläutert werden.
Es zeigen:
Fig. 1 Anordnung des Computersystems bei Anschluß eines
Client an ein Kommunikationsnetzwerk,
Fig. 2 Blockschaltbild der Hardware-Module des Computer
systems,
Fig. 3 auf dem Prozessor des Computersystems instal
lierte Software-Komponenten,
Fig. 4 Darstellung der client- bzw. serverseitigen
Datenflüsse,
Fig. 5 Darstellung beispielhafter Schnittstellen des
Computersystems.
Moderne eingebettete Systeme (Singleboard Computer bzw.
Einplatinenrechner) zeichnen sich dadurch aus, daß sie
stark miniaturisiert werden können. Besonders kompakt sind
sog. Systems on Chip gestaltet. Um eine weitere Größenord
nung verringern sich die Abmessungen der Computersysteme,
wenn die Verfahren als Chip-Lösung in einem einzelnen Chip
ausgeführt sind. Eine beispielhafte Ausführung der Erfin
dung kann deshalb darin bestehen, daß ein eingebettetes
Hard- und Softwaresystem 1 verwendet wird, dessen physika
lische Größe die Implementierung in ein Kabel o. ä.
erlaubt. Eine beispielhafte Ausführung der Erfindung kann
deshalb darin bestehen, daß ein eingebettetes Hard- und
Softwaresystem 1 verwendet wird, dessen physikalische Größe
die Implementierung in ein Kabel o. ä. erlaubt. Die
eingebettete Software ist vorteilhaft so konfiguriert, daß
sie Sicherheitsfunktionen liefert, die den angeschlossenen
Client (z. B. ein mobiles Gerät) und den Internetzugang in
ihrer Funktion nicht beeinflussen und von diesen auch nicht
aus dem Kommunikationsprotokoll ersichtlich sind. Der
prinzipielle physikalische Aufbau ist in Fig. 2
dargestellt. Dabei ist es sinnvoll, daß wenigstens die
gängigsten Schnittstellen für die Kommunikation in
Netzwerken durch das eingebettete Hard- und Softwaresystem
1 unterstützt werden.
Der Client 2 (Notebook, PC usw.) kann beispielsweise über
folgende Schnittstellen (Interfaces) 4 angeschlossen werden
(vgl. auch Fig. 5):
- - RS-232-Schnittstelle 13,
- - Ethernet 14,
- - USB 15.
Das eingebettete Hard- und Softwaresystem 1 sollte für die
Verbindung mit dem Internet 6 mehrere Schnittstellen 5 zur
Verfügung stellen:
- - IRDA 16,
- - Bluetooth 17,
- - Ethernet 14 (z. B. ADSL),
- - RJ 45-Schnittstelle 19 (für den Anschluß ans Telefonnetz).
Dabei sind diese Aufzählungen nicht abschließen zu betrach
ten. Neu zu entwickelnde Schnittstellenprotokolle sollten
sinnvollerweise in das eingebettete Hard- und Software
system 1 integriert werden. Die Hardwarelösung wird zur
Minimalisierung - auch im Sinne des Minimalitätsprinzips
der Computersicherheit - so ausgelegt, daß nur die notwen
digen Ressourcen (CPU, Speicher) verwendet werden, die für
die Operation eines eingebetteten Betriebssystems notwendig
sind. Das eingebettete Betriebssystem und die für die
jeweilige Funktionalität notwendigen Systemprogramme unter
stützen Sicherheitsanwendungen in der Weise, daß alle
Sicherheitsfunktionen derart implementiert werden, daß
keine Veränderungen auf dem Client 2 oder an dem Inter
netzugang notwendig sind. Eine Konfiguration der Sicher
heitssoftware kann nur durch den Systemadministrator
erfolgen, der in diesem Bereich erheblich besser ausgebildet
ist als ein normaler Benutzer. Das eingebettete Hard-
und Softwaresystem 1 kann dann die Sicherheit des zu
schützenden, dahinterliegenden Geräts (Client 2) gewährlei
sten, ohne daß vom Benutzer in die Konfiguration der für
die Sicherheit notwendigen Software eingegriffen werden muß
oder kann.
Das eingebettete Hard- und Softwaresystem 1 übernimmt beim
Anschluß an ein Fremdnetz (z. B. das Internet 6) zum einen
die für den Client 2 notwendige Firewall-Funktionalität und
steht zum anderen gleichzeitig als Server für die
Kommunikation des Client 2 über ein VPN zum internen
Firmennetzwerk (Intranet 7) zur Verfügung. Durch die
räumliche Trennung der zum Arbeiten benutzten Hard- und
Software von der auf einem 'gehärteten' Betriebssystem
befindlichen zur Sicherheit notwendigen Firewall- und VPN-
Software ist die Sicherheit des zu schützenden Computers
wesentlich höher, als wenn alle Programme auf einer
Maschine laufen. Dabei versteht man unter einem 'gehär
teten' Betriebssystem ein auf die absolut notwendige
Funktionalität reduziertes Betriebssystem. In der Computer
sicherheit gilt das Minimalitätsprinzip: je weniger Soft
ware auf einem Gerät zur Verfügung steht, desto geringer
ist die Anfälligkeit auf sicherheitsrelevante Fehler in der
Software, die einen Angriff ermöglichen können. Anderer
seits ist die Verhinderung der Konfiguration durch einen
Benutzer, der durch eine unabsichtliche Fehlkonfiguration
die Sicherheit des zu schützenden Gerätes in wesentlichen
Teilen beeinträchtigen könnte, auch nur durch die räumliche
Trennung der Komponenten 'Arbeit' und 'Sicherheit' möglich.
Bei dem erfindungsgemäßen Verfahren wird die Kommunikation
beispielsweise zwischen einem mobilen Gerät (Client 2) und
dem Internet 6 durch das eingebettete Hard- und Software
system 1 vermittelt. Die notwendigen und optional möglichen
Softwarekomponenten sind in Fig. 3 dargestellt. Für ein
Basissystem sind dabei der transparente Router/VPN (IPSEC)
20, der DHCP 23, das Key Management 25, der Firewall 26 und
die Remote Control 27 als notwendige Module anzusehen.
Weitere Module können natürlich hinzugefügt werden; sie
dienen der Funtionalitätserweiterung, die z. B. als Viren-
Scanner für e-mails implementiert sein kann.
Ein direkter Datenfluß zwischen dem Client 2 und dem
Internet 6 besteht bei dem Einsatz der Erfindung nicht.
Vielmehr wird eine Verbindung zwischen dem Client 2 und dem
eingebetteten Hard- und Softwaresystem 1, sowie separat
zwischen dem eingebetteten Hard- und Softwaresystem 1 und
dem Internet 6 aufgebaut. Die Aufteilung der Datenflüsse
zeigt Fig. 4.
Der Systemadministrator konfiguriert das eingebettete Hard-
und Softwaresystem 1 und setzt dabei bspw. bei Nutzung
eines VPN die folgenden Parameter:
- - X.509 Zertifikat für das eingebettete Hard- und Softwaresystem 1 und Private Key,
- - X.509 Zertifikat der Firma, die das VPN nutzt,
- - Adresse des Netzwerks hinter dem VPN Gateway der Firma,
- - Adresse des VPN Gateways der Firma.
Wenn der Benutzer das eingebettete Hard- und Softwaresystem
1 für die Kommunikation in einem Netzwerk nutzt, wird zwi
schen dem mobilen Gerät (Client 2) und dem eingebetteten
Hard- und Softwaresystem 1 eine Verbindung aufgebaut (z. B.
durch den DHCP-Server des eingebetteten Hard- und
Softwaresystems 1). Außerdem wird eine Verbindung zwischen
dem eingebetteten Hard- und Softwaresystem 1 und dem
Internet 6 aufgebaut, bei der das VPN und der Firewall 26
aktiviert werden.
