DE102004016582A1 - Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz - Google Patents

Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz Download PDF

Info

Publication number
DE102004016582A1
DE102004016582A1 DE102004016582A DE102004016582A DE102004016582A1 DE 102004016582 A1 DE102004016582 A1 DE 102004016582A1 DE 102004016582 A DE102004016582 A DE 102004016582A DE 102004016582 A DE102004016582 A DE 102004016582A DE 102004016582 A1 DE102004016582 A1 DE 102004016582A1
Authority
DE
Germany
Prior art keywords
data packets
attacks
firewall
attack
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102004016582A
Other languages
English (en)
Inventor
Dirk Dr. Westhoff
Jürgen Dr. Quittek
Martin Stiermerling
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Europe Ltd
Original Assignee
NEC Europe Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Europe Ltd filed Critical NEC Europe Ltd
Priority to DE102004016582A priority Critical patent/DE102004016582A1/de
Priority to JP2005028422A priority patent/JP2005293550A/ja
Priority to US11/094,448 priority patent/US20050251859A1/en
Publication of DE102004016582A1 publication Critical patent/DE102004016582A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Ein Verfahren zur Überwachung und zum Schutz eines Netzwerks (1) vor Angriffen aus einem öffentlichen Netz, vorzugsweise aus dem Internet (6), wobei das Netzwerk eine Firewall (5) und ein auf der geschützten Seite der Firewall (5) platziertes System (7) zur Erkennung von Angriffen aufweist, welches die Firewall (5) passierende Datenpakete untersucht und beim Entdecken von einen Angriff darstellenden Datenpaketen das Netzwerk (1) schützende Regeln auf der Firewall (5) installiert, ist im Hinblick auf eine hohe Flexibilität und eine schnelle Anpassbarkeit an sich ändernde Angriffssituationen dadurch gekennzeichnet, dass die Firewall (5) von dem System (7) zur Erkennung von Angriffen derart konfiguriert wird, dass dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System Informationen über die einen Angriff darstellenden Datenpakete zur weiteren Auswertung zugeführt werden.

Description

  • Die Erfindung betrifft ein Verfahren zur Überwachung und zum Schutz eines Netzwerks vor Angriffen aus einem öffentlichen Netz, vorzugsweise aus dem Internet, wobei das Netzwerk eine Firewall und ein auf der geschützten Seite der Firewall platziertes System zur Erkennung von Angriffen aufweist, welches die Firewall passierende Datenpakete untersucht und beim Entdecken von einen Angriff darstellenden Datenpaketen das Netzwerk schützende Regeln auf der Firewall installiert.
  • Verfahren der gattungsbildenden Art sind in der Praxis bekannt, und angesichts der drastischen Zunahme von Angriffen auf private bzw. lokale Netze aus dem Internet kommt Ihnen eine stets wachsende Bedeutung zu.
  • Den Kern der Internet-Infrastruktur bildet ein öffentliches Netzwerk, an das Organisationen und Personen Ihre eigenen Netzwerke und Geräte anbinden. Diese bilden im Allgemeinen eine in sich abgeschlossene Einheit, die im Folgenden als privates Netzwerk bezeichnet wird und die im Allgemeinen durch eine Firewall gegen unerwünschten Verkehr aus dem Internet geschützt ist.
  • Firewalls sichern den regulären Betrieb privater Netzwerke, indem sie ankommende Datenpakete filtern. Dabei untersucht eine Firewall jedes Datenpaket, das die Firewall passieren will, und prüft die Datenpakete anhand einer Menge vorgebbarer Regeln. Die Regeln können beispielsweise von einem Netzwerkadministrator festgelegt und an spezielle Situationen angepasst werden. Auf der Basis der jeweils aktuell auf der Firewall installierten Regeln erlaubt die Firewall einem Datenpaket, die Firewall zu passieren. Widerspricht der Inhalt oder die Struktur eines Datenpakets einer der festgelegten Regeln, so verwirft die Firewall das Datenpaket, bevor es in das zu schützende Netzwerk eindringen kann.
  • Um der Vielfalt und der Komplexität von Angriffen aus dem Internet auf private Netzwerke begegnen zu können, werden gegenwärtig Systeme zur Erkennung von Angriffen eingesetzt, die in der Lage sind, eine große Anzahl unterschiedlicher Angriffe gegen den regulären Betrieb von Netzwerken und Geräten detektieren zu können. Im Konkreten kann es sich bei den Angriffen um Viren, Würmer, um das Eindringen Unbefugter sowie um Dienstblockadeangriffe (Denial of Service (DoS) attacks) handeln, wobei die zuletzt genannten Angriffe darauf abzielen, ursprünglich zugängliche Dienste unzugänglich zu machen.
  • Die erste Generation von Systemen zur Erkennung von Angriffen wurde in Firewalls integriert. Derartige Systeme beobachten den gesamten Verkehr, der die Firewall erreicht und blockieren erkannte Angriffe, indem sie die Regeln der Firewall entsprechend modifizieren.
  • Heutige Systeme zur Erkennung von Angriffen führen eine Reihe sehr komplexer Aufgaben durch. Demzufolge benötigen diese Systeme Rechenleistung in erheblichem und nicht zu vernachlässigendem Umfang. Zudem müssen die Systeme häufig aktualisiert werden, um schnell auf neue Entwicklungen von Angriffsvarianten reagieren zu können. Aus diesen Gründen wird heutzutage im Allgemeinen eine Trennung von Firewall einerseits und Systemen zur Erkennung von Angriffen andererseits bevorzugt. Das System zur Erkennung von Angriffen wird vorzugsweise als eigenständiges Gerät ausgelegt, das unabhängig von der Firewall ausgestattet und aktualisiert werden kann.
  • Zweckmäßigerweise ist das System zur Erkennung von Angriffen auf der geschützten Seite der Firewall platziert. Zum einen bietet eine derartige Anordnung eine enorme Einsparung an Rechenkapazität, da das System zur Erkennung von Angriffen nur diejenigen Datenpakete beobachten muss, die die Firewall überhaupt passieren und nicht bereits aufgrund der installierten Regeln blockiert werden. Darüber hinaus wäre es für das System zur Erkennung von Angriffen auf der ungeschützten Seite der Firewall äußerst schwierig, sicher zu sein, welche Datenpakete von der Firewall abgehalten und welche von ihr durchgelassen werden.
  • Wenn das System zur Erkennung von Angriffen einen Angriff erkennt, sendet es eine Konfigurationsnachricht an die Firewall, wobei die Konfigurationsnachricht eine oder mehrere Regeln umfasst, die geeignet sind, den erkannten Angriff abzublocken und auf diese Weise das private Netzwerk zu schützen.
  • Ein typisches Beispiel eines Angriffs auf ein Netzwerk ist ein so genannter Dienstblockadeangriff. Ein derartiger Angriff ist dadurch charakterisiert, dass eine große Anzahl von Anfragen an einen Server in einem geschützten Netzwerk gesendet wird. Diese Anfragen sind typischerweise nutzlos oder illegal und zielen einzig und allein darauf ab, durch ihre Art und Anzahl den Server derart zu überladen, dass bestimmte Dienste für reguläre Nutzer so gut wie nicht mehr verfügbar sind. Im Rahmen eines solchen Angriffs können die angreifenden Pakete von genau einem Gerät stammen, was es relativ einfach macht, sie zu blockieren, ohne dabei anderen regulären Paketen zu schaden. Wenn die angreifenden Pakete jedoch von einer großen Anzahl unterschiedlicher Geräte stammen, kann es vorkommen, dass es nicht möglich ist, die angreifenden Pakete von regulären Paketen zu separieren. In diesem Fall installiert das System zur Erkennung von Angriffen Regeln in der Firewall, die bewirken, dass auch reguläre Pakete blockiert werden, sofern sie Gemeinsamkeiten mit den angreifenden Paketen haben. In den schlimmsten Fällen müssen sogar alle Pakete aus dem gesamten Internet, die zu einem bestimmten Dienst gehören, blockiert werden, um den Server nicht zu überlasten.
  • Problematisch in diesem Zusammenhang ist der Nachweis des Endes eines Angriffs. Nur wenn das Ende eines Angriffs zweifelsfrei festgestellt worden ist, können die vorab zur Abwehr des Angriffs an der Firewall installierten blockierenden Regeln wieder entfernt werden und der blockierte Dienst somit wieder zur Verfügung gestellt werden. Andernfalls wäre ein Dienst bereits nach einem ersten Angriff dauerhaft nicht mehr verfügbar.
  • Wie oben bereits erläutert, sind Systeme zur Erkennung von Angriffen im Allgemeinen auf der geschützten Seite der Firewall platziert und inspizieren ausschließlich Pakete, welche die Firewall erfolgreich passiert haben. Wenn die Regeln zum Blockieren eines Angriffs so definiert waren, dass alle zu einem Angriff gehörenden Pakete von der Firewall blockiert werden, so wird das System zur Erkennung von Angriffen keine zu dem Angriff gehörenden Pakete mehr beobachten, sobald die Regeln an der Firewall effektiv sind. Folglich ist es mit den bekannten Verfahren zur Überwachung und zum Schutz von Netzwerken vor Angriffen aus dem Internet nicht möglich, das Ende eines Angriffs festzustellen. Vielmehr wird ein menschlicher Administrator benötigt, der – nachdem ein Angriff entdeckt wurde und entsprechende schützende Regeln an der Firewall installiert wurden – die ankommenden Pakete an der öffentlichen Seite der Firewall regelmäßig beobachtet. Wenn der Administrator keine Pakete, die einem Angriff zugeordnet werden können, mehr beobachtet, kann er die installierten Regeln aus der Firewall entfernen und den blockierten Dienst damit wieder zugänglich machen. Die Notwendigkeit des Einsatzes eines menschlichen Administrators macht die bekannten Verfahren zum einen aufwendig und kostenintensiv und bewirkt zum anderen eine äußerst geringe Flexibilität der Verfahren.
    •
  • Der vorliegenden Erfindung liegt nunmehr die Aufgabe zugrunde, ein Verfahren zur Überwachung und zum Schutz eines Netzwerks vor Angriffen aus einem öffentlichen Netz, vorzugsweise aus dem Internet, der eingangs genannten Art mit einfachen Mitteln derart auszugestalten und weiterzubilden, dass eine hohe Flexibilität gegeben ist und ein schnelles Erkennen von sich ändernden Angriffssituationen möglich ist.
  • Das erfindungsgemäße Verfahren der gattungsbildenden Art löst die voranstehende Aufgabe durch die Merkmale des Patentanspruchs 1. Danach ist ein solches Verfahren dadurch gekennzeichnet, dass die Firewall von dem System zur Erkennung von Angriffen derart konfiguriert wird, dass dem System zur Erkennung von Angriffen oder einem damit kooperierenden System Informationen über die einen Angriff darstellenden Datenpakete zur weiteren Auswertung zugeführt werden.
  • Erfindungsgemäß ist zunächst erkannt worden, dass es im Rahmen der Überwachung und des Schutzes von Netzwerken nicht ausreicht, angreifende Pakete durch die auf der Firewall installierten Regeln einfach zu blockieren, da hierdurch in bestimmten Fällen wichtige Informationen verloren gehen und ein effizienter Betrieb des Netzwerks verhindert wird. Vielmehr wird erfindungsgemäß vorgeschlagen, dass die Firewall von dem System zur Erkennung von Angriffen derart konfiguriert wird, dass Informationen über zu einem Angriff gehörende Datenpakete dem System zur Erkennung von Angriffen zur weiteren Auswertung zugeführt werden. Alternativ werden die Informationen einem mit dem System zur Erkennung von Angriffen kooperierenden System zugeführt. Aufgrund der bereitgestellten Informationen ermöglicht das erfindungsgemäße Verfahren die schnelle Erkennung von sich ändernden Angriffssituationen. Darüber hinaus ist das erfindungsgemäße Verfahren einfach zu implementieren und mit wenig Aufwand zu realisieren und reduziert den Bedarf manueller Interaktion im Falle eines Angriffs ganz erheblich.
  • Da häufig nicht nur der Erkennung eines Angriffs sondern insbesondere auch der Feststellung des Endes des Angriffs eine ganz besondere Bedeutung zukommt, kann vorgesehen sein, dass die dem System zur Erkennung von Angriffen oder ei nem damit kooperierenden System zugeführten Informationen speziell zur Feststellung des Endes eines Angriffs ausgewertet werden. Somit kann auf der geschützten Seite der Firewall – ohne manuelle Hilfe – das Ende eines Angriffs erkannt werden.
  • In einer besonders bevorzugten Ausführung ist eine Rückkopplung derart vorgesehen, dass in Abhängigkeit von den dem System zur Erkennung von Angriffen oder einem damit kooperierendem System zugeführten Informationen an der Firewall installierte und das private Netzwerk schützende Regeln angepasst und/oder gelöscht werden können. Mit anderen Worten kann die Firewall, sobald die dem System zur Erkennung von Angriffen zugeführten Informationen das Ende eines Angriff erkennen lassen, automatisch in einen normalen, einen geringeren Schutz generierenden Betriebszustand zurück gesetzt werden. Insbesondere können dabei die ausschließlich der Abwehr des – beendeten – Angriffs dienenden Regeln an der Firewall gelöscht werden. Die Möglichkeit des automatischen Entfernens der zum Schutz vor einem Angriff installierten Firewallregeln ist insbesondere dann vorteilhaft, wenn die installierten Regeln nicht nur den Angriff selbst, sondern auch den regulären Datenverkehr blockieren. Auf diese Weise wird die Verfügbarkeit von Diensten erhöht, indem das Blockieren von Paketen zu einem frühestmöglichen Zeitpunkt aufgehoben wird.
  • In einer besonders leicht zu implementierenden Ausführungsform kann die Firewall von dem System zur Erkennung von Angriffen derart konfiguriert werden, dass Datenpakete, die einen Angriff auf das private Netzwerk darstellen, vollständig an das System zur Erkennung von Angriffen oder ein damit kooperierendes System geleitet werden. Zur Vermeidung eines unnötig großen Datenverkehrs können anstelle der gesamten Datenpakete auch lediglich vorgebbare Teile der angreifenden Datenpakete umgeleitet werden. Denkbar wäre beispielsweise die ausschließliche Umleitung der Header der Datenpakete, welche die im Allgemeinen relevanten Informationen wie Ursprung, Ziel und Größe eines Pakets enthalten.
  • In einer konkreten Ausführungsform kann die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels einer Netzwerkadressübersetzung der Zieladressen der Datenpakete durchgeführt werden. Dabei wird die Zieladresse im Header des Pakets durch die Zieladresse des Systems zur Erkennung von Angriffen bzw. des damit kooperierenden Systems ersetzt.
  • Zur Bewahrung der ursprünglichen Zieladresse eines angreifenden Pakets ist es ganz besonders vorteilhaft, die angreifenden Pakete in Pakete zu kapseln, welche die angreifenden Pakete transportieren. Dabei bleibt die gesamte im angreifenden Paket enthaltene Information erhalten. Bei einer derartigen Kapselung entfällt zudem die im Fall der Netzwerkadressübersetzung notwendige Reservierung von Internetadressen am System zur Erkennung von Angriffen. Obwohl angreifende Pakete diverse Transportprotokolle, wie TCP, UDP und ICMP (Internet Control Message Protocol) mit beliebigen Portnummern benutzen können, können diese demzufolge zur anderweitigen Kommunikation des Systems zur Erkennung von Angriffen benutzt werden.
  • Im einfachsten Fall kann die Kapselung mittels einer IP-over-IP-Kapselung durchgeführt werden, wobei jedem angreifenden Paket ein zusätzlicher Header hinzugefügt wird, der als Zieladresse das System zur Erkennung von Angriffen bzw. ein damit kooperierendes System ausweist.
  • Anstelle einer IP-over-IP-Kapselung kann die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels Kapselung in ein oder mehrere UDP (User Datagram Protocol)-Datenpakete durchgeführt werden. Dabei werden die umgeleiteten Pakete dem System zur Erkennung von Angriffen bzw. einem damit kooperierendem System an einer vereinbarten UDP-Portnummer zielgerichtet zugestellt.
  • Besonders bevorzugt ist die Kapselung in einen TCP (Transmission Control Protocol)-Datenstrom, da dieses System über Mechanismen zur Flusskontrolle verfügt. Einer zeitweisen Überlastung des Systems zur Erkennung von Angriffen durch eine zu große Menge umgeleiteter Pakete kann demzufolge durch geeignete Gegenmaßnahmen wirksam begegnet werden. Darüber hinaus wird durch die Verwendung eines TCP-Datenstroms vermieden, dass Pakete beim Transport verloren gehen, ohne dass dies an der Quelle oder dem Ziel bemerkt wird.
  • Zahlreiche andere Möglichkeiten der Umleitung sind denkbar. So können die Informationen bspw. als Ethernet-Frames an das System zur Erkennung von Angriffen oder ein damit kooperierendes System übertragen werden. Alternativ zur Benut zung der Transportprotokolle TCP oder UDP können zudem zahlreiche andere Transportprotokolle eingesetzt werden, so z.B. die Protokolle SCTP oder DCCP.
  • Um bei massiven Angriffen eine übermäßige Belastung des zu schützenden Netzwerks durch eine große Anzahl umgeleiteter angreifender Pakete zu vermeiden, ist es von Vorteil, die Umleitung über einen eigens zu diesem Zweck reservierten physikalischen Kanal durchzuführen. Durch den Einsatz einer separaten Netzwerkverbindung treten im zu schützenden Netz keine störenden, das Netz sowie den regulären Netzverkehr belastende angreifende Pakete in Erscheinung.
  • Zur weiteren Einschränkung des anfallenden Datenvolumens werden die Pakete in vorteilhafter Weise vor der Umleitung komprimiert. Dies kann mittels irgendeines der bekannten Verfahren zur Datenkomprimierung erfolgen.
  • Für den Fall, dass die Auswertung am System zur Erkennung von Angriffen oder einem damit kooperierenden System ergibt, dass ein vermeintlich angreifendes Paket überhaupt keinen Angriff darstellt, kann vorgesehen sein, dass das entsprechende Paket an die ursprüngliche Zieladresse gesendet wird. Durch diese Maßnahme wird erreicht, dass der normale Datenverkehr möglichst wenig beeinflusst und eingeschränkt wird.
  • In einer im Hinblick auf die benötigten Ressourcen besonders effizienten Ausführungsform ist vorgesehen, dass die Firewall von dem System zur Erkennung von Angriffen derart konfiguriert wird, dass einen Angriff darstellende Pakete von der Firewall blockiert werden und das System zur Erkennung von Angriffen oder ein damit kooperierendes System über die genaue Anzahl der von der Firewall blockierten Pakete informiert wird. Zusätzlich kann eine Information über die Größe jedes einzelnen blockierten Datenpakets und/oder über die Summe der Größen aller blockierten Datenpakete weitergeleitet werden. Die Größeninformation wird zweckmäßiger Weise in vorgebbaren, vorzugsweise regelmäßigen Zeitabständen übertragen. Diese Vorgehensweise bietet sich in einer Vielzahl von Fällen an, da zahlreiche Angriffsarten existieren, bei denen alleine die Anzahl der blockierten Pakete pro Zeitabschnitt das Ende des Angriffs indiziert. Der Einsatz eines derartigen Verfahrens bietet sich insbesondere dann an, wenn das Datenvolumen aufgrund begrenzter Ressourcen eine kritische Größe darstellt, da die hierbei erzeugte Last deutlich geringer ist als die Last, die bei einer Umleitung der Pakete an das System zur Erkennung von Angriffen erzeugt würde. Zudem ist es wesentlich weniger aufwendig, regelmäßig Zähler für Pakete und Datenmengen zu beobachten, als ständig die angreifenden Pakete selbst zu untersuchen.
  • Im Hinblick auf eine hohe Flexibilität kann vorgesehen sein, dass die dem System zur Erkennung von Angriffen oder einem damit kooperierenden System zugeführten Informationen anhand vorgebbarer, d.h. insbesondere veränderbarer und anpassbarer Parameter ausgewertet werden. So kann es für bestimmte Angriffe vorteilhaft sein, die Informationen in Bezug auf Feststellung des Ursprungs eines Angriffs auszuwerten. Zudem können auf Grundlage der ausgewerteten Informationen Angriffsstatistiken erstellt werden, die zum einen zum besseren Verständnis der Angriffe und zum anderen zur Entwicklung weiterreichender Verteidigungsstrategien dienen können.
    •
  • Es gibt nun verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die dem Patentanspruch 1 nachgeordneten Patentansprüche und andererseits auf die nachfolgende Erläuterung eines bevorzugten Ausführungsbeispiels der Erfindung anhand der Zeichnung zu verweisen. In Verbindung mit der Erläuterung des bevorzugten Ausführungsbeispiels der Erfindung anhand der Zeichnung werden auch im Allgemeinen bevorzugte Ausgestaltungen und Weiterbildungen der Lehre erläutert. In der Zeichnung zeigt
    die einzige Fig. eine schematische Darstellung eines Ausführungsbeispiels eines erfindungsgemäßen Verfahrens zur Überwachung und zum Schutz eines Netzwerks.
  • Das zu schützende Netzwerk 1 umfasst eine Vielzahl von Hardware-Systemen, bei denen es sich im Konkreten beispielsweise um einen Server 2, einfache Arbeitsplatzrechner 3 oder um Notebooks 4 handelt. Das Netzwerk 1 umfasst zudem eine Firewall 5, die das zu schützende Netzwerk 1 von dem öffentlichen Internet 6 trennt. Auf der geschützten Seite der Firewall 5 ist ein System 7 zur Erkennung von Angriffen platziert, welches die Firewall 5 passierende Datenpakete untersucht und beim Entdecken von einen Angriff darstellenden Datenpaketen das Netzwerk 1 schützende Regeln auf der Firewall 5 installiert.
  • Die Firewall 5 wird von dem System 7 zur Erkennung von Angriffen derart konfiguriert, dass dem System 7 zur Erkennung von Angriffen Informationen über Pakete, die einen möglichen Angriff darstellen, zur weiteren Auswertung zugeführt werden. Bei den Informationen kann es sich beispielsweise um das gesamte Datenpaket, um die Header der Datenpakete, welche Ursprung, Ziel und Größe der Pakete indizieren, um die Datenmenge oder die Anzahl der Pakete handeln. In Abhängigkeit von diesen Informationen kann das System 7 zur Erkennung von Angriffen an der Firewall 5 installierte, das Netzwerk 1 schützende Regeln anpassen und/oder löschen. Diese Konfiguration der Firewall 5 durch das System 7 zur Erkennung von Angriffen ist in der Fig. durch den mit C gekennzeichneten Pfeil angedeutet. Das System 7 zur Erkennung von Angriffen kann bspw. nach Feststellung des Endes eines Angriffes an der Firewall 5 die das Netzwerk 1 schützenden Regeln automatisch derart anpassen, dass der veränderte Zustand berücksichtigt wird, und zwar insbesondere derart, dass ausschließlich der Abwehr des beendeten Angriffs dienende Regelelemente an der Firewall 5 gelöscht werden.
  • Abschließend sei ganz besonders darauf hingewiesen, dass das voranstehend erörterte Ausführungsbeispiel lediglich zur Beschreibung der beanspruchten Lehre dient, diese jedoch auf das Ausführungsbeispiel einschränkt.

Claims (19)

  1. Verfahren zur Überwachung und zum Schutz eines Netzwerks (1) vor Angriffen aus einem öffentlichen Netz, vorzugsweise aus dem Internet (6), wobei das Netzwerk (1) eine Firewall (5) und ein auf der geschützten Seite der Firewall (5) platziertes System (7) zur Erkennung von Angriffen aufweist, welches die Firewall (5) passierende Datenpakete untersucht und beim Entdecken von einen Angriff darstellenden Datenpaketen das Netzwerk (1) schützende Regeln auf der Firewall (5) installiert, dadurch gekennzeichnet, dass die Firewall (5) von dem System (7) zur Erkennung von Angriffen derart konfiguriert wird, dass dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System Informationen über die einen Angriff darstellenden Datenpakete zur weiteren Auswertung zugeführt werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System zugeführten Informationen zur Feststellung des Endes eines Angriffs ausgewertet werden.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass an der Firewall (5) installierte, das Netzwerk (1) schützende Regeln in Abhängigkeit von den dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System zugeführten Informationen angepasst und/oder gelöscht werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Firewall (5} von dem System (7) zur Erkennung von Angriffen derart konfiguriert wird, dass einen Angriff darstellende Datenpakete vollständig an das System (7) zur Erkennung von Angriffen oder ein damit kooperierendes System umgeleitet werden.
  5. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Firewall (5) von dem System (7) zur Erkennung von Angriffen derart konfiguriert wird, dass ausschließlich vorgebbare Teile der einen Angriff darstellenden Daten pakete, vorzugsweise der Header der Datenpakete, an das System (7) zur Erkennung von Angriffen oder ein damit kooperierendes System umgeleitet werden.
  6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels einer Netzwerkadressübersetzung der Zieladressen der Datenpakete durchgeführt wird.
  7. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels Übertragung durch einen IP (Internet Protocol)-Tunnel durchgeführt wird.
  8. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels Kapselung in ein oder mehrere UDP (User Datagram Protocol)-Datenpakete durchgeführt wird.
  9. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels Kapselung in einen TCP (Transmission Control Protocol)-Datenstrom durchgeführt wird.
  10. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels Übertragung als Ethernet Frames oder mittels SCTP (Stream Control Transmission Protocol), DCCP (Datagram Congestion Control Protocol) oder ähnlicher Transportprotokolle durchgeführt wird.
  11. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Umleitung der Datenpakete oder eines Teils der Datenpakete mittels Übertragung über einen reservierten separaten physikalischen Kanal durchgeführt wird.
  12. Verfahren nach einem der Ansprüche 4 bis 11, dadurch gekennzeichnet, dass die Datenpakete vor der Umleitung komprimiert werden.
  13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, dass Datenpakete, die keinen Angriff darstellen, von dem System (7) zur Erken nung von Angriffen oder einem damit kooperierenden System nach der Auswertung an die ursprüngliche Zieladresse gesendet werden.
  14. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Firewall (5) von dem System (7) zur Erkennung von Angriffen derart konfiguriert wird, dass einen Angriff darstellende Datenpakete von der Firewall (5) blockiert werden und dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System eine Information über die Anzahl der blockierten Datenpakete zugeführt wird.
  15. Verfahren nach Anspruch 14, dadurch gekennzeichnet, dass dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System eine Information über die Größe jedes einzelnen blockierten Datenpakets und/oder über die Summe der Größe aller blockierter Datenpakete zugeführt wird.
  16. Verfahren nach Anspruch 15, dadurch gekennzeichnet, dass dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System die Information in vorgebbaren, vorzugsweise regelmäßigen, Zeitabständen zugeführt wird.
  17. Verfahren nach Anspruch 15 oder 16, dadurch gekennzeichnet, dass die dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System zugeführten Informationen anhand vorgebbarer Parameter ausgewertet werden.
  18. Verfahren nach einem der Ansprüche 1 bis 17, dadurch gekennzeichnet, dass die dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System zugeführten Informationen zur Feststellung des Ursprungs eines Angriffs ausgewertet werden.
  19. Verfahren nach einem der Ansprüche 1 bis 18, dadurch gekennzeichnet, dass die dem System (7) zur Erkennung von Angriffen oder einem damit kooperierenden System zugeführten Informationen zur Erstellung von Angriffsstatistiken ausgewertet werden.
DE102004016582A 2004-03-31 2004-03-31 Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz Ceased DE102004016582A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102004016582A DE102004016582A1 (de) 2004-03-31 2004-03-31 Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
JP2005028422A JP2005293550A (ja) 2004-03-31 2005-02-04 パブリックネットワークからの攻撃に対してプライベートネットワークを監視保護する方法およびシステム
US11/094,448 US20050251859A1 (en) 2004-03-31 2005-03-31 Method of monitoring and protecting a private network against attacks from a public network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004016582A DE102004016582A1 (de) 2004-03-31 2004-03-31 Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz

Publications (1)

Publication Number Publication Date
DE102004016582A1 true DE102004016582A1 (de) 2005-10-27

Family

ID=35062199

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004016582A Ceased DE102004016582A1 (de) 2004-03-31 2004-03-31 Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz

Country Status (3)

Country Link
US (1) US20050251859A1 (de)
JP (1) JP2005293550A (de)
DE (1) DE102004016582A1 (de)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0518578D0 (en) * 2005-09-13 2005-10-19 Qinetiq Ltd Communications systems firewall
JP4664257B2 (ja) 2006-09-06 2011-04-06 富士通株式会社 攻撃検出システム及び攻撃検出方法
US8424075B1 (en) * 2008-12-31 2013-04-16 Qurio Holdings, Inc. Collaborative firewall for a distributed virtual environment
KR100994076B1 (ko) * 2010-04-12 2010-11-12 주식회사 나우콤 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법
US10652111B2 (en) * 2014-04-22 2020-05-12 Orckit Ip, Llc Method and system for deep packet inspection in software defined networks
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
US11310246B2 (en) 2018-08-10 2022-04-19 Cisco Technology, Inc. Endpoint-assisted inspection of encrypted network traffic

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030085943A1 (en) * 2001-10-19 2003-05-08 Seiko Epson Corporation Apparatus and method of assembling head unit, of positioning liquid droplet ejection head, and of fixing liquid droplet ejection head; as well as method of manufacturing LCD device, organic el device electron emission device, PDP device, electrophoretic display device, color filter, organic el, spacer, metallic wire, lens resist and light diffusion member
DE10241974A1 (de) * 2002-09-11 2004-03-25 Kämper, Peter Überwachung von Datenübertragungen

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6226748B1 (en) * 1997-06-12 2001-05-01 Vpnet Technologies, Inc. Architecture for virtual private networks
US7389537B1 (en) * 2001-10-09 2008-06-17 Juniper Networks, Inc. Rate limiting data traffic in a network
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030085943A1 (en) * 2001-10-19 2003-05-08 Seiko Epson Corporation Apparatus and method of assembling head unit, of positioning liquid droplet ejection head, and of fixing liquid droplet ejection head; as well as method of manufacturing LCD device, organic el device electron emission device, PDP device, electrophoretic display device, color filter, organic el, spacer, metallic wire, lens resist and light diffusion member
DE10241974A1 (de) * 2002-09-11 2004-03-25 Kämper, Peter Überwachung von Datenübertragungen

Also Published As

Publication number Publication date
US20050251859A1 (en) 2005-11-10
JP2005293550A (ja) 2005-10-20

Similar Documents

Publication Publication Date Title
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE69818232T2 (de) Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten
DE602004002198T2 (de) Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
DE102006004202B4 (de) Verfahren zum Schutz von SIP basierten Anwendungen
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE102004016582A1 (de) Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
DE19857182A1 (de) Telekommunikationsnetz mit Virenschutz in Zeichengabekanälen
EP1464150B1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
DE602004008563T2 (de) Verbindungsmanagementsystem und Verfahren für eine Transportweitergabemaschine
EP2987301A1 (de) Überwachung der funktionalität einer netzwerkfiltereinrichtung
EP3059926B1 (de) Verfahren zum erkennen eines denial-of-service angriffs in einem kommunikationsnetzwerk
EP1935163A1 (de) Netzwerkzugangsknotenrechner zu einem kommunikationsnetzwerk, kommunikationssystem und verfahren zum betreiben eines kommunikationssystems
DE102019125799A1 (de) Vermeidung der IP-Datenfragmentierung für TCP beim internationalen Datenroaming
WO2020099291A1 (de) Vorrichtung zum absichern eines echtzeit-ethernet-datennetzwerks für ein kraftfahrzeug
DE102004025056B4 (de) Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz
WO2017148559A1 (de) Verfahren und analysemodul zur überprüfung von verschlüsselten datenübertragungen
DE10152010B4 (de) Erkennung und Abwehr von unbefugtem Eindringen in ein Kommunikationsnetz
EP4441645A1 (de) Verfahren zur steuerung des zugriffs eines users auf ein netzwerk, netzwerk und computerprogramm
DE60313195T2 (de) Verfahren, system und computerprogrammprodukt zum übertragen eines media-stroms zwischen client-endgeräten
DE102018123692A1 (de) System und Verfahren für einen öffentlichen Zugriff auf Daten in einem internen Bereich
Hoherz et al. Intrusion Detection Systeme in Firewalls

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8131 Rejection