DE10152010B4 - Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz - Google Patents

Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz Download PDF

Info

Publication number
DE10152010B4
DE10152010B4 DE2001152010 DE10152010A DE10152010B4 DE 10152010 B4 DE10152010 B4 DE 10152010B4 DE 2001152010 DE2001152010 DE 2001152010 DE 10152010 A DE10152010 A DE 10152010A DE 10152010 B4 DE10152010 B4 DE 10152010B4
Authority
DE
Germany
Prior art keywords
intrusion
entry
list
iml
icl
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE2001152010
Other languages
English (en)
Other versions
DE10152010A1 (de
Inventor
Peter Leis
Rainer Liebhart
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE2001152010 priority Critical patent/DE10152010B4/de
Publication of DE10152010A1 publication Critical patent/DE10152010A1/de
Application granted granted Critical
Publication of DE10152010B4 publication Critical patent/DE10152010B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zur Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz, mit folgenden Schritten: – Erkennung des unbefugten Eindringens unter Berücksichtigung zumindest eines teilnehmerindividuellen Eintrags in einer Intrusion Controlling List (ICL) und – Abwehr des derart erkannten unbefugten Eindringens, wobei – ein potentiell unbefugtes Eindringen durch zumindest einen teilnehmerindividuellen weiteren Eintrag in einer Intrusion Monitoring List (IML) angezeigt wird, und – der Eintrag in die Intrusion Controlling List (ICL) automatisch erfolgt, wenn für den korrespondierenden weiteren Eintrag in der Intrusion Monitoring List (IML) zumindest ein Kriterium erfüllt wird.