Das eingebettete Hard- und Softwaresystem 1 und ein
spezieller Server 3 innerhalb des Unternehmens, welches das
VPN einsetzt, dienen dabei als Endpunkte des VPN. Entweder
ist der Server 3 als Internetzugang für das Unternehmen
ausgeprägt oder aber die IP Pakete werden vom eingebetteten
Hard- und Softwaresystem 1 durch den existierenden Inter
netzugang zum Server 3 getunnelt (VPN-Endpunkte). Außerdem
ist der Server 3 für die Konfiguration des eingebetteten
Hard- und Softwaresystems 1 verantwortlich. Meldet sich ein
Client 2 über das eingebettete Hard- und Softwaresystem 1
beim Server 3 an, wird außerdem der SW-Stand des eingebet
tete Hard- und Softwaresystems 1 überprüft und gegebenen
falls erneuert (automatisches Update). Weiterhin ist der
Server 3 für die dedizierte Zugriffskontrolle auf die
firmeninternen Ressourcen notwendig.
Das VPN wickelt über UDP 500 den Schlüsselaustausch mit dem
vorkonfigurierten VPN Gateway der Firma ab. Nach erfolg
reichem Schlüsseltausch werden IP Pakete vom Typ 50 (ESP)
(das sind die verschlüsselten IP Pakete) zwischen dem ein
gebetteten Hard- und Softwaresystem 1 und dem VPN Gateway
ausgetauscht. Welche IP Pakete das eingebettete Hard- und
Softwaresystem 1 verschlüsseln und dem VPN Gateway zukommen
lassen muß, erkennt es über die vorkonfigurierte Adresse
des Netzwerks hinter dem VPN Gateway der Firma, die
computer-technisch ein Eintrag im Routing Table auf dem
virtuellen IPSec Device ist.
Danach steht die VPN-Verbindung, ein geregelter und ge
schützter Zugriff in das Firmen Interanet 7 sowie ins
Internet 6 kann stattfinden. Das gebettete Hard- und Soft
waresystem 1 läßt sich somit transparent in den Verbin
dungsweg zwischen dem Client 2 und dem Internet 6 einfügen.
Aus Sicht des mobilen Geräts (Client 2) stellt das ein
gebettete Hard- und Softwaresystem 1 bereits das Modem 18
oder den LAN Anschluß zum Internet 6 dar, spezifische
Softwareanpassungen sind auf dem mobilen Gerät nicht
notwendig.
Der Firewall 26 schützt den Client 2 auf zweierlei Weise,
zum einen wirkt er als Paketfilter, zum anderen maskiert er
die IP-Adresse des Clients 2. Diese zwei Funktionen des
Firewalls 26 dienen dazu, Angriffe auf den Client 2 zu
erschweren.
Der Firewall 26 wirkt als Paketfilter folgendermaßen: Der
Firewall 26 ermöglicht eine Initialisierung von Verbindun
gen über TCP nur von dem zu schützenden Client 2 aus.
Initialisierungen aud der anderen Richtung, also Initiali
sierungen von Verbindungen zu dem Client 2 werden am
Firewall 26 nur eingeschränkt zugelassen oder generell
abgelehnt und verhindern dadurch einen unerwünschten
Datenaustausch. Verbindungen über UDP (User Datagram
Protocol) werden nur über die Ports, die zur Kommunikation
des Clients 2 mit dem Internet 6 und dem internen
Firmennetz (Intranet 7) notwendig sind, zugelassen. Auch
Pakete, die das Protokoll ICMP (Internet Control Message
Protocol) benutzen, werden nur beschränkt auf das unbedingt
Notwendige durch den Firewall 26 durchgelassen.
Zum Nutzen der Maskierung: Die IP-Adresse, die der Firewall
26 bei einer Einwahl über eine Telefonleitung in das
Internet 6 erhält, wird derzeit i. A. vom Internetprovider
dynamisch vergeben. Das bedeutet, daß der Provider der
einwählenden Maschine eine IP-Adresse erteilt, die sich von
Einwahl zu Einwahl ändern kann. Eine feste IP-Adresse, die
sich nicht von Einwahl zu Einwahl ändert, ist nur bei
manchen Providern erhältlich. Bei Nutzung des eingebetteten
Hard- und Softwaresystems 1 erscheint als IP-Adresse nach
außen die IP-Adresse, die vom Provider dem Firewall 26
zugeordnet wird. Die IP-Adresse des Clients 2 wird nach
außen hin verborgen. Dadurch, daß die IP-Adresse des
Clients 2 nach außen hin nicht erscheint, sind auch
Angriffe wesentlich schwerer durchzuführen, da für einen
gezielten Angriff die Kenntnis der IP-Adresse des
Computers, der angegriffen werden soll, notwendig ist.
Alternativ kann die Erfindung auch als ein System on Chip
oder als Chip-Lösung ausgeführt sein, wodurch sie sich
aufgrund der kleinen Bauform (Chip-Größe) leicht z. B. in
eine PCMCIA-Karte oder ein (Funk-)Telefongerät integrieren
läßt. Dadurch ist die Erfindung auch einsetzbar, wenn für
den Zugang in ein Netzwerk solche Schnittstellen wie z. B.
WLAN (Wireless Local Area Network), GPRS (General Paket
Radio Services) oder UMTS (Universal Mobile Telecommuni
cations Systems) genutzt werden oder etwa bei
gebührenpflichtigen Netzdiensten eine Pay-Card eingesetzt
werden soll.
Die Erfindung ist nicht beschränkt auf die hier darge
stellten Ausführungsbeispiele. Vielmehr ist es möglich,
durch Kombination und Modifikation der genannten Mittel und
Merkmale weitere Ausführungsvarianten zu realisieren, ohne
den Rahmen der Erfindung zu verlassen.
1
eingebettetes Hard- und Softwaresystem
2
Client
3
Server
4
Client-Schnittstelle
5
Server-Schnittstelle
6
Internet
7
Intranet
8
Kommunikationsverbindung zwischen Client und
eingebettetem Hard- und Softwaresystem
9
Prozessor
10
RAM
11
Flash ROM
12
Stromversorgung
13
RS 232-Schnittstelle (serielle Schnittstelle)
14
Ethernet-Schnittstelle
15
USB-Schnittstelle
16
IRDA-Schnittstelle
17
Bluetooth-Schnittstelle
18
Modem/ISDN-Modul
19
RJ-45-Schnittstelle
20
transparenter Router/VPN (IPSEC)
21
Systemüberwachung
22
IDS
23
DHCP
24
automatisches Update
25
Key Management
26
Firewall
27
Remote Control
28
weitere optionale Software-Module (z. B.
Virenscanner)
29
Verbindungsaufbau zum Client
30
Austausch unverschlüsselter Daten
31
Austausch der IP-Adressen
32
Verbindungsaufbau zum Server
33
Datenaustausch zum Management
34
Datenaustausch zur Konfiguration des eingebetteten
Hard- und Softwaresystems
35
Datenaustausch beim Update des eingebetteten Hard-
und Softwaresystems
36
UMTS-Schnittstelle
37
DSL-Schnittstelle
38
GPRS-Schnittstelle
39
POT-Schnittstelle
Claims (15)
1. Verfahren zur Sicherung der Kommunikation in Netzwerken
unter Zwischenschaltung einer als embedded System
ausgebildeten Datenverarbeitungseinrichtung zwischen
Nutzer-Rechner (Client) und Netzwerkzugang,
dadurch gekennzeichnet, daß
der Datenaustausch zwischen Client und Netzwerk durch das
embedded System kontrolliert und/oder gesteuert wird, wobei
das embedded System als autonome Einheit arbeitet, in dem
Sinne, daß alle für die korrekte Ausführung der auf dem
embedded System installierten Kontroll- und/oder
Steuerfunktionen erforderlichen Daten auf dem embedded
System verfügbar sind und die Konfiguration des embedded
System und/oder auf dem embedded System installierte
Kontroll- und/oder Steuerfunktionen allein über eine vom
Client-Betriebsystem unabhängige Verbindung veränderbar
sind.
2. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, daß
die Konfiguration der Datenverarbeitungseinrichtung
und/oder der embedded Software über eine Schnittstelle zum
Netzwerk erfolgt.
3. Verfahren nach Anspruch 1,
dadurch gekennzeichnet, daß
die Wartung und/oder Pflege der embedded Software über das
Netzwerk erfolgt.
4. Verfahren nach Anspruch 3,
dadurch gekennzeichnet, daß
die Wartung und/oder Pflege der embedded Software die
Erweiterung der Funktionalität des Computerprogramms
umfaßt.
5. Verfahren nach einem der Ansprüche 1 bis 4,
dadurch gekennzeichnet, daß
das Computerprogramm den Datenaustausch hinsichtlich
unerlaubter Zugriffe aus dem Netzwerk kontrolliert.
6. Verfahren nach einem der Ansprüche 1 bis 4,
dadurch gekennzeichnet, daß
das Computerprogramm den Datenaustausch zwischen dem Client
und einem Virtual Private Network und/oder die
Verschlüsselung der Kommunikation steuert.
7. Verfahren nach einem der Ansprüche 1 bis 6,
dadurch gekennzeichnet, daß
die Konfiguration des embedded Systems clientspezifisch
vorgenommen und/oder auf ein Virtual Private Networks
abgestimmt wird.
8. Verfahren nach einem der Ansprüche 1 bis 7,
dadurch gekennzeichnet, daß
Kontrolle und/oder Steuerung für Client und/oder Netzwerk
transparent erscheint.
9. Computersystem zur Ausführung eines Verfahrens zur
Sicherung der Kommunikation in Netzwerken gemäß Anspruch 1,
wobei das Computersystem als Singleboardcomputer oder als
Chip-Lösung ausgebildet ist und Mittel zum Datenaustausch
mit einem Client-Rechner, Mittel zum Datenaustausch mit dem
Netzwerk und Mittel zur Kontrolle und/oder Steuerung der
Kommunikation zwischen Client-Rechner und Netzwerk umfasst,
wobei die für die korrekte Arbeitsweise der Mittel zur
Kontrolle und/oder Steuerung erforderlichen Daten auf dem
Computersystem selbst verfügbar sind und das embedded
System so eingerichtet ist, daß die Konfiguration und/oder
auf dem embedded System installierte Kontroll- und
Steuerfunktionen allein über eine vom Client-Betriebsystem
unabhängige Verbindung veränderbar sind.
10. Computersystem nach Anspruch 9,
dadurch gekennzeichnet, daß
die Mittel zum Datenaustausch mit dem Netzwerk
ein Modem und/oder
einen Funktelefonprozessor
umfassen.
die Mittel zum Datenaustausch mit dem Netzwerk
ein Modem und/oder
einen Funktelefonprozessor
umfassen.
11. Computersystem nach einem der Ansprüche 9 oder 10,
dadurch gekennzeichnet, daß
das Computersystem als System on Chip ausgeführt ist.
12. Computersystem nach einem der Ansprüche 9 bis 11,
dadurch gekennzeichnet, daß
das Computersystem in ein Kabel oder eine Karte oder ein
Chip für den Netzwerkzugang des Client-Rechners integriert
ist.
13. Computersystem nach Anspruch 9,
dadurch gekennzeichnet, daß
das Mittel zur Kontrolle und/oder Steuerung der Kommunika tion
einen Firewall und/oder
ein Intrusion Detection System und/oder
ein Public Key Management
umfaßt.
das Mittel zur Kontrolle und/oder Steuerung der Kommunika tion
einen Firewall und/oder
ein Intrusion Detection System und/oder
ein Public Key Management
umfaßt.
14. Computersystem nach Anspruch 9,
dadurch gekennzeichnet, daß
der Client-Rechner
ein Personalcomputer und/oder
ein Laptop und/oder
ein netzwerkfähiger Palmtop und/oder
ein netzwerkfähiges Telefon
ist.
der Client-Rechner
ein Personalcomputer und/oder
ein Laptop und/oder
ein netzwerkfähiger Palmtop und/oder
ein netzwerkfähiges Telefon
ist.
15. Computersystem nach einem der Ansprüche 9 bis 14,
dadurch gekennzeichnet, daß
das Computersystem eine client- und/oder VPN-spezifische
Konfiguration aufweist.
Priority Applications (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10138865A DE10138865C2 (de) | 2001-08-07 | 2001-08-07 | Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken |
DE20211995U DE20211995U1 (de) | 2001-08-07 | 2002-07-29 | Computersystem zur Sicherung der Kommunikation in Netzwerken |
PCT/EP2002/008421 WO2003015369A2 (de) | 2001-08-07 | 2002-07-29 | Verfahren und computersystem zur sicherung der kommunikation in netzwerken |
AU2002327912A AU2002327912A1 (en) | 2001-08-07 | 2002-07-29 | Method and computer system for securing communication in networks |
US10/486,108 US7430759B2 (en) | 2001-08-07 | 2002-07-29 | Method and computer system for securing communication in networks |
EP02762408.9A EP1417820B1 (de) | 2001-08-07 | 2002-07-29 | Verfahren und computersystem zur sicherung der kommunikation in netzwerken |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10138865A DE10138865C2 (de) | 2001-08-07 | 2001-08-07 | Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10138865A1 DE10138865A1 (de) | 2003-02-27 |
DE10138865C2 true DE10138865C2 (de) | 2003-08-14 |
Family
ID=7694749
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10138865A Expired - Lifetime DE10138865C2 (de) | 2001-08-07 | 2001-08-07 | Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE10138865C2 (de) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10305413B4 (de) | 2003-02-06 | 2006-04-20 | Innominate Security Technologies Ag | Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium |
WO2007038872A1 (en) | 2005-10-05 | 2007-04-12 | Byres Security Inc. | Network security appliance |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5896499A (en) * | 1997-02-21 | 1999-04-20 | International Business Machines Corporation | Embedded security processor |
WO2002007384A1 (en) * | 2000-07-03 | 2002-01-24 | Zimocom Inc. | Firewall system combined with embedded hardware and general-purpose computer |
-
2001
- 2001-08-07 DE DE10138865A patent/DE10138865C2/de not_active Expired - Lifetime
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5896499A (en) * | 1997-02-21 | 1999-04-20 | International Business Machines Corporation | Embedded security processor |
WO2002007384A1 (en) * | 2000-07-03 | 2002-01-24 | Zimocom Inc. | Firewall system combined with embedded hardware and general-purpose computer |
Also Published As
Publication number | Publication date |
---|---|
DE10138865A1 (de) | 2003-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1417820B1 (de) | Verfahren und computersystem zur sicherung der kommunikation in netzwerken | |
DE10052312B4 (de) | Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze | |
DE102005037968B4 (de) | Schutzsystem für eine Netzwerkinformationssicherheitszone | |
DE102016124383B4 (de) | Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen | |
DE602004003568T2 (de) | Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät | |
EP3451624B1 (de) | Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks | |
DE202007019129U1 (de) | Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung | |
EP1128615A2 (de) | Verfahren und Kommunikationseinrichtung zur Verschlüsselung von E-Mail | |
EP3970337A1 (de) | Verfahren zum selektiven ausführen eines containers und netzwerkanordnung | |
DE10241974B4 (de) | Überwachung von Datenübertragungen | |
EP1298529A2 (de) | Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms | |
DE10138865C2 (de) | Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken | |
EP3105898A1 (de) | Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur | |
EP1645098B1 (de) | Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes | |
WO2006076752A1 (de) | Computersicherheitssystem | |
DE60127187T2 (de) | System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen | |
EP1496666A1 (de) | Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs | |
DE102006038599B3 (de) | Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung | |
EP1496665B1 (de) | Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz | |
DE102005050336B4 (de) | Verfahren und Anordnung zum Betreiben eines Sicherheitsgateways | |
WO2020065476A1 (de) | System und verfahren für einen zugriff auf daten in einem internen bereich | |
EP4228204A1 (de) | Zero trust für ein operational technology netzwerk transport protokoll | |
Winter | Firewall Best Practices | |
DE10234562B4 (de) | Sichere Netzwerkarchitektur | |
EP3700171A1 (de) | Prüfung und bestätigung der sicherheitskonfiguration der netzwerkzugriffe an einem rendezvous-server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8304 | Grant after examination procedure | ||
8364 | No opposition during term of opposition | ||
R082 | Change of representative | ||
R081 | Change of applicant/patentee |
Owner name: PHOENIX CONTACT CYBER SECURITY AG, DE Free format text: FORMER OWNER: INNOMINATE SECURITY TECHNOLOGIES AG, 12489 BERLIN, DE |
|
R071 | Expiry of right |