DE102004025056B4 - Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz - Google Patents

Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz Download PDF

Info

Publication number
DE102004025056B4
DE102004025056B4 DE102004025056A DE102004025056A DE102004025056B4 DE 102004025056 B4 DE102004025056 B4 DE 102004025056B4 DE 102004025056 A DE102004025056 A DE 102004025056A DE 102004025056 A DE102004025056 A DE 102004025056A DE 102004025056 B4 DE102004025056 B4 DE 102004025056B4
Authority
DE
Germany
Prior art keywords
network
shared medium
address
monitoring
addresses
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102004025056A
Other languages
English (en)
Other versions
DE102004025056A1 (de
Inventor
Ingo Kraft
Ulrich Konrad
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KRAFTCOM GmbH
Original Assignee
KRAFTCOM GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KRAFTCOM GmbH filed Critical KRAFTCOM GmbH
Priority to DE202004020834U priority Critical patent/DE202004020834U1/de
Priority to DE102004025056A priority patent/DE102004025056B4/de
Publication of DE102004025056A1 publication Critical patent/DE102004025056A1/de
Application granted granted Critical
Publication of DE102004025056B4 publication Critical patent/DE102004025056B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B3/00Line transmission systems
    • H04B3/54Systems for transmission via power distribution lines
    • H04B3/544Setting up communications; Call and signalling arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B2203/00Indexing scheme relating to line transmission systems
    • H04B2203/54Aspects of powerline communications not already covered by H04B3/54 and its subgroups
    • H04B2203/5404Methods of transmitting or receiving signals via power distribution lines
    • H04B2203/5408Methods of transmitting or receiving signals via power distribution lines using protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B2203/00Indexing scheme relating to line transmission systems
    • H04B2203/54Aspects of powerline communications not already covered by H04B3/54 and its subgroups
    • H04B2203/5429Applications for powerline communications
    • H04B2203/5445Local network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5046Resolving address allocation conflicts; Testing of addresses

Abstract

Verfahren zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz (1) mit mehreren Teilnehmern (4), mit den Schritten:
– Aufbau einer logischen Netzwerkstruktur durch Vergeben von IP-Adressen (7, 8, 9) an die Teilnehmer (4) derart, dass jedem Teilnehmer (4) ein unterschiedliches IP-Subnetz zugeordnet ist,
– Überwachen der Datenübertragung in dem Shared-Medium-Netz (1), und
– Durchführen einer Folgeaktion, wenn bei der Überwachung eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt wird.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz mit mehreren Teilnehmern.
  • Ein Shared-Medium-Netz liegt dann vor, wenn alle Netzteilnehmer Zugriff auf dasselbe Medium haben. Bei einem Einsatz eines solchen von mehreren Teilnehmern gemeinsam genutzten Netzwerkes, z.B. zum Zweck eines zentralen Internetzugangs über ein Shared Medium, sind Vorkehrungen erforderlich, die eine Kommunikation zwischen den Teilnehmern und damit ein unerlaubtes datentechnisches Eindringen in die Endgeräte verhindern.
  • Shared-Medium-Techniken, die in diese Kategorie fallen, sind beispielsweise „HomePlug".(Nutzung der Stromleitung als Shared Medium) oder „Cable-LAN" (Nutzung des Antennenanschlusses bzw. eines TV-Koaxial-Kabels als Shared Medium). Dabei sind die Endgeräte (PCs, Notebooks etc.) über Adapter an das Shared Medium angeschlossen. Üblicherweise werden für einen Zugriffsschutz Paketfilter auf den Netzebenen 2 und 3 bereits in den Adaptern eingesetzt. Fehlen diese Filter, wie z.B. im Falle von „HomePlug"-Adaptern beim Einsatz in Hotels oder Mehrfamilienhäusern; ist ein ausreichender Zugriffsschutz nur mit großem Aufwand zu erreichen.
  • Aus der US 6,393,484 B1 ist ein Verfahren zur Gewährleistung eines Zugriffsschutzes zu einem Shared-Medium-Netz bekannt.
  • Ein Zugriffsschutz wird dabei durch ein kompliziertes Verfahren unter Verwendung eines DHCP-Servers und einer Datenbank erreicht, wobei die Gültigkeit eines Zugriffes anhand der MAC-Adressen der Benutzer überprüft wird.
    •
  • Aufgabe der vorliegenden Erfindung ist es, mit einfachen Mitteln einen sicheren Zugriffsschutz für ein Shared-Medium-Netz bereitzustellen.
  • Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 bzw. 6 sowie durch eine Vorrichtung nach Anspruch 4 bzw. ein Computerprogramm nach Anspruch 7 gelöst.
  • Danach umfasst das erfindungsgemäße Verfahren den Aufbau einer logischen Netzwerkstruktur durch Vergeben von Adressen an die Teilnehmer, das Überwachen der Datenübertragung in dem Shared-Medium-Netz, und das Durchführen einer Folgeaktion, wenn bei der Überwachung eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt wird.
  • Die erfindungsgemäße Vorrichtung umfasst eine Vergabeeinheit zum Aufbau einer logischen Netzwerkstruktur durch Vergeben von Adressen an die Teilnehmer, eine Überwachungseinheit zum Überwachender Datenübertragung in dem Shared-Medium-Netz, und eine Aktionseinheit zum Durchführen einer Folgeaktion, wenn bei der Überwachung eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt wird.
  • Die Erfindung kann auch in Form eines Computerpogramms. implementiert sein. Erfindungsgemäß umfasst das Computerprogramm Computerprogrammbefehle zum Aufbau einer logischen Netzwerkstruktur durch Vergeben von Adressen an die Teilnehmer, Computerprogrammbefehle zum Überwachen der Datenübertragung in dem Shared-Medium-Netz, und Computerprogrammbefehle zum Durchführen einer Folgeaktion, wenn bei der Überwachung eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt wird. Das erfindungsgemäße Verfahren läuft ab, wenn das Computerprogramm auf einem Rechner ausgeführt wird.
  • Ein Grundgedanke der Erfindung liegt darin, den Zugriffsschutz in einem Shared-Medium-Netz durch ein spezielles Adressvergabeverfahren an alle Teilnehmer und eine Überwachung der Adressnutzung sicherzustellen. Diese Vorgehensweise ermöglicht einen leicht zu realisierenden, preiswerten Zugriffsschutz ohne den Einsatz zusätzlicher, aufwändig modifizierter Hardware oder Software (Firewalls oder dergleichen).
  • Gemäß einer besonders vorteilhaften Ausführungsform der Erfindung erfolgt die Adressvergabe und die Überwachung durch einen Gateway, über den ein Shared-Medium-Netz-Segment mit mehreren Teilnehmern an das Internet oder ein anderes Netzwerk angeschlossen ist. Die Adressvergabe erfolgt vorteilhafterweise über einen modifizierten Dynamic Host Configuration Protocol (DHCP)-Server derart, dass jeder Teilnehmer in einem eigenen IP-Subnetz liegt, so dass sämtliche Kommunikation des Teilnehmers über das Gateway erfolgen muss. Mit anderen Worten „sehen sich" die Teilnehmer untereinander nicht. Bei einem Verstoß gegen die Subnetz-Regel wird der Teilnehmer über ein geeignetes Deaktivierungskommando von dem Shared-Medium getrennt.
  • Hierdurch ist eine besonders sichere und einfach zu realisierende „Client-to-Client Protection" möglich. Mit anderen Worten wird sichergestellt, dass die das Shared Medium nutzenden Teilnehmer gegenseitig vor Eingriffen geschützt sind. Eine nicht autorisierte Benutzung wird sicher verhindert. Die erfindungsgemäße Zugriffskontrolle ist einfach zu implementieren und kann auch bei vorhandenen Shared-Medium-Netzen eingesetzt werden.
    •
  • Die Erfindung sowie weitere vorteilhafte Ausführungsformen werden nachfolgend anhand von Ausführungsbeispielen näher beschrieben, die mit Hilfe der Zeichnungen erläutert werden. Hierbei zeigen:
  • 1 eine schematische Darstellung eines Shared-Medium-Netzes,
  • 2 ein Nummernschema für ein Shared-Medium-Netz, und
  • 3 eine Netzsicht eines Gateways.
  • Wie in 1 gezeigt, ist ein Segment eines Shared-Medium-Netzes 1 mit mehreren Teilnehmern über ein Gateway 2 mit dem Internet 3 verbunden. Als Shared Medium dient dabei das Stromnetz eines Hauses oder dergleichen. Die teilnehmenden Endgeräte, im vorliegenden Fall n Client-PCs 4, sind über PowerLine-Adapter 5 mit dem Shared Medium verbunden. Die PowerLine-Adapter 5, die über eine eigene Medium Access Control (MAC)-Adresse verfügen, dienen der Datenübertragung zwischen den Client-PCs 4 und dem Gateway 2. Der PowerLine-Adapter 5' dient dem direkten Anschluss des Gateways 2 über dessen Ethernet-Schnittstelle an das Shared-Medium-Netz 1. Alternativ hierzu kann das Gateway 2 auch ein internes PowerLine-Modem aufweisen.
  • PowerLine-Adapter (oder PowerLine-Modems) dienen zur Kommunikation über das Stromnetz. Dabei wird für jeden Teilnehmer ein Adapter (oder ein Modem) benötigt. Anstelle eines Client-PCs kann es sich bei einem Teilnehmer auch um andere Endgeräte, wie beispielsweise Notebooks etc. oder aber um einen Router oder einen Hub/Switch handeln. Die PowerLine- Adapter werden mit einem Netzpasswort versehen. Eine Kommunikation findet dann nur noch zwischen solchen PowerLine-Adaptern statt, die das gleiche Netzpasswort verwenden. Auf diese Weise ist es auch möglich, mehrere voneinander getrennte Netze auf demselben physikalischen Medium, z.B. dem Stromnetz, zu betreiben.
  • Auf dem Gateway 2 wird eine DHCP-Server-Software ausgeführt. Diese dient zur zentralen Konfiguration der Netzparameter, wie beispielsweise IP-Adresse, Netzmaske, Domain Name Server (DNS), Default Gateway usw. eines Client-PCs 4.
  • Aus dem Stand der Technik ist es bekannt, dass einer DHCP-Server-Software hierzu ein konfigurierbarer Pool an IP-Adressen zur Verfügung steht, wobei alle IP-Adressen innerhalb des Pools dem gleichen Subnetz angehören müssen, zu dem auch das Gerät gehört, auf dem die DHCP-Server-Software abläuft. Die Subnetz-Adresse eines PCs ergibt sich hierbei aus einer bit-weisen UND-Verknüpfung der Netzmaske mit seiner IP-Adresse. Alle Geräte mit der gleichen Subnetz-Adresse gehören zu einem Subnetz und sind untereinander auf Netzebene „2" (Data Link Layer) direkt erreichbar. Anfragen an Client-PCs aus einem anderen Subnetz laufen dabei in der Regel über ein Gateway bzw. einen Router im gleichen Subnetz.
  • Gemäß der Erfindung vergibt nun die als Vergabeeinheit 6 dienende DHCP-Server-Software dynamisch DHCP-Adressen zum Aufbau einer logischen Netzwerkstruktur nach einem Schema, wonach jedem Client-PC 4 eine IP-Adresse 7, 8, 9 zugeordnet wird, die in Verbindung mit der Netzmaske 10 ein eigenes Subnetz bildet, in dem nur der Client-PC 4 und das Gateway 2 liegen. Mit anderen Worten ist das Gateway 2 das einzige IP-Gerät, das der Client-PC 4 in seinem LAN-Segment auf Netzebene „3" (Network Layer) ansprechen kann. Hierzu wird auch dem Gateway 2 für jede einem Client-PC 4 zugewiesene IP-Adresse 7, 8, 9 eine entsprechende IP-Adresse 11, 12, 13 aus dem gleichen Subnetz zugeordnet, d.h. dem Ethernet-Interface des Gateways 2 ist für jeden Client-PC 4 eine eigene IP-Adresse 11, 12, 13 zugeordnet, die gleichzeitig dem Client-PC 4 als Default Gateway in der Antwort auf seine DHCP-Anforderung mitgeliefert wird. Dadurch wird erreicht, dass jede Anforderung eines Client-PCs 4 an einen Teilnehmer ausserhalb seines eigenen Subnetzes immer über das Gateway 2 läuft.
  • Ein sich hierdurch ergebendes Nummernschema ist beispielhaft in 2 dargestellt. Auf IP-Ebene sind die Client-PCs 4 gegenseitig "unsichtbar", da aufgrund der Netzmaske 10 jeder Client-PC 4 nur Datenpakete aus seinem Netz (10.0.x) entgegennimmt. Mit anderen Worten sind die Client-PCs 4 derart konfiguriert, dass eine Datenübertragung ausschließlich über das Gateway 2 erfolgt. Die Konfiguration der Client-PCs 4 erfolgt vorzugsweise automatisch durch den DHCP-Server.
  • Um eine Kommunikation ausschließlich über das Gateway 2 zu gewährleisten, muss durch geeignete Maßnahmen sichergestellt werden, dass alle Client-PCs 4 ihre IP-Adressen über die Vergabeeinheit 6 beziehen und keine Modifikationen an den Einstellungen in den Client-PCs 4 vorgenommen werden.
  • Das Gateway 2 umfasst hierzu eine Überwachungseinheit 14 zur Überwachung der Kommunikation in dem Shared-Medium-LRN 1 mit dem Ziel, Modifikationen an der Netzwerkstruktur zu erkennen.
  • Die Überwachung des Datenverkehrs erfolgt dabei durch einfaches Mitlesen der übertragenen Datenpakete am Shared Medium. Dieses Mitlesen erfolgt vorzugsweise dadurch, dass das Ethernet-Interface in einen Modus gesetzt wird, in dem unabhängig von den Netz-Einstellungen und der MAC-Adresse des Ethernet-Interfaces alle Datenpakete auf dem Shared Medium von einer Applikation gelesen und verarbeitet werden können.
  • Die Überwachungseinheit 14 ist derart ausgebildet, dass sie anhand der mitgelesenen Datenpakete und den darin enthaltenen Informationen, insbesondere anhand der MAC-Adresse des Absenders und bei IP-Paketen anhand der IP-Adresse des Absenders, erkennt, ob die Datenpakete zu der vom Gateway 2 verwalteten Netzwerkstruktur passen.
  • Hierzu erfasst die Überwachungseinheit 14 die MAC-Adressen von PowerLine-Adaptern 5 durch Pollen der Adapter. Dies dient zugleich der Überwachung des Powerline-Netzes für Netzmanagement-Anwendungen.
  • Weiterhin erfasst die Überwachungseinheit 14 MAC-Adressen von Client-PCs 4, denen per DHCP eine IP-Adresse 7, 8, 9 zugewiesen wurde. Diese Erfassung erfolgt bei der Anforderung einer IP-Adresse 7, 8, 9 durch einen Client-PC 4.
  • Darüber hinaus werden die an die Client-PCs 4 vergebenen IP-Adressen 7, 8, 9 von der Überwachungseinheit 14 erfasst. Wenn die Vergabeeinheit 6 auf Anforderung eines Client-PCs 4 eine IP-Adresse 7, 8, 9 vergibt (leased), wird diese zusammen mit der zugehörigen MAC-Adresse 15, 16, 17 in einer Tabelle (Leasetable) gespeichert. Jeder einzelne Eintrag (Lease) ist mit einem Zeitstempel versehen, der den Zeitpunkt angibt, an dem der Eintrag ungültig wird. Dem Client-PC 4 wird somit, zum Beispiel nach einem Reboot, wieder die gleiche IP-Adresse 7, 8, 9 zugewiesen, solange der Eintrag mit seiner MAC-Adresse 15, 16, 17 noch gültig ist.
  • Schließlich erfolgt durch die Überwachungseinheit 14 eine Erfassung der MAC-Adresse 15, 16, 17 der Client-PCs 4, die über das Powerline-Netz erreichbar sind. Dies erfolgt durch das Auslesen der Bridgingtabelle 21 des PowerLine-Adapters 5', an dem das Gateway 2 direkt angeschlossen ist. Aus diesem PowerLine-Adapter 5' ist eine Liste aus Tupeln von MAC-Adressen auslesbar, wobei die eine MAC-Adresse des Tupels einen anderen, entfernten PowerLine-Adapter 5 im selbem Powerline-Netz repräsentiert und die andere MAC-Adresse zu einem Client-PC 4 hinter dem entfernten Powerline-Adapter 5 gehört. Diese Liste wird durch den durch das Shared-Medium-Netz fliessenden Datenverkehr ständig aktualisiert. Auf diese Weise kann das Gateway 2 ermitteln, welche Client-PCs 4 im Netz an welchem Powerline-Adapter 5 angeschlossen sind.
  • Die in 3 skizzierte Struktur definiert die Netzsicht des Gateways 2 mit den Informationen aus den DHCP-Leases sowie den Daten, die aus dem Powerline-Adapter 5 ausgelesen werden. Abweichend von der Lease-Verwaltung einer herkömmlichen DHCP-Server-Software wird in der DHCP-Tabelle (Lease-Tabelle) 22 auch die MAC-Adresse 18, 19, 20 des PowerLine-Adapters 5 mit abgelegt, über den der DHCP-Request gekommen ist.
  • Die Überwachungseinheit 14 ist weiter derart ausgebildet, dass sie Abweichungen vom Normalverkehr erkennt. Unter „Normalverkehr" wird dabei der Verkehr verstanden, der bei einer ordnungsgemäßen, d.h. der Subnetzregel bzw. der Adressvergabe entsprechenden Nutzung von Internet-Diensten anfällt.
  • Da auf der Client-PC-Seite die Nutzung von DHCP zur Erlangung einer IP-Adresse obligatorisch ist, hat der „Normalverkehr" einige Eigenschaften, die von der Überwachungseinheit 14 überprüft werden können. So ist vorgegeben, dass nur solche Datenpakete zulässig sind, die zueinander passende MAC- und IP-Adressen besitzen, was anhand der DHCP-Tabelle 22 überprüft wird. Weiterhin muss die Kommunikation über den gleichen PowerLine-Adapter 5 erfolgen, über den auch beim DHCP-Request kommuniziert wurde. Diese Information wird aus der Bridgingtabelle 21 ermittelt.
  • Ausgenommen von der Überprüfung sind Datenpakete, die zu bestimmten Protokollgruppen, wie z.B. DHCP gehören. So ist natürlich ein Datenpaket mit einer bis dahin unbekannten MAC-Adresse kein „illegales" Datenpaket, wenn es sich um einen DHCP-Request handelt, also um die Anforderung einer IP-Adresse von einem bis dahin unbekannten Client-PC 4.
  • Aus Performancegründen kann die Überprüfung der PowerLine-Adapter-Bridgingtabelle 21 nicht bei jedem Paket erfolgen. Vielmehr werden die Bridgingtabellen 21 der einzelnen PowerLine-Adapter 5 in geeignet Abständen ausgelesen und in der Überwachungseinheit 14 zwischengespeichert, sodass die Datenpaket-Überprüfung vollständig auf dem Gateway 2 ablaufen kann. Das Abfrage-Intervall der Bridgingtabelle 21 liegt dabei vorzugsweise zwischen 1 und 10 Sekunden.
  • Die Überprüfung der vom „Normalverkehr" abweichenden Datenübertragungen erfolgt durch die Überwachungseinheit 14, die zu diesem Zweck als eine eigene Applikation auf dem Gateway 2 implementiert ist. Die Überwachungseinheit 14 aktualisiert permanent das in 3 dargestellte Netzbild, liest den gesamten Verkehr mit, wie oben beschrieben, und überprüft die Datenpakete anhand der Kriterien: unbekannte Absender-MAC-Adresse, unbekannte Absender-IP-Adresse, illegale Kombination aus Absender-MAC-Adresse und Absender-IP-Adresse bzw. gleiche MAC-Adresse in mehreren Adaptern.
  • Enthält das Datenpaket eine Absender-MAC-Adresse, die nicht in der DHCP-Tabelle 22 vorkommt, so deutet dies auf einen Anwender hin, der keine IP-Adresse über DHCP bezogen hat Enthält das Datenpaket eine Absender-IP-Adresse, die nicht in der DHCP-Tabelle 22 vorkommt, dann deutet das ebenfalls auf einen Anwender hin, der keine IP-Adresse über DHCP bezogen hat.
  • Eine illegale Kombination aus Absender-MAC-Adresse und Absender-IP-Adresse deutet auf die missbräuchliche Verwendung von Adressen eines anderen Anwenders hin. Der Verursacher kann durch Vergleich der Bridgingtabelle 21 der PowerLine-Adapter 5 mit dem „Soll-Adapter" aus der DHCP-Tabelle 22 ermittelt werden.
  • Werden beim Abfragen der Bridgingtabelle 21 identische MAC-Adresse bei mehreren Adaptern 5 ermittelt, deutet dies auf die missbräuchliche Verwendung einer legalen Mac-IP-Adress-Kombination hin. Wie bereits im oberen Fall kann der Verursacher durch Vergleich der Bridgingtabelle 21 der PowerLine-Adapter 5 mit dem „Soll-Adapter" aus der Lease-Tabelle ermittelt werden.
  • Bei einem Vorliegen wenigstens eines dieser Szenarien erfolgt eine Abtrennung des Anwenders, der den illegalen Datenverkehr verursacht hat, vom Shared-Medium-Netz 1 durch eine im Gateway 2 angeordnete Aktionseinheit 23.
  • Die Trennung erfolgt hierbei vorzugsweise auf der Ebene der PowerLine-Adapter, beispielsweise durch geeignete Veränderung des Netzwerkpasswortes am PowerLine-Adapter 5 des Verursachers oder durch Veränderung der Netzwerkpassworte aller anderen PowerLine-Adapter 5. In beiden Fällen wird der Verursacher vom Shared-Medium-Netz 1 abgekoppelt.
  • Die Abkopplung kann hierbei entweder dauerhaft erfolgen, sodass nur durch manuelle Interaktion des Netzwerk-Administrators ein Netzzugang über diesen PowerLine-Adapter wieder möglich wird, oder der Teilnehmer wird nur für eine geeignete Zeitdauer ausgesperrt, nach der der Powerline-Adapter wieder aktiviert wird. Der Zeitraum ist hier so zu bemessen, dass eine dauerhafte illegale Nutzung des Shared-Medium-Netzes 1 unmöglich ist. Vorzugsweise liegt die Dauer der Aussperrung zwischen 1 und 10 Minuten.
  • Alternativ zu der Abtrennung kann eine „stille" Alarmierung, beispielsweise des Netzwerk-Administrators, erfolgen.
  • Unter Verwendung des erfinderischen Grundgedankens und der in der Beschreibung erläuterten Ausführungsformen der Erfindung ergeben sich für einen Fachmann eine Vielzahl weiterer Ausführungsbeispiele, die jedoch an dieser Stelle nicht im Einzelnen beschrieben werden können. In diesem Zusammenhang sei darauf hingewiesen, dass alle in der Beschreibung, den Ansprüchen und den Zeichnungen dargestellten Merkmale sowohl einzeln als auch in beliebiger Kombination miteinander erfindungswesentlich sein können.
    • 1
    Shared-Medium-Netz
    2
    Gateway
    3
    Internet
    4
    Client-PC
    5
    PowerLine-Adapter
    6
    Vergabeeinheit
    7
    IP-Adresse
    8
    IP-Adresse
    9
    IP-Adresse
    10
    Netzmaske
    11
    IP-Adresse
    12
    IP-Adresse
    13
    IP-Adresse
    14
    Überwachungseinheit
    15
    MAC-Adresse
    16
    MAC-Adresse
    17
    MAC-Adresse
    18
    MAC-Adresse
    19
    MAC-Adresse
    20
    MAC-Adresse
    21
    Bridgingtabelle
    22
    DHCP-Tabelle
    23
    Aktionseinheit

Claims (7)

  1. Verfahren zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz (1) mit mehreren Teilnehmern (4), mit den Schritten: – Aufbau einer logischen Netzwerkstruktur durch Vergeben von IP-Adressen (7, 8, 9) an die Teilnehmer (4) derart, dass jedem Teilnehmer (4) ein unterschiedliches IP-Subnetz zugeordnet ist, – Überwachen der Datenübertragung in dem Shared-Medium-Netz (1), und – Durchführen einer Folgeaktion, wenn bei der Überwachung eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass das Überwachen der Datenübertragung umfasst: – ein Erfassen der vergebenen IP-Adressen (7, 8, 9) und der im Shared-Medium-Netz (1) vorhandenen MAC-Adressen (15-20), und – ein Vergleichen der erfassten Daten mit bei der Datenübertragung in dem Shared-Medium-Netz (1) verwendeten IP- und/oder MAC-Adressen.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Folgeaktion ein zumindest zeitweises Ausschließen des Verursachers der Datenübertragung von einer weiteren Datenübertragung in dem Shared-Medium-Netz (1) umfasst.
  4. Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz (1) mit mehreren Teilnehmern (4), – mit einer Vergabeeinheit (6) zum Aufbau einer logischen Netzwerkstruktur durch Vergeben von IP-Adressen (7, 8, 9) an die Teilnehmer (4) derart, dass jedem Teilnehmer (4) ein unterschiedliches IP-Subnetz zugeordnet ist, – mit einer Überwachungseinheit (14) zum Überwachen der Datenübertragung in dem Shared-Medium-Netz (1), und – mit einer Aktionseinheit (23) zum Durchführen einer Folgeaktion, wenn bei der Überwachung eine nicht der Netzwerkstruktur entsprechende Adressnutzung festgestellt wird.
  5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass Vergabeeinheit (6), Überwachungseinheit (14) und Aktionseinheit (23) Teile eines Gateways (2) zum Internet (3) oder dergleichen sind.
  6. Verwendung einer Vorrichtung nach Anspruch 4 oder 5 in einem Shared-Medium-Netz (1),
  7. Computerprogramm zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz (1) mit mehreren Teilnehmern (4), mit Computerprogrammbefehlen zur Ausführung des Verfahrens nach einem der Ansprüche 1 bis 3, wenn das Computerprogramm auf einem Rechner ausgeführt wird.
DE102004025056A 2004-05-18 2004-05-18 Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz Expired - Fee Related DE102004025056B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE202004020834U DE202004020834U1 (de) 2004-05-18 2004-05-18 Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz
DE102004025056A DE102004025056B4 (de) 2004-05-18 2004-05-18 Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102004025056A DE102004025056B4 (de) 2004-05-18 2004-05-18 Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz

Publications (2)

Publication Number Publication Date
DE102004025056A1 DE102004025056A1 (de) 2005-12-15
DE102004025056B4 true DE102004025056B4 (de) 2006-03-30

Family

ID=35404330

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004025056A Expired - Fee Related DE102004025056B4 (de) 2004-05-18 2004-05-18 Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz

Country Status (1)

Country Link
DE (1) DE102004025056B4 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3370370B1 (de) * 2008-04-18 2020-12-09 Thierry Schuffenecker Kommunikationsverfahren für die bestandteile eines stromversorgungsnetzes und vorrichtungen zur umsetzung dieses verfahrens
DE102011076143B4 (de) * 2011-05-19 2015-10-22 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Vorrichtung, Kommunikationssystem und Verfahren
US9356655B2 (en) 2014-07-15 2016-05-31 Stmicroelectronics S.R.L. Method of operating communication networks, corresponding communication network and computer program product

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
WO2004006507A2 (de) * 2002-07-03 2004-01-15 Siemens Aktiengesellschaft Konfiguration eines auf einem breitbandkabelverteilnetz beruhenden telefoniezugangsnetzes und einer zugehörigen paketbasierten vermittlungsstelle

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
WO2004006507A2 (de) * 2002-07-03 2004-01-15 Siemens Aktiengesellschaft Konfiguration eines auf einem breitbandkabelverteilnetz beruhenden telefoniezugangsnetzes und einer zugehörigen paketbasierten vermittlungsstelle

Also Published As

Publication number Publication date
DE102004025056A1 (de) 2005-12-15

Similar Documents

Publication Publication Date Title
DE69935138T2 (de) System und Verfahren zur Optimierung der Leistung und der Verfügbarkeit eines DHCP Dienstes
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60317705T2 (de) Verfahren und system zur cluster-verwaltung von netzwerkeinrichtungen
DE602005000017T2 (de) Kommunikationsvorrichtung, Verfahren und Programm zur Namenauflösung
DE602004004991T2 (de) Automatisierte Installation von Netzgeräten mit Informationen über Regeln, Authentifizierung und gerätespezische Daten
DE102007025162A1 (de) Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
DE19741239A1 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE60211270T2 (de) Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken
DE10330079B4 (de) Router und Verfahren zur Aktivierung eines deaktivierten Computers
DE102019203773A1 (de) Dynamische Firewall-Konfiguration und -Steuerung zum Zugreifen auf Dienste, die in virtuellen Netzwerken gehostet werden
DE102004025056B4 (de) Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz
DE69734179T2 (de) Verfahren und Vorrichtung zum Begrenzen des Zugriffs auf private Information in Domain Name Systemen durch Informationsfilterung
DE202004020834U1 (de) Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz
DE102012105698A1 (de) Externer Zugriff auf IP-basierte Haussteuereinheit in lokalem Netzwerk
EP3669501B1 (de) Verfahren zum bereitstellen von datenpaketen aus einem can-bus; steuergerät sowie system mit einem can-bus
EP2164021A1 (de) Verfahren zum Erkennen eines unerwünschten Zugriffs und Netz-Servereinrichtung
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
DE102019220246A1 (de) Übertragungsvorrichtung zum Übertragen von Daten
EP1699181A1 (de) Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
DE10146397B4 (de) Verfahren, Rechnerprogramm, Datenträger und Datenverarbeitungseinrichtung zum Konfigurieren einer Firewall oder eines Routers
DE102009060904B4 (de) Verfahren zum Steuern eines Verbindungsaufbaus sowie Netzwerksystem
DE102007030775B3 (de) Verfahren zum Filtern von Netzwerkdiensten und Netzwerkdiensteinhalten
EP2067308B1 (de) Verfahren zur authentifizierung eines dsl-nutzers

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee