DE102005011375A1 - Method and arrangement for access control of a network element - Google Patents

Method and arrangement for access control of a network element Download PDF

Info

Publication number
DE102005011375A1
DE102005011375A1 DE200510011375 DE102005011375A DE102005011375A1 DE 102005011375 A1 DE102005011375 A1 DE 102005011375A1 DE 200510011375 DE200510011375 DE 200510011375 DE 102005011375 A DE102005011375 A DE 102005011375A DE 102005011375 A1 DE102005011375 A1 DE 102005011375A1
Authority
DE
Germany
Prior art keywords
entry
management table
time stamp
tbl
source information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200510011375
Other languages
German (de)
Inventor
Oliver Dr. Veits
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200510011375 priority Critical patent/DE102005011375A1/en
Priority to PCT/EP2006/050432 priority patent/WO2006094858A1/en
Publication of DE102005011375A1 publication Critical patent/DE102005011375A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Zugangskontrolle eines Netzelements an einem Zugangselement, bei dem aus einem empfangenen Datenpaket eine Quelleninformation des Netzelements ausgelesen wird und ein zu dieser Quelleninformation zugehöriger Eintrag mit einem jeweiligen Zeitstempel in einer Verwaltungstabelle aktualisiert oder angelegt wird, wobei ein jeweiliger Eintrag nach einer anhand des zugehörigen Zeitstempels bestimmten Dauer aus der Verwaltungstabelle entfernt wird. Dabei wird zu jedem Eintrag ein zweiter Zeitstempel bzw. Aging Timer angelegt, welcher den Zeitpunkt des Anlegens des Eintrags enthält.The invention relates to a method and a device for access control of a network element to an access element, in which a source information of the network element is read from a received data packet and an associated with this source information entry is updated or created with a respective timestamp in a management table, wherein a respective Entry is removed from the management table after a period determined by the associated time stamp. In this case, a second time stamp or aging timer is created for each entry, which contains the time of creation of the entry.

Description

Die Erfindung betrifft ein Verfahren und Anordnung zur Zugangskontrolle eines Netzelements an einem mehrere Anschlussports aufweisenden Zugangselement, vorzugsweise einem Switch.The The invention relates to a method and arrangement for access control a network element at a plurality of connection ports having Access element, preferably a switch.

Im Stand der Technik sind Verfahren zur Zugangskontrolle eines Netzelements bekannt. Ein Netzelement bzw. Client erhält Zugang zu einem Datennetz, indem Identifizierungs- und Authentifizierungsinformationen über ein Zugangselement an einen Authentifizierungsserver übermittelt werden. Der Authentifizierungsserver überprüft die Informationen des Netzelements und entscheidet über einen Zugang des Netzelements. Das Zugangselement ist üblicherweise als so genannter »Switch« oder allgemeiner als Access Point ausgestaltet.in the State of the art are methods for access control of a network element known. A network element or client receives access to a data network, by providing identification and authentication information about Passed the access item to an authentication server become. The authentication server checks the information of the network element and decide on an access of the network element. The access element is usually as a so-called "switch" or more generally designed as an access point.

Ein verbreitetes Verfahren zur Zugangskontrolle ist aus dem IEEE-Standard 802.1x bekannt. Der Standard 802.1x stellt eine generelle Methode für die Authentifizierung und Autorisierung in Datennetzwerken zur Verfügung. Es wird ein Netzwerkzugang definiert, welcher einem physikalischen Anschluss bzw. »Port« in einem lokalen Netzwerk (Local Area Network, LAN) oder einem logischen Port gemäß der Spezifikationen für ein »Wireless LAN« bzw. WLAN im bekannten Standard IEEE 802.11 entspricht.One Common access control method is IEEE standard 802.1x known. The standard 802.1x represents a general method for authentication and authorization in data networks. It will be a network access which defines a physical port or "port" in a Local Area Network (LAN) or logical Port according to the specifications for a »wireless LAN or WLAN complies with the well-known standard IEEE 802.11.

Ein wesentliches Merkmal eines Switches ist es, empfangene Datenpakete nur an die Anschlüsse bzw. »Ports« zu übergeben, welche aufgrund einer in den Datenpaketen eingetragenen Zielinformation – insbesondere MAC-Adresse (Media Acces Control) des Zielsystems – für diese Übergabe vorgesehen sind. Hierzu ist in einem Switch üblicherweise eine Verwaltungstabelle zur Speicherung der Zielinformation und des zughörigen Ports, über die das Zielsystem erreichbar ist, zusammen mit weiteren Daten, vorgesehen. Eine solche Verwaltungstabelle ist auch als MAC-Adresstabelle oder CAM-Tabelle (Content Addressable Memory) bekannt.One The essential feature of a switch is to receive received data packets only to pass to the ports or "ports", which due to a destination information entered in the data packets - in particular MAC address (Media Access Control) of the target system - for this transfer are provided. This is usually a management table in a switch for storing the destination information and the associated port via which the target system is accessible, along with other data, provided. Such a management table is also known as a MAC address table or CAM (Content Addressable Memory) table known.

Ein Switch überprüft weiterhin an einem Port empfangene Datenpakete auf eine im Datenpaket enthaltene Quelleninformation – insbesondere MAC-Adresse des Sendersystems, Quellen-MAC-Adresse. Ist die Quelleninformation noch nicht in der Verwaltungstabelle eingetragen, erfolgt ein Eintrag, der diese Quelleninformation mit dem Port assoziiert, auf dem das Datenpaket empfangen wurde. Gleichzeitig wird ein Zeitstempel mit der Ankunftszeit eingetragen. Ist die Quelladresse eines Pakets schon eingetragen, wird der schon bestehende Eintrag beibehalten und dessen Zeitstempel aktualisiert.One Switch continues to check received at a port data packets to a contained in the data packet Source information - in particular MAC address the sender system, source MAC address. Is the source information not yet in the management table entered, an entry is made with this source information associated with the port on which the data packet was received. simultaneously a time stamp is entered with the arrival time. Is the source address of a package already registered, becomes the already existing entry keep and update its timestamp.

Je nach Ausgestaltung des Switch bzw. des Zugangselements existieren unterschiedliche Verwaltungstabellen für die Quellen- bzw. Zielinformationen. Der Begriff »Tabelle« ist dabei nicht einschränkend auf eine bestimmte Form der Datenorganisation zu verstehen. Statt einer in Form einer Tabelle verwirklichten Datenorganisation kommen überwiegend Datenbanken zur Speicherung der jeweiligen Einträge zum Einsatz.ever exist according to the configuration of the switch or the access element different management tables for the source or destination information. The term "table" is included not restrictive to understand a particular form of data organization. Instead of A data organization realized in the form of a table is mainly provided by databases for storing the respective entries used.

Die Anzahl von Einträgen in der Verwaltungstabelle weist je nach Ausgestaltung und Dimensionierung des Zugangselements eine unterschiedliche Höhe auf und liegt in der Größenordnung von 1000 bis einigen zehntausend Einträgen. Sobald die Verwaltungstabelle aufgefüllt ist, kann der Switch keine neuen Einträge mehr speichern und leitet Datenpakete mit unbekannter Zielinformation auf alle Ports weiter. Diese Datenpakete werden innerhalb des gesamten Datennetzwerks »geflutet« (»Unicast Flooding«) und sind daher auch für einen potenziellen Angreifer sichtbar.The Number of entries in the management table, depending on design and sizing the access element has a different height and is of the order of magnitude from 1000 to several tens of thousands of entries. Once the management table filled is, the switch can no longer store and redirect new entries Data packets with unknown destination information on all ports. These data packets are "flooded" throughout the entire data network (»unicast Flooding ") and are therefore also for a potential attacker visible.

Ein Weiterleitung von Datenpaketen mit unbekannter Zielinformation auf alle Ports tritt auch für den Fall ein, bei dem eine Zielinformation eines eintreffenden Datenpakets noch nicht in der Verwaltungstabelle eingetragen ist, aus diesem Grund also – noch – unbekannt ist. In diesem Fall wird das Datenpaket ebenfalls an alle Ports des Switch, außer demjenigen, über den es empfangen wurde, weitergeleitet.One Forwarding of data packets with unknown destination information all ports also occurs for the Case in which a destination information of an incoming data packet not yet entered in the management table, from this Reason so - still - unknown is. In this case, the data packet is also sent to all ports of the switch, except one, over it was received, forwarded.

Im Zugangselement ist üblicherweise ein periodisch ablaufender Prozess vorgesehen, welcher auch als »Aging Timer« bezeichnet wird. Dieser Prozess überprüft die Verwaltungstabelle und bereinigt Einträge, welche älter als eine einstellbare Zeitspanne sind. Üblicherweise ist eine Zeitspanne von 300 Sekunden vorgesehen. Mit diesem Prozess wird vermieden, dass veraltete Einträge zu einer Kapazitätsüberschreitung der Verwaltungstabelle führen. Weiterhin unterstützt der Aging Timer Topologieänderungen des durch das Zugangselement angebundenen Netzwerks, welche sich z.B. durch Netzelemente, welche an einen andern Ort eines Gebäudes verbracht wurden, ergeben.in the Access element is common a periodically running process is provided, which also referred to as "aging timer" becomes. This process reviews the management table and clean up entries, which older as an adjustable period of time. Usually, this is a period of time provided by 300 seconds. This process avoids that outdated entries to a capacity overrun lead the administration table. Still supported the aging timer topology changes of the network connected by the access element, which is e.g. by network elements, which are spent at another location of a building were revealed.

Eine Manipulation eines Switches ist üblicherweise erstes Ziel eines Angreifers. Vielen dieser Angriffe ist dabei gemeinsam, dass ein Angreifer eine Weiterleitung von nicht für ihn bestimmten Datenpaketen zu einem Port seiner Wahl veranlasst.A Manipulation of a switch is common first target of an attacker. Many of these attacks are common, that an attacker has a redirect of not intended for him Data packets to a port of his choice.

Die meisten Angriffe basieren auf einer Kombination aus

  • – Flooding, d.h. der Angreifer füllt die Verwaltungstabelle des Switch auf, damit Datenpakete auf alle Ports geflutet werden oder
  • – Spoofing, d.h. der Angreifer verwendet die Zieladresse des Zielsystems, das er angreifen möchte
oder aus einer Kombination von beiden.Most attacks are based on a combination of
  • - flooding, ie the attacker fills in the management table of the switch so that data packets are flooded on all ports or
  • - Spoofing, ie the attacker uses the target address of the target system that he wants to attack
or a combination of both.

Im Stand der Technik sind unter dem Gattungsbegriff »Port Security« Verfahren bekannt, welche nur eine begrenzte, vorkonfigurierbare Anzahl von durch eine MAC-Adresse charakterisierten Netzelementen an einem freigegebenen Anschlussport zulässt. Dies schränkt allerdings eine Mobilität von Netzelementen ein, welche beispielsweise unter Anwendung des WLAN-Protokolls (Wireless LAN) häufiger einen Wechsel ihres Standorts erfahren.in the State of the art are under the generic term »Port Security« procedure known which only a limited, pre-configurable number of network elements characterized by a MAC address on one shared port allows. This restricts but a mobility of network elements which, for example, using the Wireless Protocol (Wireless LAN) more often learn a change of their location.

Auch ein im Stand der Technik unter dem Begriff »LAN Management Policy Server« bekanntes Verfahren, welches eine netzwerkweite Zuordnung von MAC-Adressen auf einzelne Netzwerksegmente vorsieht, hat den Nachteil, dass die Authentifizierung ausschließlich anhand der MAC-Adresse des Bedieners und nicht nach einem authentifizierten Bediener wie im Protokoll IEEE 802.1x erfolgt. Dies hat zur Folge, dass jeder Bediener, der eine registrierte MAC-Adresse nutzt, Zugang zum Netzwerk hat. Für einen böswilligen Bediener bzw. Angreifer ist es jedoch nicht schwierig, die MAC-Adresse eines ihm zugewiesenen Netzelements herauszufinden, um danach den Angriff durchzuführen.Also a method known in the art as "LAN Management Policy Server", which a network-wide assignment of MAC addresses to individual Network segmentation has the disadvantage that the authentication is based solely on the MAC address of the operator and not an authenticated one Server as in the IEEE 802.1x protocol. As a consequence, every operator using a registered MAC address has access to the network has. For one malicious However, it is not difficult for the operator or attacker to set the MAC address to find out a network element assigned to him, in order then to use the Attack to perform.

Eine bloße Herabsetzung des oben angesprochenen Aging Timers auf eine Zeitspanne, welche ein Flooding unterbinden könnte, würde gleichzeitig des normalen Betrieb des Zugangselements in einer Weise stören, dass dieses nicht mehr in der Lage wäre, einen Satz Quell- und Zielinformation von Netzelemente vorzuhalten, welcher für eine normale Weiterleitung von Datenpaketen an die vorgesehenen Ports in einer angemessenen Geschwindigkeit notwendig ist.A nakedness Reduction of the above-mentioned aging timer to a period of time which could prevent flooding, would be at the same time the normal Operating the access element in a way that disturbs this anymore would be able to maintain a set of source and destination information of network elements, which for a normal forwarding of data packets to the intended Ports in a reasonable speed is necessary.

Aufgabe der Erfindung ist es, ein Verfahren und eine Anordnung anzugeben, mit denen eine gegenüber dem Stand der Technik sicherere Zugangssteuerung mit einer herabgesetzten Gefahr von Angriffsmöglichkeiten unterstützt wird.task the invention is to provide a method and an arrangement, with one opposite the prior art safer access control with a reduced Danger of attack possibilities supports becomes.

Eine Lösung der Aufgabe erfolgt hinsichtlich ihres Verfahrensaspekts durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 und hinsichtlich ihres Vorrichtungsaspekts durch eine Vorrichtung mit den Merkmalen des Patentanspruchs 6.A solution The task is carried out with regard to their method aspect by a Method with the features of patent claim 1 and with regard to its Device aspect by a device having the features of Patent claim 6.

Die Erfindung geht aus von einem Zugangselement, bei dem aus einem empfangenen Datenpaket eine Quelleninformation des Netzelements ausgelesen wird. Unter dem am Zugangselement empfangenen Datenpaket wird dabei genauer ein von einem Netzelement gesendetes Datenpaket verstanden, das seiner Funktion nach weitgehend beliebig, insbesondere auch zur Anforderung eines Zugangs gestaltet ist. Das Datenpaket enthält die Quelleninformation des Netzelements, also z.B. dessen Quellen-MAC-Adresse (Media Access Control). Im Zugangselement wird daraufhin ein dieser Quelleninformation zugehöriger Eintrag mit einem Zeitstempel in einer Verwaltungstabelle angelegt, falls diese Quelleninformation noch nicht als Eintrag in der Verwaltungstabelle existiert. Der Zeitstempel wird dabei auf einen vorkonfigurierbaren Wert gesetzt. Stimmt die empfangene Quelleninformation dagegen mit einem Eintrag der in der Verwaltungstabelle vorgehaltenen Quelleninformationen überein, wird der zugehörige Zeitstempel des Eintrags aktualisiert, d.h. wieder auf den vorkonfigurierbaren Wert gesetzt. Der im Zugangselement ablaufende Zeitgeber bzw. Aging Timer sieht beispielsweise eine periodische Dekrementierung jedes jeweiligen Zeitstempels vor, wobei nach Unterschreiten eines unteren Werts der gesamte zugehörige Eintrag aus der Verwaltungstabelle entfernt wird.The The invention is based on an access element in which a received Data packet source information of the network element is read. The data packet received at the access element becomes more accurate a data packet sent by a network element understood, the Its function largely arbitrary, especially for Request for access is designed. The data packet contains the source information of the network element, e.g. its source MAC address (Media Access Control). The access element then becomes an entry associated with this source information created with a time stamp in a management table, if this source information not yet as an entry in the management table exist. The time stamp is set to a preconfigurable Value set. On the other hand, agrees with the received source information an entry of the source information held in the management table, becomes the associated timestamp of the entry is updated, i. back to the preconfigurable Value set. The expiring in the access element timer or aging For example, timer sees a periodic decrement of each respective time stamp, whereby after falling below a lower Value of the entire associated Entry is removed from the management table.

Ausgehend von diesem Verfahren sieht das erfindungsgemäße Verfahren nun einen weiteren zweiten Zeitstempel vor, welcher zu jedem Eintrag hinzugefügt wird und welcher den Zeitpunkt des Anlegens des Eintrags charakterisiert. Da der zweite Zeitstempel den Zeitpunkt der Anlage bzw. der Speicherung des Eintrags charakterisiert, wird dieser nicht – wie der erste Zeitstempel bzw. Aging Timer – bei Eintreffen einer weiteren mit diesem Eintrag identischen Quelleninformation aktualisiert, d.h. nicht wieder auf den vorkonfigurierbaren Wert gesetzt. Da der zweite Zeitstempel den Zeitpunkt des »Lernens« einer zuvor unbekannten Quelleninformation festlegt, wird dieser im Folgenden auch als »Learnt Timer« benannt.outgoing From this method, the method according to the invention now provides a further second Timestamp before, which is added to each entry and which characterizes the time of creation of the entry. Since the second timestamp the time of investment or storage of the entry, it will not - like the first timestamp or aging timer - at Arrival of another identical with this entry source information updated, i. not back to the preconfigurable value set. Because the second timestamp is the time of "learning" a Defining previously unknown source information will be described below also as "learned Named timer.

Die Erfindung ist von der Grundidee getragen, einem Angreifer nur eine vorbestimmte und konfigurierbare Anzahl verschiedener Quelleninformationen innerhalb einer bestimmten Zeiteinheit für eine Anmeldung am Zugangselement zu ermöglichen. Das erfindungsgemäße Verfahren unterstützt diese Grundidee mit einem zweiten Zeitstempel »Learnt Timer« in der Verwaltungstabelle, welcher eine Auswertelogik auf einfache Weise eine zeitliche Anhäufung mehrere Datenpakete mit unterschiedlichen Quelleninformationen anzeigt.The Invention is based on the basic idea, an attacker only one predetermined and configurable number of different source information within a certain time unit for a login to the access element to enable. The inventive method supports this basic idea with a second timestamp "learned timer" in the Management table, which an evaluation logic in a simple way a temporal accumulation displays multiple data packets with different source information.

Mit den erfindungsgemäßen Mitteln ist es damit möglich, ein Bild über einen in böswilliger Absicht veranlassten Scan von Quelleninformationen bzw. Source-MAC-Adressen zu erhalten, ohne die Mobilität von Netzelementen drastisch einzuschränken zu müssen oder einen hohen Administrationsaufwand der Registrierung von MAC-Adressen zu führen.With the agents according to the invention is it possible a picture about one in malicious Intention caused scan of source information or source MAC addresses without mobility of network elements to drastically reduce or a high administrative burden of Registration of MAC addresses.

Die erfindungsgemäßen Maßnahmen sehen in vorteilhafter Weise keine Beschränkung auf zugelassene Netzelemente mit einer vorkonfigurierten Quelleninformation dar, da eine solche Maßnahme – vgl. oben, Port Security – eine Mobilität von drahtlos Daten austauschenden Netzelementen unnötig einschränken würde. Stattdessen werden Angriffe über die Häufigkeit des Eintreffens verschiedener Quelleninformationen detektiert. Die erfinderischen Mittel ermöglichen damit eine optimale Lösung einer Unterstützung von Mobilität bei gleichzeitiger Etablierung eines hohen Sicherheitsstandards für die Zugangskontrolle.The inventive measures advantageously see no restriction to approved network elements with preconfigured source information as such Measure - cf. above, Port Security - one mobility of wirelessly exchanging data-exchanging network elements unnecessarily. Instead be attacks on the frequency the arrival of various source information detected. The enable innovative means thus an optimal solution a support of mobility while establishing a high safety standard for the Access control.

Ein weiterer Vorteil des erfindungsgemäßen Verfahrens und der zugehörigen Vorrichtung ist darin zu sehen, dass eine Verwirklichung lediglich eine vergleichsweise einfache Modifikation in der Steuerlogik des Zugangselements erfordert. Insbesondere ist keinerlei Modifikation eines verbundenen Authentifizierungsservers erforderlich.One Another advantage of the method and the associated device can be seen in the fact that a realization only a comparatively requires simple modification in the control logic of the access element. In particular, there is no modification of a linked authentication server required.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben.advantageous Further developments of the invention are specified in the subclaims.

In einer alternativen Ausführungsform der Erfindung ist vorgesehen, dass der jeweilige zweite Zeitstempel nicht als absoluter Zeitwert abgespeichert wird, sondern zum Zeitpunkt des Anlegens mit einem Wert von Null initialisiert wird und jede Sekunde um einen Wert von Eins inkrementiert wird. Diese Vorsehung eines Zählers ist für programmtechnische Realisie rungen des erfindungsgemäßen Verfahrens oftmals vorteilhafter.In an alternative embodiment The invention provides that the respective second time stamp is not stored as an absolute time value, but at the time is initialized with a value of zero and each Second is incremented by a value of one. This Providence a counter is for Programmtechnische Realisie ments of the method according to the invention often more advantageous.

Eine vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens sieht vor, dass ein Eintrag der Quelleninformation eines an einem Anschluss des Zugangselement eintreffenden Datenpakets in die Verwaltungstabelle unterbleibt, wenn in der Verwaltungstabelle anhand der jeweiligen zweiten Zeitstempel eine Häufung von Einträgen innerhalb eines zeitlichen Rahmens festgestellt wird. Treffen also beispielsweise innerhalb einer Sekunde mehrere neue, d.h. noch nicht »gelernte«, also in die Verwaltungstabelle aufgenommene Quelleninformationen ein, werden diese nicht mehr in die Verwaltungstabelle aufgenommen. Dies stellt zwar eine Restriktion für den Fall dar, dass in einem solchen zeitlichen Rahmen tatsächlich mehrere mobile Netzelemente Zugang erhalten wollen. Dieser Fall ist jedoch unwahrscheinlicher gegenüber der Möglichkeit, dass das gehäufte Eintreffen unterschiedlicher Quelleninformation tatsächlich ein böswilliger Angriff bzw. Spoofing-Angriff unter Vorgabe nicht existierender Quelleninformation ist.A advantageous development of the method according to the invention provides that an entry of the source information of one at a port of the Access element of incoming data packet into the management table is omitted if in the management table by the respective second timestamp an accumulation of entries within a time frame. So meet for example, within a second, several new, i. not yet "learned", so enter source information into the management table, they are no longer included in the management table. This Although provides a restriction for the case that in such a timeframe actually several Mobile network elements want to get access. This case is less likely across from The possibility, that the heaping Arrival of different source information actually a malicious Attack or spoofing attack under specification of non-existent source information is.

Eine weitere vorteilhafte Weiterbildung sieht eine noch höhere Sicherheitsstufe (»Secure Mode«) vor, bei dem für eintreffenden Datenpakete nicht nur ein Eintrag ihrer Quelleninformation in die Verwaltungstabelle unterbleibt, sondern gleichzeitig die Weiterleitung der Datenpakete auf die übrigen Anschlüsse des Zugangselements unterbunden wird. Diese Sicherheitsmaßnahme hat den Vorteil, dass weitere eintreffende Datenpakete der genannten Art abgewiesen werden und in vorteilhafter Weise keine Belastung des Nachrichtenverkehrs »hinter« dem Zugangselement, d.h. innerhalb des Netzwerks oder im Datenaustausch mit dem Authentifizierungsserver zur Folge haben. Diese Maßnahme empfiehlt sich vor allem, wenn die Zugangskontrolle nur basierend auf einen bestimmten Anschluss bzw. Port erfolgt, andernfalls könnte ein Angreifer diese Sicherheitsmaßnahme für einen »Denial of Service«-Angriff nutzen.A Further advantageous development provides an even higher level of security ( "Secure Mode «), at the for incoming data packets not just an entry of their source information is omitted in the management table, but at the same time the forwarding the data packets to the rest connections the access element is prevented. This security measure has the advantage that further incoming data packets of said Art be rejected and advantageously no burden the message traffic »behind« the access element, i.e. within the network or in data exchange with the authentication server for Episode. This measure is especially recommended if the access control based only to a specific port or port, otherwise a could Attacker this security measure for a »denial of service «attack use.

Eine weitere vorteilhafte Weiterbildung sieht eine weitere noch höhere Sicherheitsstufe (»Agressive Mode«) vor, bei der nicht nur Datenpakete gefiltert werden, sondern der Port ganz oder für eine vordefinierte Zeit abgeschaltet wird. Damit wird der Angreifer noch stärker bei seinem Angriff behindert.A Further advantageous development provides a further even higher security level ( "Agressive Fashion") before, in which not only data packets are filtered, but the Port whole or for a predefined time is switched off. This will be the attacker even stronger hindered in his attack.

Ein Ausführungsbeispiel mit weiteren Vorteilen und Ausgestaltungen der Erfindung wird im Folgenden anhand der Zeichnung näher erläutert.One embodiment with further advantages and embodiments of the invention is in Next with reference to the drawing explained.

Die FIG zeigt eine Verwaltungstabelle TBL, welche eine Spalte SI zur Aufnahme einer Quelleninformation M1, M2, M3, ... M100, M101, ... M200 bzw. MAC-Adresse eines jeweiligen eingetragenen Netzelements enthält, eine zweite Spalte PRT zur Eintragung des Anschlusses bzw. »Port«, an dem ein jeweilige Datenpaket am Zugangselement empfangen wurde, eine dritte Spalte LT (»Learnt Timer«) zur Eintragung eines zweiten Zeitstempels sowie eine vierte Spalte AT (»Aging Timer«) zur Eintragung eines ersten Zeitstempels.The FIG. 1 shows a management table TBL which contains a column SI for Recording of source information M1, M2, M3, ... M100, M101, ... M200 or MAC address of a respective registered network element contains a second column PRT for entry of the port or »port«, on which a respective data packet has been received at the access element, a third column LT (»Learned Timer") to enter a second time stamp and a fourth column AT (»Aging Timer") to register a first time stamp.

Die Verwaltungstabelle TBL enthält in ihren Zeilen E1 ... E200 einen jeweiligen Eintrag E1 ... E200 für das jeweilige Netzelement.The Management table TBL contains in their lines E1 ... E200 a respective entry E1 ... E200 for the respective network element.

Die Eintragung des zweiten Zeitstempels LT erfolgt als Zeitwert in Sekunden, bei dem der zweite Zeitstempel zum Zeitpunkt des Anlegens mit einem Wert von Null initialisiert wird und jede Sekunde um einen Wert von 1 inkrementiert wird. Der zweite Zeitstempel ist als programmtechnisch vorzugsweise als Zähler implementiert. Für den ersten Eintrag E1 ist im vorliegenden Ausführungsbeispiel ein Zeitwert von 4054 Sekunden eingetragen, d.h. das zugehörige Netzelement mit der Quelleninformation (hier: MAC-Adresse) M1 wurde vor 4054 Sekunden zum ersten Mal in der Verwaltungstabelle TBL eingetragen.The Entry of the second time stamp LT takes place as the time value in seconds, in which the second time stamp at the time of creation with a value is initialized from zero and every second by a value of 1 is incremented. The second timestamp is as programmatic preferably as a counter implemented. For the first entry E1 is a time value in the present embodiment of 4054 seconds entered, i. the associated network element with the source information (here: MAC address) M1 was first used in 4054 seconds ago the management table TBL registered.

Aus der Verwaltungstabelle TBL ist ersichtlich, dass gemäß der Einträge E2 bis E100, welche anhand des zweiten Zeitstempels LT alle 4 Sekunden vor dem aktuellen Beobachtungszeit punkt eingetragen wurden, eine Anhäufung von 99 Einträgen – Einträge M2 ... M100 – an Port Nummer 2 erfolgt ist. Diese Häufung lässt auf ein Überfluten des zweiten Ports Rückschlüsse ziehen. Eine weitere Häufung – Einträge M101 ... M200 – trat an Port Nummer 2 zu einem Zeitpunkt von 3 Sekunden vor dem aktuellen Beobachtungszeitpunkt auf.The management table TBL shows Lich, that according to the entries E2 to E100, which were registered on the basis of the second time stamp LT every 4 seconds before the current observation time point, an accumulation of 99 entries - entries M2 ... M100 - has been made to port number 2. This accumulation suggests a flooding of the second port draw conclusions. Another cluster - entries M101 ... M200 - occurred at port number 2 at a time of 3 seconds before the current observation time.

Das erfindungsgemäße Verfahren gestattet durch die Vorsehung des zweiten Zeitstempels LT (bzw. »Learnt Timer«) eine Aussage über die Häufigkeit von Einträgen innerhalb eines bestimmten Zeitrahmens, hier: 4 Sekunden vor dem aktuellen Beobachtungszeitpunkt mit 99 Einträgen und 3 Sekunden vor dem aktuellen Beobachtungszeitpunkt mit ebenfalls 99 Einträgen.The inventive method permitted by the provision of the second time stamp LT (or »Learned Timer") a statement about the frequency of entries within a certain timeframe, here: 4 seconds before the current observation time with 99 entries and 3 seconds before current observation time with also 99 entries.

Auf diese Weise kann eine entsprechend gestaltete Logik innerhalb des Zugangselements Statistiken führen, wie oft pro Zeiteinheit ein vorgegebenes Limit für Einträge in der Verwaltungstabelle TBL überschritten wurde. Bei Überschreitung einer konfigurierbaren Schwelle werden dann optional oder zusätzlich weitere Maßnahmen ergriffen, welche im Folgenden beschrieben werden.On this way, an appropriately designed logic within the Access element statistics lead How many per unit of time a given limit for entries in the management table TBL exceeded has been. When exceeded A configurable threshold then becomes optional or additional activities taken, which are described below.

Eine erste Ausgestaltung der Erfindung betrifft eine Übermittlung eines Warnhinweises vom Zugangselement an einen entsprechenden Zugangskontrollserver. Wird in der Verwaltungstabelle TBL anhand der jeweiligen zweiten Zeitstempel LT eine Häufung von Einträgen innerhalb eines zeitlichen Rahmens festgestellt, sendet das Zugangselement einen Warnhinweis an eine zentrale Instanz, beispielsweise den Zugangskontrollserver. Dieser Warnhinweis kann beispielsweise mit einem Protokoll SNMP (Simple Network Management Protocol) erfolgen. Das SNMP erlaubt ein zentrales Netzwerkmanagement für unterschiedliche Netzwerkkomponenten. Der genannte Warnhinweis wird beispielsweise unter Verwendung einer »Trap«-Meldung an einen SNMP-Server gesendet.A First embodiment of the invention relates to a transmission of a warning from the access element to a corresponding access control server. Used in the TBL management table based on the second one Timestamp LT an accumulation of entries detected within a time frame, the access element sends a Warning to a central instance, such as the access control server. This warning can, for example, with a protocol SNMP (Simple Network Management Protocol). The SNMP allows a central network management for different network components. For example, the warning message will be issued using a "trap" message sent to an SNMP server.

Eine zweite Ausführungsform sieht eine Limitierung der Einträge in der Verwaltungstabelle TBL vor. Bei einer Konfigura tion des Zugangselements auf maximal 2 Quelleninformationen SI pro Sekunde und pro Anschluss PRT sind dann die in der Zeichnung dargestellten Einträge E4 bis E99 sowie E103 bis E200 in die Verwaltungstabelle TBL tatsächlich nicht vorhanden, da eine Eintragung dieser Einträge E4 ... E99, E103 ... E200 durch eine Logik des Zugangselements unterbunden wurde.A second embodiment sees a limitation of the entries in the management table TBL. In case of a configuration of the access element maximum 2 source information SI per second and per connection PRT are then the entries shown in the drawing E4 to E99 and E103 to E200 in the management table TBL actually not existing, since an entry of these entries E4 ... E99, E103 ... E200 was prevented by a logic of the access element.

Gemäß einer dritten Ausführungsform kann zusätzlich zu den beiden vorgenannten Ausführungsformen eine Verwerfung der Datenpakete erfolgen, welche die oben genannten Einträge erzeugen würden. Dies entspricht einem »Secure Mode«.According to one third embodiment can additionally to the two aforementioned embodiments a discard of the data packets take place, which are the above Posts would produce. This corresponds to a »secure Fashion".

Gemäß einer vierten Ausführungsform kann zusätzlich zu den beiden vorgenannten Ausführungsformen nach der Detektion eines Angriffes ein permanentes oder Abschalten des Ports erfolgen. Dies entspricht einem »Agressive Mode«.According to one fourth embodiment can additionally to the two aforementioned embodiments after the detection of an attack a permanent or shutdown of the port. This corresponds to an "aggressive mode".

Das erfindungsgemäße Verfahren muss nicht unbedingt ausschließlich im Zugangselement implementiert sein. Alternative Ausführungsformen umfassen eine fachmännische Verteilung auf einzelne im Netzwerk verteilte Komponenten. Auch die Verwendung des Protokolls IEEE 8021.x zur Zugangssteuerung ist aufgrund der weiten Verbreitung vorteilhaft, jedoch nicht zwingend.The inventive method does not necessarily have to be exclusive be implemented in the access element. Alternative embodiments include a professional Distribution to individual components distributed in the network. Also the use of the IEEE 8021.x access control protocol advantageous due to the wide spread, but not mandatory.

Claims (8)

Verfahren zur Zugangskontrolle eines Netzelements an einem Zugangselement, bei dem aus einem empfangenen Datenpaket eine Quelleninformation (SI) des Netzelements ausgelesen wird, und ein zu dieser Quelleninformation (SI) zugehöriger Eintrag (E1 ... E200) mit einem jeweiligen Zeitstempel (AT) in einer Verwaltungstabelle (TBL) aktualisiert oder angelegt wird, wobei ein jeweiliger Eintrag (E1 ... E200) nach einer anhand des zughörigen Zeitstempels (AT) bestimmten Dauer aus der Verwaltungstabelle (TBL) entfernt wird, dadurch gekennzeichnet, dass zu jedem Eintrag (E1 ... E200) ein zweiter Zeitstempel (LT) angelegt wird, welcher den Zeitpunkt des Anlegens des Eintrags (E1 ... E200) enthält.Method for access control of a network element at an access element, in which source information (SI) of the network element is read from a received data packet, and an entry (E1 ... E200) associated with said source information (SI) with a respective time stamp (AT) in a management table (TBL) is updated or created, wherein a respective entry (E1 ... E200) is removed from the management table (TBL) after a period determined by the associated time stamp (AT), characterized in that for each entry (E1 ... E200) a second time stamp (LT) is created, which contains the time of the creation of the entry (E1 ... E200). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der jeweilige zweite Zeitstempel (AT) zum Zeitpunkt des Anlegens mit einem Wert von Null initialisiert wird und jede Sekunde um einen Wert von Eins inkrementiert wird.Method according to claim 1, characterized in that that the respective second time stamp (AT) at the time of creation is initialized with a value of zero and every second by one Value of one is incremented. Verfahren nach einem der Ansprüche 1 und 2, dadurch gekennzeichnet, dass ein zu der jeweiligen Quelleninformation (SI) zugehöriger Eintrag (E1 ... E200) eines an einem Anschluss (PRT) des Zugangselement eintreffenden Datenpakets in die Verwaltungstabelle (TBL) unterbleibt, wenn in der Verwaltungstabelle (TBL) anhand der jeweiligen zweiten Zeitstempel (LT) eine Häufung von Einträgen (E1 ... E200) innerhalb eines zeitlichen Rahmens festgestellt wird.Method according to one of claims 1 and 2, characterized that an entry associated with the respective source information (SI) (E1 ... E200) one at a port (PRT) of the access element incoming data packet into the management table (TBL) is omitted, if in the management table (TBL) based on the respective second timestamp (LT) an accumulation of entries (E1 ... E200) within a time frame. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das eintreffende Datenpaket nicht an übrige Anschlüsse (PRT) des Zugangselements weitergeleitet wird.Method according to claim 3, characterized that the incoming data packet is not connected to other connections (PRT) the access element is forwarded. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Warnhinweis an eine zentrale Instanz gesendet wird, wenn in der Verwaltungstabelle (TBL) anhand der jeweiligen zweiten Zeitstempel (LT) eine Häufung von Einträgen (E1 ... E200) innerhalb eines zeitlichen Rahmens festgestellt wird.Method according to one of the preceding claims, characterized in that a warning sent to a central authority, if in the management table (TBL) based on the respective second time stamp (LT) an accumulation of entries (E1 ... E200) is determined within a time frame. Vorrichtung zur Zugangskontrolle eines Netzelements mit – Mitteln zum Auslesen einer Quelleninformation (SI) des Netzelements aus einem empfangenen Datenpaket, – Mitteln zur Aktualisierung oder Anlegung eines zu dieser Quelleninformation (SI) zugehörigen Eintrags (E1 ... E200) mit einem jeweiligen Zeitstempel (AT) in einer Verwaltungstabelle (TBL), – Mitteln zur Entfernung eines jeweiligen Eintrags (E1 ... E200) nach einer anhand des zughörigen Zeitstempels (AT) bestimmten Dauer aus der Verwaltungstabelle (TBL), gekennzeichnet durch, Mittel zur Vorsehung eines den Anlegungszeitpunkt des Eintrags (E1 ... E200) enthaltenden zweiten Zeitstempels (LT) zu jedem Eintrag (E1 ... E200).Device for access control of a network element With - funds for reading source information (SI) of the network element a received data packet, - Means of updating or application of an entry (E1 ... E200) with a respective time stamp (AT) in a management table (TBL), - funds to remove a respective entry (E1 ... E200) after a on the basis of the affiliated Timestamp (AT) determined duration from the management table (TBL), marked by, Means of providing the date of application of the To entry (E1 ... E200) containing the second time stamp (LT) each entry (E1 ... E200). Vorrichtung nach Anspruch 6, gekennzeichnet durch, Mittel zur Auswertung des zweiten Zeitstempels (LT) und zur Feststellung einer Häufung von Einträgen (E1 ... E200) in der Verwaltungstabelle (TBL) innerhalb eines zeitlichen Rahmens.Device according to claim 6, characterized by, Means for evaluating the second time stamp (LT) and for detection an accumulation of entries (E1 ... E200) in the management table (TBL) within a temporal Frame. Vorrichtung nach Anspruch 6 oder 7, gekennzeichnet durch, eine Ausgestaltung als Switch.Apparatus according to claim 6 or 7, characterized by, an embodiment as a switch.
DE200510011375 2005-03-11 2005-03-11 Method and arrangement for access control of a network element Withdrawn DE102005011375A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE200510011375 DE102005011375A1 (en) 2005-03-11 2005-03-11 Method and arrangement for access control of a network element
PCT/EP2006/050432 WO2006094858A1 (en) 2005-03-11 2006-01-25 Method and arrangement for controlling access of a network element

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510011375 DE102005011375A1 (en) 2005-03-11 2005-03-11 Method and arrangement for access control of a network element

Publications (1)

Publication Number Publication Date
DE102005011375A1 true DE102005011375A1 (en) 2006-09-14

Family

ID=36118046

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510011375 Withdrawn DE102005011375A1 (en) 2005-03-11 2005-03-11 Method and arrangement for access control of a network element

Country Status (2)

Country Link
DE (1) DE102005011375A1 (en)
WO (1) WO2006094858A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003073724A2 (en) * 2002-02-20 2003-09-04 Deep Nines, Inc. System and method for detecting and eliminating ip spoofing in a data transmission network
US20030200441A1 (en) * 2002-04-19 2003-10-23 International Business Machines Corporation Detecting randomness in computer network traffic

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003073724A2 (en) * 2002-02-20 2003-09-04 Deep Nines, Inc. System and method for detecting and eliminating ip spoofing in a data transmission network
US20030200441A1 (en) * 2002-04-19 2003-10-23 International Business Machines Corporation Detecting randomness in computer network traffic

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
PENG, T. et al.: Protection from Distributed Denial of Service Attacks Using History-based IP Filtering. In: IEEE Int. Conf. on Communications, 2003, Vol. 1, S. 482-486 *
TEMPLETON, S.J., und LEVITT, K.E.: Detecting Spoofed Packets. In: DARPA Information Survivabi- lity Conference and Exposition, 2003, Vol. 1, S. 164-175 *

Also Published As

Publication number Publication date
WO2006094858A1 (en) 2006-09-14

Similar Documents

Publication Publication Date Title
DE60214250T2 (en) INFORMATION TRANSMISSION TO A LAW-BASED CATCH SYSTEM ABOUT THE CATEGORY TEMPORARY SERVICE SYSTEM
EP2842291B1 (en) Authentication of a first device by a switching centre
DE112016002952T5 (en) Systems and methods for processing packets in a computer network
DE102006036107A1 (en) Procedure for determining a task permit
WO2008122674A2 (en) Method for operating a mesh-type network, particularly as defined in an ieee 802.11s standard, formed by a plurality of network nodes
DE102005014775B4 (en) Method, communication arrangement and communication device for controlling access to at least one communication device
DE602004006251T2 (en) Method for securing communication in a local area network exchange
DE60127871T2 (en) DEVICE, METHOD AND SYSTEM FOR IMPROVED ROUTING IN MOBILE IP NETWORKING
DE102005011375A1 (en) Method and arrangement for access control of a network element
DE102019114307A1 (en) Automation network, network distributor and method for data transmission
EP2171943B1 (en) Method for routing service messages
EP2070285B1 (en) Method for optimizing nsis signaling in mobike-based mobile applications
DE19942465C2 (en) Procedure for assigning IP addresses in communication networks
EP1929758A1 (en) Method for activation of at least one further eavesdropping measure in at least one communication network
DE102014209797A1 (en) A method for including a communication device in a network and having at least one network filter component and at least one configuration server
DE202006007235U1 (en) Management information transmitting method for use in wireless communication system, involves transmitting management frame by mesh point to another mesh point, where management frame identifies destination mesh point
DE60206259T2 (en) Multiple bridge for a large number of mutually different subnetworks
EP2800342A1 (en) Method and system for a state-dependent IP address management
DE102005047986B4 (en) Method and arrangement for identifying a network station
EP1748619B1 (en) Method for creating a direct and secure communication connection between two networks
DE10251906A1 (en) Making inventory of components connected to network involves sending inventory request message from requesting component to all other connected components, which send inventory response messages
DE102022126664A1 (en) PASSING ROLE INFORMATION IN ACCESS SWITCHES
DE102022200414A1 (en) Method for integrating interface devices into a network
EP4091297A1 (en) Redundant storage of the configuration of network devices by including neighbourhood relationships
DE102024201894A1 (en) FILTER FOR A CONVERTED FORWARDING TABLE IN A RAIL OPTIMIZED NETWORK

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8139 Disposal/non-payment of the annual fee