Description

  • Der ITU-T Standard H.323 definiert eine Protokollfamilie zur vereinheitlichten Steuerung von Diensten in multimedialen Paketnetzen (insbesondere IP Netze), d. h. von Netzen, in denen eine Mehrzahl von unterschiedlichen Diensten übermittelt werden kann. Diese in einer vereinheitlichten, multimedialen Umgebung realisierten Dienste werden auch 'Multimediaanwendungen' genannt. Unter den Begriff Multimediaanwendung fallen dabei sowohl Dienste wie gewöhnliche Telefonie (Stichwort 'Voice over IP (VOIP)'), als auch Dienste wie Fax, Telefonkonferenz, Videokonferenz, Video an Demand (VOD) und ähnliches mehr.
  • Die wesentlichen Netzkomponenten des paketorientierten H.323 sind Endpunkte (Einheiten, die Anwendungen nutzen möchten wie z. B. ein PC Client), Gateways (GW) für den Übergang in das leitungsorientierte Telefonnetz, Multipoint Control Units (MCU) zur Steuerung von Konferenzen und Gatekeeper (GK).
  • Ein Gatekeeper steuert dabei den Zugang in das IP Netz für alle H.323 Netzkomponenten (Endpunkte, GW, MCU), die seiner Zone angehören.
  • Im IETF Standard SIP (Session Initiation Protocol) werden ähnliche Ziele verfolgt wie ITU Standard H.323. Insbesondere dient er ebenso wie H.323 der Steuerung von Multimediaanwendungen, er kann aber auch für einfache Sprachtelefonie über Paketnetze eingesetzt werden. Der sog. SIP Proxy Server spielt dabei eine ähnliche Rolle wie der H.323 Gatekeeper.
  • Da Gatekeeper und SIP Proxy das Paketnetz des Anbieters von Multimediadiensten vor missbräuchlichem Zugriff schützen müssen, ist eine ihrer wesentlichen Aufgaben die sichere Authentisierung und Authorisierung einzelner Teilnehmer. Damit sollen Netzressourcen Unbefugten unzugänglich sein und Attacken auf das Netz abgewehrt werden.
  • Aus der Druckschrift US 5,623,601 A ist ein als Firewall fungierender Gateway bekannt, mit dem ein privates Netzwerk vor unbefugten Zugriffen aus einem potentiell unsicheren, öffentlichen Netzwerk geschützt werden kann. Zu diesem Zweck werden die zwischen den Netzwerken auszutauschenden Datenpakete vor ihrer Weiterleitung mit der Hardware-Adresse des Gateways versehen, so dass die Datenpakete vom Gateway erkannt und anhand ihrer Quell- und Zieladressen überprüft werden können. Dieses Verfahren ist aber nicht ohne Weiteres auf Gatekeeper oder SIP-Proxies anwendbar, da diese – im Unterschied zu einem Gateway – i. A. nicht als Netzübertrittspunkt fungieren, über den sämtlicher netzübergreifender Datenverkehr geleitet wird.
  • Weitere Firewalls oder als solche fungierende Gateways sind aus den Patentschriften US 5,950,195 und US 5,826,014 bekannt. Auch diese Anordnungen sind jedoch nicht ohne Weiteres auf Gatekeeper oder SIP-Proxies anwendbar.
  • Sichere Authentisierung eines Teilnehmers kann gewährleistet werden, indem kryptografische Methoden zur Verschlüsselung von Teilnehmerpasswörtern oder ganzen Nachrichten Verwendung finden.
  • Für H.323 wurde bei der ITU hierzu eigens der Standard H.235 geschaffen, der einheitliche Verfahren zur Verschlüsselung von z. B. gemäß den Protokollen RAS (Registration, Admission and Status) oder H.225 ausgebildeten Signalisierungsnachrichten definiert. In dessen Version H.235v2, ”Security and Encryption for H-Series (H.323 and other H.245-based) Multimedia Terminals”, 2000, Annex D-F, sind z. B. folgende dezentrale Mechanismen zur Sicherung von Signalisierungen oder Mediendaten beschreiben:
    • – Authentifikation & Integrität der Signalisierung mit symmetrischen Geheimnissen gemäß H.235, Annex D: Es wird vom Sender mit Hilfe eines Geheimnisses eine als kryptographischer Hashwert ausgebildete Signatur über die gesamte (Signalisierungs-)Nachricht gebildet und bei Übermittlung an die Nachricht angehängt. Vom Empfänger wird der Hashwert mit Hilfe des gleichen Geheimnisses dekodiert. Der Sender ist dann sicher identifiziert, wenn der Hashwert nach Dekodierung zur Nachricht passt. Die Geheimnisse sind als Passwörter ausgebildet und in einem zentralen Server hinterlegt. Sie werden in Sender und Empfänger out-of-band administriert. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen.
    • – Authentifikation & Integrität der Signalisierung mit asymmetrischen Geheimnissen gemäß H.235, Annex E: Es wird vom Sender eine kryptographische, digitale Signatur über die gesamte (Signalisierungs-)Nachricht gebildet. Weiterhin kommen Zertifikate zum Einsatz, die in-band übermittelt oder out-of-band administriert werden. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen. Ein effizientes Key Recovery ist nicht möglich, da die privaten Schlüssel in den Endgeräten manuell administriert werden. Zudem ist Signieren eine zeitaufwendige Rechenoperation, die wegen der Echtzeit Anforderungen nicht zur Anwendung bei jeder Signalierungsnachricht geeignet ist.
    • – Authentifikation & Integrität der Signalisierung mit hybriden Geheimnissen gemäß H.235, Annex F: Es wird eine Kombination der beiden obigen Methoden realisiert, wobei zusätzlich ein sog. Session-Key mittels mit Hilfe des Diffie-Hellman Verfahrens ausgetauscht wird. Dabei wird die erste Nachricht in jeder Richtung digital signiert, alle sonstigen Nachrichten werden symmetrisch integritätsgeschützt. Weiterhin kommen Zertifikate zum Einsatz, die in-band übermittelt oder out-of-band administriert werden. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen.
    • – Vertraulichkeit der Mediendaten mit symmetrischen Geheimnissen gemäß H.235, Annex D nach dem Voice Encryption Profile (VEP): Dabei wird ein separater, gemeinsamer Schlüssel zum Verschlüsseln der Mediendaten mittels authentifiziertem Diffie-Hellman Verfahren zwischen den Endgeräten ausgehandelt. Eine Vertraulichkeit der Signalisierung durch Verschlüsselung ist nicht vorgesehen. Ein effizientes Key Recovery ist nicht möglich, da die Schlüssel nur in den Endgeräten vorliegen.
  • Für SIP stellt sich das gleiche Problem, auch hier müssen Nachrichten sicher verschlüsselt werden, damit nur befugte Teilnehmer die angebotenen Dienste des ISP (Internet Service Provider) nutzen können, und es für einen Teilnehmer nicht möglich ist, sich für jemand anderen auszugeben, was hinsichtlich der Vergebührung der Dienste problematisch wäre.
  • Während die verwendeten Verschlüsselungsmethoden und Algorithmen bereits sehr weit entwickelt sind, gibt es bisher kein schlüssiges Konzept, wie ein Gatekeeper oder SIP Proxy auf einfache Weise gezielt das Eindringen Unbefugter in das Netz eines ISP frühzeitig erkennen ('Intrusion Detection') und Eindringversuche abwehren kann ('Intrusion Rejection').
  • Bekannt ist, Eindringversuche (z. B. TOP SYN-Flooding auf Netzwerk- und Transportebene (IP, TOP, UDP) durch sog. Firewalls abzuwehren. Auf dieser Ebene ist jedoch keine gezielte Abwehr individualisierter Unbefugter möglich, sondern nur eine generelle Abwehr bestimmter Pakettypen unabhängig vom Anwender.
  • Auf Anwenderebene sind keine Mechanismen bekannt, mit denen das aufgezeigte Problem gelöst werden könnte. Weder der Standard H.323 noch der Standard SIP sind mit 'Intrusion Detection' und 'Intrusion Rejection' auf Anwenderprotokollebene befasst. Daher sind auch keine protokollspezifischen Abwehrmechanismen vorgesehen.
  • Es ist Aufgabe der Erfindung, einen Weg aufzuzeigen, wie ein Gatekeeper oder SIP Proxy auf einfache Weise gezielt das Eindringen Unbefugter in das Netz eines ISP frühzeitig erkennen und Eindringversuche abwehren kann.
  • Erfindungsgemäß soll in einem Gatekeeper oder SIP Proxy durch manuelle oder automatische Kennzeichnung einzelner Anwender gezielt ein unbefugtes Eindringen in das Netz eines ISP erkennt und Maßnahmen zur Abwehr solcher Eindringversuche ergreifen werden.
  • Innerhalb eines Gatekeepers oder SIP Proxy werden zwei unterschiedliche Listen von IP Adressen bzw. IP Adressmasken aufgebaut. Die erste Liste wird mit 'Intrusion Monitoring List (IML)' bezeichnet und enthält IP Adressen oder Adressmasken, die als potenzielle Urheber von Eindringversuchen angesehen werden und über einen bestimmten Zeitraum überwacht werden. Die zweite Liste wird 'Intrusion Controlling List (ICL)' genannt und enthält IP Adressen oder Adressmasken, deren Besitzer bereits als unbefugte Eindrinlinge erkannt wurden.
  • Eine automatische Intrusion Detection erfolgt z. B. durch Auswertung von Signalisierungsnachrichten.
  • Für eine automatische Intrusion Detection durch Auswertung von Signalisierungsnachrichten wird vorausgesetzt, dass diese in irgendeiner Form durch den Teilnehmer 'signiert' sind. Hiervon ist mit hoher Wahrscheinlichkeit davon auszugehen, dass die vorausgesetzte Signierung von Nachrichten in jedem Fall durch den ISP implementiert wird, da ansonsten kein sicherer Betrieb des Netzes gewährleistet und vom Dienstanbieter gegenüber seinen Kunden keine sichere Vergebührung garantiert werden kann. Im einfachsten Fall kann die Signatur aus einer Userid und einem Passwort bestehen, aber auch sog. Kryptotokens wie sie im Standard H.235 definiert werden oder digitale Signaturen basierend auf asymmetrischen Verschlüsselungsverfahren sind denkbar.
  • Natürlich kann z. B. der Netzbetreiber auch manuell IP Adressen und Adressmasken in der IML einrichten und mit einer oder mehreren der definierten Filterregeln verknüpfen. Auch kann z. B. der Betreiber manuell IP Adressen oder Adressmasken in die ICL eintragen, wenn er beispielsweise der Ansicht ist, dass von diesen Adressen ein Gefährdungspotenzial ausgeht.
  • Die manuellen Einträge werden besonders gekennzeichnet, wenn sie nur wieder manuell durch den Betreiber entfernt werden duerfen.
  • Bei der Auswertung der entsprechenden Filterregeln werden immer mehrere (mindestens aber zwei) unmittelbar aufeinander folgende Zeitintervalle berücksichtigt, um zu vermeiden, dass eine Adresse fortlaufend aus einer Liste gelöscht und gleich wieder dort eingetragen wird (Oszillationseffekt) wird.
  • Durch die Erfindung wird eine Weg zur Entdeckung und Abwehr von Eindringversuchen in ein Intranet eines VoIP Netzbetreibers auf Anwenderebene (H.323 bzw. SIP) vorgestellt. Damit wird eine Lücke für Attacken aus dem Internet geschlossen, da die bestehenden kommerzielle Intrusion Detection Verfahren z. Z. nur Eindringversuche auf Netzwerk- oder Tansportebene berücksichtigen. Die erfindungsgemäße Lösung ist sehr effizient anwendbar und erfordert nur wenige manuelle Eingriffe durch den Netzbetreiber. Durch die Verwendung individuell definierbarer Regeln, die festlegen, was als Eindringversuch zu werten ist, kann sehr schnell und ohne Verzögerung auf Attacken aus dem öffentlichen Internet reagiert werden. Durch die gleichzeitige Verwendung unterschiedlicher Regeln ist eine optimale Anpassung an verschiedene Situationen gewährleistet. Der aufgezeigte Weg ist überdies leicht auf jedes Anwenderprotokoll erweiterbar, das als Schnittstelle zwischen Internet und Intranet eingesetzt wird und eine Art Signatur oder Passwort durch den Anwender vorsieht. Durch Verwendung der ICL ist es möglich, frühzeitig während des Verbindungsaufbaus Teilnehmer, die bereits als Eindringlinge identifiziert wurden, zurückzuweisen, so dass ein aufwendiges Berechnen von digitalen Schlüsseln oder Signaturen pro empfangener Nachricht durch die Netzkomponenten damit für diese Teilnehmer entfällt.
  • Die Erfindung wird im folgenden anhand von Ausführungsbeispielen, die in den Figuren dargestellt sind, näher erläutert. Es zeigt hierbei:
  • 1 eine Anordnung zur Durchführung des erfindungsgemäßen Verfahrens,
  • 2 eine Tabelle mit einigen beispielhaften erfindungsgemäßen Filterregeln,
  • 3 je eine beispielhaft gefüllte Intrusion Monitoring List IML und Intrusion Controlling List ICL
  • Die Anordnung nach 1 sieht zwei Endpunkten EP vor, die als befugt agierender Teilnehmer TLN und als unbefugter agierender Teilnehmer ITR ausgebildet sind sowie einem Gatekeeper GK, der eine Datenbasis DB mit Intrusion Monitoring List IML und Intrusion Controlling List ICL umfasst.
  • Die Filterregeln in der Tabelle nach 2 dienen zur Festlegung, wann eine IP Adresse oder Adressmaske von der Intrusion Monitoring List IML in die Intrusion Controlling List ICL übernommen wird, wobei eine oder mehrere Filterregeln Ri (i = 1, 2, 3) bei einer IP Adresse oder Adressmaske zur Anwendung kommen können und eine Standardregel RD für alle Einträge verwendet wird, die automatisch in die Intrusion Monitoring List IML aufgenommen werden, also nicht manuell eingerichtet wurden.
  • In 3 ist in der IML bei jeder IP Adresse mitangegeben, auf Grund welcher Filterregel R deren Eintragung erfolgt ist. Die IP Adresse 121.345.0.1 sei manuell eingetragen. Die IP Adresse 179.1.1.0 wird automatisch von der IML in die ICL verschoben. In der ICL ist die IP Adresse 185.10.2.1 manuell eingetragen.
  • Für eine Ausführungsbeispiel der Erfindung wird angenommen, dass der Gatekeeper GK oder SIP Proxy eine H.323 oder SIP Nachricht mit falscher Signatur (z. B. falschem Passwort oder falschem Kryptotoken) empfängt. Erfindungsgemäß wird diese Nachricht abgewiesen und die absendende IP Adresse in die Intrusion Monitoring List IML aufgenommen. Abhängig von vordefinierten Filterregeln R wird eine IP Adresse aus der Intrusion Monitoring List IML in die Intrusion Controlling List ICL übernommen. Diese Filterregeln R legen z. B. fest, in welchem Zeitintervall wie viele Nachrichten insgesamt und wie viele Nachrichten mit falscher Signatur von einer IP Adresse empfangen werden müssen, damit die IP Adresse aus der IML gelöscht und in die ICL übernommen wird. 2 zeigt einige Beispiele für Filterregeln R.
  • Bestehende Einträge werden aus der IML entfernt (d. h. es findet keine weitere Überwachung dieser IP Adressen mehr statt), wenn die Bedingungen, wie sie in den Filterregeln R festgelegt sind, nicht erfüllt werden, also innerhalb des vorgegebenen Zeitintervalls von der IP Adresse insgesamt nicht genügend Nachrichten oder nicht genügend Nachrichten mit falschem Passwort oder Kryptotoken empfangen wurden.
  • Falls eine H.323 Nachricht (RAS oder H.225 Call control Nachricht) bzw. eine SIP Nachricht vom Gatekeeper GK bzw. SIP Proxy empfangen wird und die sendende IP Adresse in der ICL enthalten ist, wird die Nachricht sofort ohne weitere Prüfungen abgewiesen. Einträge werden aus dieser Liste entweder manuell durch den Betreiber oder nach Ablauf eines festgelegten Zeitintervalls (z. B. nach 1 bis 2 Minuten) wieder entfernt. In letzterem Fall werden sie wieder in die IML aufgenommen und weiter überwacht.
  • Für ein weiter detailliertes Ausführungsbeispiel soll die Intrusion Standardregel nach 2 zur Anwendung kommen. Ein H.323 Teilnehmer ITR mit IP Adresse 179.1.1.0 gibt mit einer H.323 Nachricht ARQ (Admission Request) einem Gatekeeper GK bekannt, dass er eine neue Verbindung aufbauen möchte. Ist der Teilnehmer ITR beim Gatekeeper GK mit seiner Rufnummer oder H.323 Kennung bekannt, sendet aber ein falsches Passwort oder eine falsche digitale Signatur, wird der Rufaufbau durch den Gatekeeper GK abgewiesen und die IP Adresse des Teilnehmers in die Intrusion Monitoring List IML aufgenommen.
  • Falls nun der H.323 Teilnehmer innerhalb zweier aufeinanderfolgender Zeitintervalle von 10 min jeweils mindestens 40 Nachrichten sendet und davon mindestens 6 Nachrichten ein falsches Passwort oder eine falsche Signatur besitzen, wird dies als Eindringversuch gewertet, und die IP Adresse des Teilnehmers wird aus der Intrusion Monitoring List IML in die Intrusion Controlling List ICL übernommen. Dieser Vorgang ist schematisch in 3 aufgezeigt.
  • In den nächsten z. B. 2 Minuten wird nun jeder weitere Verbindungswunsch des Teilnehmers sofort abgewiesen.
  • Nach Ablauf dieser Zeit wird die IP Adresse 179.0.0.1 aus der Intrusion Controlling List ICL gelöscht und wieder in der Intrusion Monitoring List IML eingerichtet, um weiter überwacht zu werden.
  • Werden innerhalb zweier aufeinander folgender Zeitintervalle von 10 min weniger als 40 Nachrichten oder weniger als 6 Nachrichten mit falschem Passwort bzw. falscher Signatur empfangen, so wird die IP Adresse 179.0.0.1 aus der Intrusion Monitoring List IML entfernt und nicht weiter überwacht.
  • Der nächste Überwachungszyklus beginnt, wenn von der Adresse wieder eine Nachricht mit falschem Passwort oder falscher Signatur empfangen wird bzw. die Adresse manuell durch den Netzbetreiber in die Intrusion Monitoring List IML eingetragen wird.
  • Abschließend sei betont, dass die Beschreibung der für die Erfindung relevanten Komponenten grundsätzlich nicht einschränkend zu verstehen ist. Für einen einschlägigen Fachmann ist insbesondere offensichtlich, dass Begriffe wie 'Gatekeeper' oder 'SIP Proxy' funktional und nicht physikalisch zu verstehen sind. Somit können sie beispielsweise auch teilweise oder vollständig in Software und/oder über mehrere physikalische Einrichtungen verteilt realisiert werden.

Claims (7)

  1. Verfahren zur Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz, mit folgenden Schritten: – Erkennung des unbefugten Eindringens unter Berücksichtigung zumindest eines teilnehmerindividuellen Eintrags in einer Intrusion Controlling List (ICL) und – Abwehr des derart erkannten unbefugten Eindringens, wobei – ein potentiell unbefugtes Eindringen durch zumindest einen teilnehmerindividuellen weiteren Eintrag in einer Intrusion Monitoring List (IML) angezeigt wird, und – der Eintrag in die Intrusion Controlling List (ICL) automatisch erfolgt, wenn für den korrespondierenden weiteren Eintrag in der Intrusion Monitoring List (IML) zumindest ein Kriterium erfüllt wird.
  2. Verfahren nach Anspruch 1, bei dem das zumindest eine Kriterium als Filterregel (R) zur Feststellung von wiederholtem unbefugten Eindringen innerhalb zumindest einer vorgegebenen Zeitspanne ausgebildet ist.
  3. Verfahren nach einem der vorstehenden Ansprüche, bei dem zumindest der automatisch erfolgte Eintrag in die Intrusion Controlling List (ICL) nach einer vorgegebenen Zeitspanne wieder automatisch entfernt wird.
  4. Verfahren nach Anspruch 3, bei dem der entfernte Eintrag als korrespondierender weiterer Eintrag in die Intrusion Monitoring List (IML) eingefügt wird.
  5. Computerprogrammprodukt umfassend Softwarecodeabschnitte, mit denen ein Verfahren nach einem der vorstehenden Verfahrensansprüche durch einen Prozessor ausgeführt wird.
  6. System umfassend Mittel zur Durchführung eines Verfahrens nach einem der vorstehenden Verfahrensansprüche.
  7. Signalisierungseinheit umfassend: Mittel zur Durchführung eines Verfahrens nach einem der vorstehenden Verfahrensansprüche.
DE2001152010 2001-10-22 2001-10-22 Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz Expired - Fee Related DE10152010B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2001152010 DE10152010B4 (de) 2001-10-22 2001-10-22 Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2001152010 DE10152010B4 (de) 2001-10-22 2001-10-22 Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz

Publications (2)

Publication Number Publication Date
DE10152010A1 DE10152010A1 (de) 2003-04-30
DE10152010B4 true DE10152010B4 (de) 2012-10-18

Family

ID=7703265

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2001152010 Expired - Fee Related DE10152010B4 (de) 2001-10-22 2001-10-22 Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz

Country Status (1)

Country Link
DE (1) DE10152010B4 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1605661B1 (de) * 2004-06-07 2006-08-30 Alcatel Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
DE102006022368A1 (de) * 2006-05-12 2007-11-15 Nokia Siemens Networks Gmbh & Co.Kg Verfahren und Vorrichtung zum Aufbauen einer Tabelle mit Kommunikationsteilnehmern, Verfahren und Vorrichtung zum Ermitteln mindestens eines Kommunikationsteilnehmers, Verfahren zum Signalisieren, dass eine Kommunikationsverbindung für einen Angerufener-Kommunikationsteilnehmer unerwünscht war, Kommunikationseinrichtung und Computerprogrammelemente

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method

Also Published As

Publication number Publication date
DE10152010A1 (de) 2003-04-30

Similar Documents

Publication Publication Date Title
DE602004003518T2 (de) Verfahren und System zum legalen Abfangen von Paketvermittlungsnetzwerkdiensten
DE102009043276B4 (de) Multimedia-Kommunikationssitzungskoordination über heterogene Transportnetze hinweg
EP2018015B1 (de) Verfahren und Vorrichtung für eine anonyme verschlüsselte mobile Daten- und Sprachkommunikation
EP1368949B1 (de) Übermittlung von Informationen einer verifizierten QoS in einem Kommunikationsnetz
EP2005699B1 (de) Verfahren für lawful interception bei anrufweiterschaltung in einem paketorientierten telekommunikationsnetz
WO2007090745A1 (de) Verfahren, vorrichtung und computerprogrammprodukt zum verschlüsselten übertragen von mediendaten zwischen dem medienserver und dem teilnehmergerät
EP1316188B1 (de) Verfahren und Internet-Zugangsknoten zur Identifikation von Internet-Nutzern
DE602004002198T2 (de) Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
EP1282280B1 (de) Verfahren, Steuereinrichtung und Programmmodul zur Steuerung und Lenkung von Datenströmen einer Kommunikationsverbindung zwischen Teilnehmern eines Paketdatennetzes
EP1847092A1 (de) Verfahren zur aufschaltung auf verschlüsselte kommunikationsverbindungen in einem paketorientierten netzwerk
DE10152010B4 (de) Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz
WO2003028335A1 (de) Verfahren zur übertragung von daten in einem paketorientierten datennetz
WO2002071350A2 (de) Verfahren zur bezahlung von entgeltpflichtigen angeboten, die über ein netz erfolgen
EP1341357A2 (de) Verfahren zur Dienstgütesicherung in einem Kommunikationsnetz sowie Anordnung und Einrichtungen zur Realisierung des Verfahrens
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
DE60024238T2 (de) Anordnung für ein anrufverfahren
EP1452044A1 (de) Verfahren zum übermitteln von signalisierungsnachrichten, zugehörige vorrichtung, zugehörige signalisierungsnachricht und zugehöriges programm
EP1560393B1 (de) Vorrichtungen und Verfahren zum Überprüfen einer Anfrage-Nachricht auf Authentizität und Autorisierung
WO2006035044A1 (de) Verfahren zur administration von centrex-funktionsmerkmalen unter verwendung von x.509 attributzertifikaten
EP2101468B1 (de) Einbeziehung von Signalisierungsinformationen in ein Schlüsselmanagementprotokoll für den sicheren Medientransport
EP1446934B1 (de) Verfahren zum aufbau einer telekommunikationsverbindung und ein telekommunikationsnetz
DE102020007337A1 (de) Kommunikationssystem zur Übertragung von Informationen N unterschiedlicher Sicherheitsklassifikationen über eine gemeinsame Leitung
EP4228224A1 (de) Verfahren zur netzzentrischen verifizierung einer rufnummer in einem telefonnetz und verfahren zur anruf-anreicherung
EP1438827A1 (de) Functionsplit für einheiten zur netzsteuerung
EP1856885A1 (de) Verfahren zum aufbau von multimediaverbindungen über grenzen von paketvermittelnden kommunikationsnetzen

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R018 Grant decision by examination section/examining division
R020 Patent grant now final

Effective date: 20130119

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee