DE10138865C2 - Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken - Google Patents

Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken

Info

Publication number
DE10138865C2
DE10138865C2 DE10138865A DE10138865A DE10138865C2 DE 10138865 C2 DE10138865 C2 DE 10138865C2 DE 10138865 A DE10138865 A DE 10138865A DE 10138865 A DE10138865 A DE 10138865A DE 10138865 C2 DE10138865 C2 DE 10138865C2
Authority
DE
Germany
Prior art keywords
client
network
computer
control
embedded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE10138865A
Other languages
English (en)
Other versions
DE10138865A1 (de
Inventor
Frank Piepiorra
Michael Maechtel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact Cyber Security AG
Original Assignee
Innominate Security Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Innominate Security Technologies AG filed Critical Innominate Security Technologies AG
Priority to DE10138865A priority Critical patent/DE10138865C2/de
Priority to DE20211995U priority patent/DE20211995U1/de
Priority to PCT/EP2002/008421 priority patent/WO2003015369A2/de
Priority to AU2002327912A priority patent/AU2002327912A1/en
Priority to US10/486,108 priority patent/US7430759B2/en
Priority to EP02762408.9A priority patent/EP1417820B1/de
Publication of DE10138865A1 publication Critical patent/DE10138865A1/de
Application granted granted Critical
Publication of DE10138865C2 publication Critical patent/DE10138865C2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

Die Erfindung betrifft ein Verfahren und ein Computersystem zur Sicherung der Kommunikation in Netzwerken, welche speziell als eingebettetes Hard- und Softwaresystem für den mobilen Anwender eingesetzt werden können, z. B. als in ein Kabel integrierte Mikroprozessorhardware, auf der ein geeignetes eingebettetes Betriebssystem und die für die jeweiligen Sicherheitsfunktionen notwendigen Systemprogram­ me laufen.
Für bekannte Sicherheitslösungen, wie z. B. Firewall, Vir­ tual Private Networkts (VPN) oder Intrusion Detection Sy­ stems werden zwei Ansätze verfolgt: entweder werden auf dem auf das Internet zugreifenden Gerät (Client; z. B. PC, Notebook o. ä.) spezielle Soft- oder Hardware-Installatio­ nen vorgenommen oder die notwendigen Sicherheitsfunktionen werden durch den Anbieter (Provider) des Internetzuganges zentral bereitgestellt.
Ein mobiler Nutzer, wie z. B. ein Geschäftsreisender, hat das Problem, daß er u. U. ständig den Anbieter eines Inter­ netzuganges wechseln muß, um entsprechend schnell und ko­ stengünstig über das Internet kommunizieren zu können. Er weiß in der Regel nicht, ob und welche Sicherheitsvorkeh­ rungen der lokale Anbieter des Internetzugangs liefert und muß sich deshalb selbst schützen. Das kann bisher nur dadurch erfolgen, daß der mobile Nutzer entsprechende Software auf seinem mobilen Gerät vorhält, die er gegebenenfalls an die Gegebenheiten des jeweiligen Netzanbieters anpassen muß. Die Konfigurierung ist in der Regel eine Aufgabe, die nur durch besonders geschultes Personal vorgenommen werden kann und die bei jedem neuen (mobilen) Gerät wiederholt werden muß.
Bisherige in Software realisierte Lösungen haben das Pro­ blem, daß sie oft nicht richtig konfiguriert sind, und daß andere auf dem zu sichernden Rechner laufende Software unbeabsichtigte Einflüsse haben kann. Das gesamte System ist dann in einem nicht definierten und somit unsicheren Zustand. Eine von einem Benutzer konfigurierte Sicherheits­ software leistet bei Fehlkonfigurationen keinerlei Schutz und bietet daher nur eine trügerische Sicherheit. Software, die Sicherheit gewähren soll, muß daher von einem in diesem Bereich speziell geschulten Administrator konfiguriert werden.
In der US-Patentschrift US 5,896,499 "Embedded Security Processor" wird ein eingebetteter Sicherheitsprozessor beschrieben. Dieser Prozessor wird in Verbindung mit dem Hauptprozessor des zu schützenden Systems genutzt. Eine bevorzugte Einsatzvariante des Sicherheitsprozessors sieht vor, der sich der Sicherheitsprozessor auf einem Erweiterungs- Board befindet. Der Sicherheitsprozessor bezieht sein Programm aus einem Datenspeicher des zu schützenden Systems, wobei der Zugriff vom Hauptprozessor des zu schützenden Systems gesteuert wird. Das zu schützende System stellt somit die vom Sicherheitsprozessor benötigten Daten bereit, wird somit als vertrauenswürdig angesehen. Bei Manipulationen des zu schützenden Systems oder bei Befall mit Schadsoftware wirkt sich dieses Konzept nachteilig auf die Sicherheit des Systems aus, da durch Änderung des Inhalts des Datenspeichers, aus dem der Sicherheitsprozessor seine Daten bezieht, die Funktion des Sicherheitsprozessors beeinträchtigt werden kann.
Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zur Sicherung der Kommunikation in Netzwerken sowie ein Computersystem zur Ausführung dieses Verfahrens zu schaffen, die die genannten Nachteile der vorhandenen Lösungen beheben, und insbesondere ein Verfahren bereitzustellen, durch welches sicherheitsrelevante Daten und die Ausführung der Sicherheitsfunktionen gegen Zugriffe von außen, insbesondere gegen Zugriffe durch auf dem zu schützenden System (Client) installierte Software, geschützt werden.
Diese Aufgabe wird erfindungsgemäß gelöst durch die Merkmale im kennzeichnenden Teil der Ansprüche 1 und 9 im Zusammenwirken mit den Merkmalen im Oberbegriff. Zweckmäßige Ausgestaltungen der Erfindung sind in den Unteransprüchen enthalten.
Ein besonderer Vorteil der Erfindung liegt darin, daß bei dem Verfahren zur Sicherung der Kommunikation in Netzwerken unter Zwischenschaltung einer als embedded System ausgebildeten Datenverarbeitungseinrichtung zwischen Nutzer-Rechner (Client) und Netzwerkzugang der Datenaustausch zwischen Client und Netzwerk durch das embedded System kontrolliert und/oder gesteuert wird, wobei das embedded System als autonome Einheit arbeitet, in dem Sinne, daß alle für die korrekte Ausführung der auf dem embedded System installierten Kontroll- und/oder Steuerfunktionen erforderlichen Daten auf dem embedded System verfügbar sind und die Konfiguration des embedded System und/oder auf dem embedded System installierte Kontroll- und/oder Steuerfunktionen allein über eine vom Client- Betriebsystem unabhängige Verbindung veränderbar sind.
Ein Computersystem zur Ausführung eines Verfahrens zur Sicherung der Kommunikation in Netzwerken gemäß Anspruch 1 ist vorteilhafterweise so aufgebaut, daß das Computersystem als Singleboardcomputer oder als Chip-Lösung ausgebildet ist und Mittel zum Datenaustausch mit einem Client-Rechner, Mittel zum Datenaustausch mit dem Netzwerk und Mittel zur Kontrolle und/oder Steuerung der Kommunikation zwischen Client-Rechner und Netzwerk umfasst, wobei die für die korrekte Arbeitsweise der Mittel zur Kontrolle und/oder Steuerung erforderlichen Daten auf dem Computersystem selbst verfügbar sind und das embedded System so eingerichtet ist, daß die Konfiguration und/oder auf dem embedded System installierte Kontroll- und Steuerfunktionen allein über eine vom Client-Betriebsystem unabhängige Verbindung veränderbar sind.
Weitere Vorteile der Erfindung gegenüber einer reinen Softwarelösung auf dem Client wie z. B. PC oder mobilen Geräten (Notebook, PDA o. ä.) liegen darin, daß durch die Erfindung der Client vor dem direkten Zugriff aus dem Internet geschützt wird, da er keine aus dem Internet erreichbare IP-Adresse erhält. Die Konfigurationsdaten für den Internet-/Intranet-Zugang liegen geschützt auf dem erfindungsgemäßen Computersystem und nicht auf dem Client. Die Daten sind somit nicht vom Benutzer kopierbar oder veränderbar.
In der Erfindung liegt ein eingebettetes Hard- und Soft­ waresystem vor, welches der Benutzer nicht ändern kann und nicht zu ändern braucht. Das Problem der bisherigen Soft­ warelösungen, daß sie aufgrund der hohen Komplexität der Systeme bzw. durch mangelhafte Kompetenz des Administrators oft nicht richtig konfiguriert sind oder daß andere Soft­ ware unbeabsichtigte Einflüsse haben kann, wird damit beho­ ben.
Die Erfindung vereint einen Mini-Firewall und ein VPN in einem Gerät. Die komplexe Konfiguration eines solchen Systems entfällt für den Benutzer. Sie wird nur vom Admini­ strator vorgenommen, wodurch ein hohes Sicherheitslevel erreicht wird.
Alle Keys (Schlüssel, Passwörter) und personenspezifischen Informationen werden sicher auf der vom Client unabhängigen Hardware des eingebetteten Hard- und Softwaresystems gespeichert. Somit muß diese Information nicht auf dem Client vorgehalten werden. Auch diese Trennung - es gibt hier zwei unterschiedliche Betriebssysteme - führt dazu, daß die gesamte Sicherheit auf ein weitaus höheres Level gehoben wird, als wenn sich alle Software auf nur einem System befindet. Dieses Prinzip der unterschiedlichen Betriebssysteme wird bei mehrstufigen Firewalls ganz bewußt angewendet, um Angriffe wirksamer abzuwehren.
Die Konfiguration des eingebetteten Hard- und Software­ systems ist remote über einen sicheren Kanal durchführbar. Der Administrator muß sich dabei nur noch mit der Konfi­ guration einer Software beschäftigen, da das eingebettete Hard- und Softwaresystem nicht vom Betriebssystem des zu schützendem (mobilen) Gerätes abhängig ist. Bisher mußte ein Administrator für jedes im Einsatz befindliche Betriebssystem (Unix, MacOS, Windows, . . .) wissen, welche Software zu welchem Zweck der Absicherung (Firewalling/VPN) verfügbar ist und wie diese konfiguriert werden muß.
Die Erfindung soll nachstehend anhand von einem zumindest teilweise in den Figuren dargestellten Ausführungsbeispie­ len näher erläutert werden.
Es zeigen:
Fig. 1 Anordnung des Computersystems bei Anschluß eines Client an ein Kommunikationsnetzwerk,
Fig. 2 Blockschaltbild der Hardware-Module des Computer­ systems,
Fig. 3 auf dem Prozessor des Computersystems instal­ lierte Software-Komponenten,
Fig. 4 Darstellung der client- bzw. serverseitigen Datenflüsse,
Fig. 5 Darstellung beispielhafter Schnittstellen des Computersystems.
Moderne eingebettete Systeme (Singleboard Computer bzw. Einplatinenrechner) zeichnen sich dadurch aus, daß sie stark miniaturisiert werden können. Besonders kompakt sind sog. Systems on Chip gestaltet. Um eine weitere Größenord­ nung verringern sich die Abmessungen der Computersysteme, wenn die Verfahren als Chip-Lösung in einem einzelnen Chip ausgeführt sind. Eine beispielhafte Ausführung der Erfin­ dung kann deshalb darin bestehen, daß ein eingebettetes Hard- und Softwaresystem 1 verwendet wird, dessen physika­ lische Größe die Implementierung in ein Kabel o. ä. erlaubt. Eine beispielhafte Ausführung der Erfindung kann deshalb darin bestehen, daß ein eingebettetes Hard- und Softwaresystem 1 verwendet wird, dessen physikalische Größe die Implementierung in ein Kabel o. ä. erlaubt. Die eingebettete Software ist vorteilhaft so konfiguriert, daß sie Sicherheitsfunktionen liefert, die den angeschlossenen Client (z. B. ein mobiles Gerät) und den Internetzugang in ihrer Funktion nicht beeinflussen und von diesen auch nicht aus dem Kommunikationsprotokoll ersichtlich sind. Der prinzipielle physikalische Aufbau ist in Fig. 2 dargestellt. Dabei ist es sinnvoll, daß wenigstens die gängigsten Schnittstellen für die Kommunikation in Netzwerken durch das eingebettete Hard- und Softwaresystem 1 unterstützt werden.
Der Client 2 (Notebook, PC usw.) kann beispielsweise über folgende Schnittstellen (Interfaces) 4 angeschlossen werden (vgl. auch Fig. 5):
  • - RS-232-Schnittstelle 13,
  • - Ethernet 14,
  • - USB 15.
Das eingebettete Hard- und Softwaresystem 1 sollte für die Verbindung mit dem Internet 6 mehrere Schnittstellen 5 zur Verfügung stellen:
  • - IRDA 16,
  • - Bluetooth 17,
  • - Ethernet 14 (z. B. ADSL),
  • - RJ 45-Schnittstelle 19 (für den Anschluß ans Telefonnetz).
Dabei sind diese Aufzählungen nicht abschließen zu betrach­ ten. Neu zu entwickelnde Schnittstellenprotokolle sollten sinnvollerweise in das eingebettete Hard- und Software­ system 1 integriert werden. Die Hardwarelösung wird zur Minimalisierung - auch im Sinne des Minimalitätsprinzips der Computersicherheit - so ausgelegt, daß nur die notwen­ digen Ressourcen (CPU, Speicher) verwendet werden, die für die Operation eines eingebetteten Betriebssystems notwendig sind. Das eingebettete Betriebssystem und die für die jeweilige Funktionalität notwendigen Systemprogramme unter­ stützen Sicherheitsanwendungen in der Weise, daß alle Sicherheitsfunktionen derart implementiert werden, daß keine Veränderungen auf dem Client 2 oder an dem Inter­ netzugang notwendig sind. Eine Konfiguration der Sicher­ heitssoftware kann nur durch den Systemadministrator erfolgen, der in diesem Bereich erheblich besser ausgebildet ist als ein normaler Benutzer. Das eingebettete Hard- und Softwaresystem 1 kann dann die Sicherheit des zu schützenden, dahinterliegenden Geräts (Client 2) gewährlei­ sten, ohne daß vom Benutzer in die Konfiguration der für die Sicherheit notwendigen Software eingegriffen werden muß oder kann.
Das eingebettete Hard- und Softwaresystem 1 übernimmt beim Anschluß an ein Fremdnetz (z. B. das Internet 6) zum einen die für den Client 2 notwendige Firewall-Funktionalität und steht zum anderen gleichzeitig als Server für die Kommunikation des Client 2 über ein VPN zum internen Firmennetzwerk (Intranet 7) zur Verfügung. Durch die räumliche Trennung der zum Arbeiten benutzten Hard- und Software von der auf einem 'gehärteten' Betriebssystem befindlichen zur Sicherheit notwendigen Firewall- und VPN- Software ist die Sicherheit des zu schützenden Computers wesentlich höher, als wenn alle Programme auf einer Maschine laufen. Dabei versteht man unter einem 'gehär­ teten' Betriebssystem ein auf die absolut notwendige Funktionalität reduziertes Betriebssystem. In der Computer­ sicherheit gilt das Minimalitätsprinzip: je weniger Soft­ ware auf einem Gerät zur Verfügung steht, desto geringer ist die Anfälligkeit auf sicherheitsrelevante Fehler in der Software, die einen Angriff ermöglichen können. Anderer­ seits ist die Verhinderung der Konfiguration durch einen Benutzer, der durch eine unabsichtliche Fehlkonfiguration die Sicherheit des zu schützenden Gerätes in wesentlichen Teilen beeinträchtigen könnte, auch nur durch die räumliche Trennung der Komponenten 'Arbeit' und 'Sicherheit' möglich.
Bei dem erfindungsgemäßen Verfahren wird die Kommunikation beispielsweise zwischen einem mobilen Gerät (Client 2) und dem Internet 6 durch das eingebettete Hard- und Software­ system 1 vermittelt. Die notwendigen und optional möglichen Softwarekomponenten sind in Fig. 3 dargestellt. Für ein Basissystem sind dabei der transparente Router/VPN (IPSEC) 20, der DHCP 23, das Key Management 25, der Firewall 26 und die Remote Control 27 als notwendige Module anzusehen. Weitere Module können natürlich hinzugefügt werden; sie dienen der Funtionalitätserweiterung, die z. B. als Viren- Scanner für e-mails implementiert sein kann.
Ein direkter Datenfluß zwischen dem Client 2 und dem Internet 6 besteht bei dem Einsatz der Erfindung nicht. Vielmehr wird eine Verbindung zwischen dem Client 2 und dem eingebetteten Hard- und Softwaresystem 1, sowie separat zwischen dem eingebetteten Hard- und Softwaresystem 1 und dem Internet 6 aufgebaut. Die Aufteilung der Datenflüsse zeigt Fig. 4.
Der Systemadministrator konfiguriert das eingebettete Hard- und Softwaresystem 1 und setzt dabei bspw. bei Nutzung eines VPN die folgenden Parameter:
  • - X.509 Zertifikat für das eingebettete Hard- und Softwaresystem 1 und Private Key,
  • - X.509 Zertifikat der Firma, die das VPN nutzt,
  • - Adresse des Netzwerks hinter dem VPN Gateway der Firma,
  • - Adresse des VPN Gateways der Firma.
Wenn der Benutzer das eingebettete Hard- und Softwaresystem 1 für die Kommunikation in einem Netzwerk nutzt, wird zwi­ schen dem mobilen Gerät (Client 2) und dem eingebetteten Hard- und Softwaresystem 1 eine Verbindung aufgebaut (z. B. durch den DHCP-Server des eingebetteten Hard- und Softwaresystems 1). Außerdem wird eine Verbindung zwischen dem eingebetteten Hard- und Softwaresystem 1 und dem Internet 6 aufgebaut, bei der das VPN und der Firewall 26 aktiviert werden.
Das eingebettete Hard- und Softwaresystem 1 und ein spezieller Server 3 innerhalb des Unternehmens, welches das VPN einsetzt, dienen dabei als Endpunkte des VPN. Entweder ist der Server 3 als Internetzugang für das Unternehmen ausgeprägt oder aber die IP Pakete werden vom eingebetteten Hard- und Softwaresystem 1 durch den existierenden Inter­ netzugang zum Server 3 getunnelt (VPN-Endpunkte). Außerdem ist der Server 3 für die Konfiguration des eingebetteten Hard- und Softwaresystems 1 verantwortlich. Meldet sich ein Client 2 über das eingebettete Hard- und Softwaresystem 1 beim Server 3 an, wird außerdem der SW-Stand des eingebet­ tete Hard- und Softwaresystems 1 überprüft und gegebenen­ falls erneuert (automatisches Update). Weiterhin ist der Server 3 für die dedizierte Zugriffskontrolle auf die firmeninternen Ressourcen notwendig.
Das VPN wickelt über UDP 500 den Schlüsselaustausch mit dem vorkonfigurierten VPN Gateway der Firma ab. Nach erfolg­ reichem Schlüsseltausch werden IP Pakete vom Typ 50 (ESP) (das sind die verschlüsselten IP Pakete) zwischen dem ein­ gebetteten Hard- und Softwaresystem 1 und dem VPN Gateway ausgetauscht. Welche IP Pakete das eingebettete Hard- und Softwaresystem 1 verschlüsseln und dem VPN Gateway zukommen lassen muß, erkennt es über die vorkonfigurierte Adresse des Netzwerks hinter dem VPN Gateway der Firma, die computer-technisch ein Eintrag im Routing Table auf dem virtuellen IPSec Device ist.
Danach steht die VPN-Verbindung, ein geregelter und ge­ schützter Zugriff in das Firmen Interanet 7 sowie ins Internet 6 kann stattfinden. Das gebettete Hard- und Soft­ waresystem 1 läßt sich somit transparent in den Verbin­ dungsweg zwischen dem Client 2 und dem Internet 6 einfügen. Aus Sicht des mobilen Geräts (Client 2) stellt das ein­ gebettete Hard- und Softwaresystem 1 bereits das Modem 18 oder den LAN Anschluß zum Internet 6 dar, spezifische Softwareanpassungen sind auf dem mobilen Gerät nicht notwendig.
Der Firewall 26 schützt den Client 2 auf zweierlei Weise, zum einen wirkt er als Paketfilter, zum anderen maskiert er die IP-Adresse des Clients 2. Diese zwei Funktionen des Firewalls 26 dienen dazu, Angriffe auf den Client 2 zu erschweren.
Der Firewall 26 wirkt als Paketfilter folgendermaßen: Der Firewall 26 ermöglicht eine Initialisierung von Verbindun­ gen über TCP nur von dem zu schützenden Client 2 aus. Initialisierungen aud der anderen Richtung, also Initiali­ sierungen von Verbindungen zu dem Client 2 werden am Firewall 26 nur eingeschränkt zugelassen oder generell abgelehnt und verhindern dadurch einen unerwünschten Datenaustausch. Verbindungen über UDP (User Datagram Protocol) werden nur über die Ports, die zur Kommunikation des Clients 2 mit dem Internet 6 und dem internen Firmennetz (Intranet 7) notwendig sind, zugelassen. Auch Pakete, die das Protokoll ICMP (Internet Control Message Protocol) benutzen, werden nur beschränkt auf das unbedingt Notwendige durch den Firewall 26 durchgelassen.
Zum Nutzen der Maskierung: Die IP-Adresse, die der Firewall 26 bei einer Einwahl über eine Telefonleitung in das Internet 6 erhält, wird derzeit i. A. vom Internetprovider dynamisch vergeben. Das bedeutet, daß der Provider der einwählenden Maschine eine IP-Adresse erteilt, die sich von Einwahl zu Einwahl ändern kann. Eine feste IP-Adresse, die sich nicht von Einwahl zu Einwahl ändert, ist nur bei manchen Providern erhältlich. Bei Nutzung des eingebetteten Hard- und Softwaresystems 1 erscheint als IP-Adresse nach außen die IP-Adresse, die vom Provider dem Firewall 26 zugeordnet wird. Die IP-Adresse des Clients 2 wird nach außen hin verborgen. Dadurch, daß die IP-Adresse des Clients 2 nach außen hin nicht erscheint, sind auch Angriffe wesentlich schwerer durchzuführen, da für einen gezielten Angriff die Kenntnis der IP-Adresse des Computers, der angegriffen werden soll, notwendig ist.
Alternativ kann die Erfindung auch als ein System on Chip oder als Chip-Lösung ausgeführt sein, wodurch sie sich aufgrund der kleinen Bauform (Chip-Größe) leicht z. B. in eine PCMCIA-Karte oder ein (Funk-)Telefongerät integrieren läßt. Dadurch ist die Erfindung auch einsetzbar, wenn für den Zugang in ein Netzwerk solche Schnittstellen wie z. B. WLAN (Wireless Local Area Network), GPRS (General Paket Radio Services) oder UMTS (Universal Mobile Telecommuni­ cations Systems) genutzt werden oder etwa bei gebührenpflichtigen Netzdiensten eine Pay-Card eingesetzt werden soll.
Die Erfindung ist nicht beschränkt auf die hier darge­ stellten Ausführungsbeispiele. Vielmehr ist es möglich, durch Kombination und Modifikation der genannten Mittel und Merkmale weitere Ausführungsvarianten zu realisieren, ohne den Rahmen der Erfindung zu verlassen.
Bezugszeichenliste
1
eingebettetes Hard- und Softwaresystem
2
Client
3
Server
4
Client-Schnittstelle
5
Server-Schnittstelle
6
Internet
7
Intranet
8
Kommunikationsverbindung zwischen Client und eingebettetem Hard- und Softwaresystem
9
Prozessor
10
RAM
11
Flash ROM
12
Stromversorgung
13
RS 232-Schnittstelle (serielle Schnittstelle)
14
Ethernet-Schnittstelle
15
USB-Schnittstelle
16
IRDA-Schnittstelle
17
Bluetooth-Schnittstelle
18
Modem/ISDN-Modul
19
RJ-45-Schnittstelle
20
transparenter Router/VPN (IPSEC)
21
Systemüberwachung
22
IDS
23
DHCP
24
automatisches Update
25
Key Management
26
Firewall
27
Remote Control
28
weitere optionale Software-Module (z. B. Virenscanner)
29
Verbindungsaufbau zum Client
30
Austausch unverschlüsselter Daten
31
Austausch der IP-Adressen
32
Verbindungsaufbau zum Server
33
Datenaustausch zum Management
34
Datenaustausch zur Konfiguration des eingebetteten Hard- und Softwaresystems
35
Datenaustausch beim Update des eingebetteten Hard- und Softwaresystems
36
UMTS-Schnittstelle
37
DSL-Schnittstelle
38
GPRS-Schnittstelle
39
POT-Schnittstelle

Claims (15)

1. Verfahren zur Sicherung der Kommunikation in Netzwerken unter Zwischenschaltung einer als embedded System ausgebildeten Datenverarbeitungseinrichtung zwischen Nutzer-Rechner (Client) und Netzwerkzugang, dadurch gekennzeichnet, daß der Datenaustausch zwischen Client und Netzwerk durch das embedded System kontrolliert und/oder gesteuert wird, wobei das embedded System als autonome Einheit arbeitet, in dem Sinne, daß alle für die korrekte Ausführung der auf dem embedded System installierten Kontroll- und/oder Steuerfunktionen erforderlichen Daten auf dem embedded System verfügbar sind und die Konfiguration des embedded System und/oder auf dem embedded System installierte Kontroll- und/oder Steuerfunktionen allein über eine vom Client-Betriebsystem unabhängige Verbindung veränderbar sind.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Konfiguration der Datenverarbeitungseinrichtung und/oder der embedded Software über eine Schnittstelle zum Netzwerk erfolgt.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Wartung und/oder Pflege der embedded Software über das Netzwerk erfolgt.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß die Wartung und/oder Pflege der embedded Software die Erweiterung der Funktionalität des Computerprogramms umfaßt.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Computerprogramm den Datenaustausch hinsichtlich unerlaubter Zugriffe aus dem Netzwerk kontrolliert.
6. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Computerprogramm den Datenaustausch zwischen dem Client und einem Virtual Private Network und/oder die Verschlüsselung der Kommunikation steuert.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Konfiguration des embedded Systems clientspezifisch vorgenommen und/oder auf ein Virtual Private Networks abgestimmt wird.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß Kontrolle und/oder Steuerung für Client und/oder Netzwerk transparent erscheint.
9. Computersystem zur Ausführung eines Verfahrens zur Sicherung der Kommunikation in Netzwerken gemäß Anspruch 1, wobei das Computersystem als Singleboardcomputer oder als Chip-Lösung ausgebildet ist und Mittel zum Datenaustausch mit einem Client-Rechner, Mittel zum Datenaustausch mit dem Netzwerk und Mittel zur Kontrolle und/oder Steuerung der Kommunikation zwischen Client-Rechner und Netzwerk umfasst, wobei die für die korrekte Arbeitsweise der Mittel zur Kontrolle und/oder Steuerung erforderlichen Daten auf dem Computersystem selbst verfügbar sind und das embedded System so eingerichtet ist, daß die Konfiguration und/oder auf dem embedded System installierte Kontroll- und Steuerfunktionen allein über eine vom Client-Betriebsystem unabhängige Verbindung veränderbar sind.
10. Computersystem nach Anspruch 9, dadurch gekennzeichnet, daß
die Mittel zum Datenaustausch mit dem Netzwerk
ein Modem und/oder
einen Funktelefonprozessor
umfassen.
11. Computersystem nach einem der Ansprüche 9 oder 10, dadurch gekennzeichnet, daß das Computersystem als System on Chip ausgeführt ist.
12. Computersystem nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, daß das Computersystem in ein Kabel oder eine Karte oder ein Chip für den Netzwerkzugang des Client-Rechners integriert ist.
13. Computersystem nach Anspruch 9, dadurch gekennzeichnet, daß
das Mittel zur Kontrolle und/oder Steuerung der Kommunika­ tion
einen Firewall und/oder
ein Intrusion Detection System und/oder
ein Public Key Management
umfaßt.
14. Computersystem nach Anspruch 9, dadurch gekennzeichnet, daß
der Client-Rechner
ein Personalcomputer und/oder
ein Laptop und/oder
ein netzwerkfähiger Palmtop und/oder
ein netzwerkfähiges Telefon
ist.
15. Computersystem nach einem der Ansprüche 9 bis 14, dadurch gekennzeichnet, daß das Computersystem eine client- und/oder VPN-spezifische Konfiguration aufweist.
DE10138865A 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken Expired - Lifetime DE10138865C2 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE10138865A DE10138865C2 (de) 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken
DE20211995U DE20211995U1 (de) 2001-08-07 2002-07-29 Computersystem zur Sicherung der Kommunikation in Netzwerken
PCT/EP2002/008421 WO2003015369A2 (de) 2001-08-07 2002-07-29 Verfahren und computersystem zur sicherung der kommunikation in netzwerken
AU2002327912A AU2002327912A1 (en) 2001-08-07 2002-07-29 Method and computer system for securing communication in networks
US10/486,108 US7430759B2 (en) 2001-08-07 2002-07-29 Method and computer system for securing communication in networks
EP02762408.9A EP1417820B1 (de) 2001-08-07 2002-07-29 Verfahren und computersystem zur sicherung der kommunikation in netzwerken

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10138865A DE10138865C2 (de) 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken

Publications (2)

Publication Number Publication Date
DE10138865A1 DE10138865A1 (de) 2003-02-27
DE10138865C2 true DE10138865C2 (de) 2003-08-14

Family

ID=7694749

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10138865A Expired - Lifetime DE10138865C2 (de) 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken

Country Status (1)

Country Link
DE (1) DE10138865C2 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10305413B4 (de) 2003-02-06 2006-04-20 Innominate Security Technologies Ag Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
WO2007038872A1 (en) 2005-10-05 2007-04-12 Byres Security Inc. Network security appliance

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
WO2002007384A1 (en) * 2000-07-03 2002-01-24 Zimocom Inc. Firewall system combined with embedded hardware and general-purpose computer

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
WO2002007384A1 (en) * 2000-07-03 2002-01-24 Zimocom Inc. Firewall system combined with embedded hardware and general-purpose computer

Also Published As

Publication number Publication date
DE10138865A1 (de) 2003-02-27

Similar Documents

Publication Publication Date Title
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
DE602004003568T2 (de) Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät
EP3451624B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE202007019129U1 (de) Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung
EP1128615A2 (de) Verfahren und Kommunikationseinrichtung zur Verschlüsselung von E-Mail
EP3970337A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
DE10241974B4 (de) Überwachung von Datenübertragungen
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
DE10138865C2 (de) Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken
EP3105898A1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
EP1645098B1 (de) Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes
WO2006076752A1 (de) Computersicherheitssystem
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
EP1496666A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs
DE102006038599B3 (de) Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
DE102005050336B4 (de) Verfahren und Anordnung zum Betreiben eines Sicherheitsgateways
WO2020065476A1 (de) System und verfahren für einen zugriff auf daten in einem internen bereich
EP4228204A1 (de) Zero trust für ein operational technology netzwerk transport protokoll
Winter Firewall Best Practices
DE10234562B4 (de) Sichere Netzwerkarchitektur
EP3700171A1 (de) Prüfung und bestätigung der sicherheitskonfiguration der netzwerkzugriffe an einem rendezvous-server

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8304 Grant after examination procedure
8364 No opposition during term of opposition
R082 Change of representative
R081 Change of applicant/patentee

Owner name: PHOENIX CONTACT CYBER SECURITY AG, DE

Free format text: FORMER OWNER: INNOMINATE SECURITY TECHNOLOGIES AG, 12489 BERLIN, DE

R071 Expiry of right