DE102005046935A1 - Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Betreiben eines Kommunikationssystems - Google Patents
Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Betreiben eines Kommunikationssystems Download PDFInfo
- Publication number
- DE102005046935A1 DE102005046935A1 DE102005046935A DE102005046935A DE102005046935A1 DE 102005046935 A1 DE102005046935 A1 DE 102005046935A1 DE 102005046935 A DE102005046935 A DE 102005046935A DE 102005046935 A DE102005046935 A DE 102005046935A DE 102005046935 A1 DE102005046935 A1 DE 102005046935A1
- Authority
- DE
- Germany
- Prior art keywords
- network
- component
- access node
- communication
- node computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Es wird ein Netzwerkzugangsknotenrechner (20) zu einem Kommunikationsnetzwerk (10) beschrieben, der über eine Kommunikationsleitung (11) an das Kommunikationsnetzwerk (10) und über zumindest eine Teilnehmerleitung (31.1, ..., 31.n) mit einer Teilnehmerkomponente (30.1, ..., 30.n) verbindbar ist und der dazu eingerichtet ist, einen Datenstrom zwischen dem Kommunikationsnetzwerk (10) und der zumindest einen Teilnehmerkomponente (30.1, ..., 30.n) zu transportieren, wobei der Netzwerkzugangsknotenrechner (10) eine Schutzvorrichtung (21) aufweist, durch welche der Datenstrom leitbar ist, und die dazu eingerichtet ist, den Datenstrom zu erfassen, zu analysieren und bei Vorliegen vorgegebener Bedingungen zu verändern.
Description
- Die Erfindung betrifft einen Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, ein Kommunikationssystem sowie ein Verfahren zum Betreiben eines Kommunikationssystems.
- In einem herkömmlichen Kommunikationssystem sind eine Mehrzahl an Teilnehmerkomponenten über jeweilige Teilnehmerleitungen mit einem Netzwerkzugangsknotenrechner gekoppelt, welcher die Verbindung der Teilnehmerkomponenten zu einem Kommunikationsnetzwerk herstellt. Bei dem Kommunikationsnetzwerk kann es sich beispielsweise um eine Vielzahl an miteinander gekoppelten Rechnern handeln, welche auf Basis des Internet Protokolls (IP) miteinander kommunizieren. Ein derartiges Kommunikationsnetzwerk wird auch als Internet bezeichnet. Aufgrund der immer häufigeren Nutzung des Internets durch die Teilnehmerkomponenten, welche stets oder auch nur zeitweilig über den Netzwerkzugangsknotenrechner mit dem Kommunikationsnetzwerk eine Verbindung aufweisen, stellt die Sicherheit einen immer wichtigeren Themenkomplex dar.
- Die Teilnehmerkomponenten sind gegen die nachfolgend aufgelisteten und von dem Kommunikationsnetzwerk ausgehenden Bedrohungen zu schützen: Viren, Würmer, Trojanische Pferde, Denial of Service-Attacken (Dos-Attacken), wie z.B. IP-Spoofing, SynFlood-Attacken sowie Unsolicited Bulk E-mail (UBE), wie z.B. Spam-E-mails.
- Mit der breiten Anbindung der Teilnehmerkomponenten an das Internet über als Digital Subscriber Lines (DSL)-Leitungen bezeichnete Teilnehmerleitungen sind zunehmend auch private Nutzer und kleinere Firmen oder Büros von den oben genannten Bedrohungen betroffen und müssen dagegen geeignete Schutzmaßnahmen treffen.
- Teilweise gezielt ausgeführte Attacken auf Teilnehmerkomponenten oder auch auf Rechner des Kommunikationsnetzwerks verursachen hohe Kosten für den jeweiligen Betreiber. Die Schadensbegrenzung ist umso aufwendiger, je später ein Angriff erkannt wird.
- Die oben bezeichneten Bedrohungen werden technisch durch Virenscanner, Systeme zur automatischen Erkennung eines unerlaubten oder zufälligen Zugriffs (Intrusion Detection System IDS), Systeme zum Unterbinden eines unerlaubten oder zufälligen Zugriffs (Network Intrusion Prevention System NIPS oder IPS), Firewalls, Virtual Private Networks (VPN) sowie Verschlüsselungs- und Authentifizierungsverfahren, wie z.B. SSH, SSL oder TLS, abgewehrt.
- Typischerweise werden eine oder mehrere der Schutzmaßnahmen durch den Nutzer oder Betreiber der Teilnehmerkomponente eingesetzt. Dies erfolgt dadurch, indem zwischen eine Teilnehmerkomponente und das Kommunikationsnetzwerk eine Firewall installiert, ein Virenscanner auf der Teilnehmerkomponente eingerichtet oder eine Kommunikationsverbindung über das Kommunikationsnetzwerk durch den Einsatz von VPN aufgebaut wird. Dabei wird das Kommunikationsnetzwerk als Transportmedium und ungeschützter Bereich betrachtet.
- Die Aufgabe der vorliegenden Erfindung ist es daher, eine Möglichkeit zu schaffen, welche den Schutz von Teilnehmerkomponenten vor Bedrohungen der oben genannten Art erleichtert.
- Diese Aufgabe wird durch einen Netzwerkzugangsknotenrechner gemäß den Merkmalen des Patentanspruches 1, durch ein Kommunikationssystem mit den Merkmalen des Patentanspruches 13 sowie durch ein Verfahren zum Betreiben eines Kommunikationssystems mit den Merkmalen des Patentanspruches 16 gelöst. Vorteilhafte Ausgestaltungen ergeben sich jeweils aus den abhängigen Patentansprüchen.
- Der erfindungsgemäße Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk ist über eine Kommunikationsleitung an das Kommunikationsnetzwerk und über zumindest eine Teilnehmerleitung mit einer Teilnehmerkomponente verbindbar. Der Netzwerkzugangsknotenrechner ist dazu eingerichtet, einen Datenstrom zwischen dem Kommunikationsnetzwerk und der zumindest einen Teilnehmerkomponente zu transportieren. Er weist weiterhin eine Schutzvorrichtung auf, durch welche der Datenstrom leitbar ist und die dazu eingerichtet ist, den Datenstrom zu erfassen, zu analysieren und bei Vorliegen vorgegebener Bedingungen zu verändern.
- Bei dem Netzwerkzugangsknotenrechner handelt es sich um eine Komponente, welche eine Konzentration der Datenströme einer Mehrzahl an Teilnehmerkomponenten, die über jeweils eine Teilnehmerleitung mit dem Netzwerkzugangsknotenrechner verbunden sind, auf einen Gesamt-Datenstrom vornimmt, der über die den Netzwerkzugangsknotenrechner mit dem Kommunikationsnetzwerk verbindende Kommunikationsleitung geführt wird.
- Die Erfindung sieht nun vor, Schutzmechanismen, die bislang in den Teilnehmerkomponenten eingerichtet und betrieben wurden, in den Netzwerkzugangsknotenrechner zu verlagern. Hierdurch werden die Betreiber der Teilnehmerkomponenten von der Aufgabe befreit, sich um den Schutz ihrer Teilnehmerkomponente selbst kümmern zu müssen. Die Netzwerkzugangsknotenrechner befinden sich üblicherweise in der Einflusssphäre des Betreibers des Kommunikationsnetzwerks, welcher auf einfache Weise entsprechende Schutzvorrichtungen bereitstellen kann. Dabei ist es insbesondere möglich, mit lediglich einer einzigen Schutzvorrichtung eine Mehrzahl an Teilnehmerkomponenten, nämlich diejenige Anzahl an Teilnehmerkomponenten, die mit dem Netzwerkzugangsknotenrechner verbunden sind, zu schützen.
- Die Schutzvorrichtung kann eine Mehrzahl an unterschiedlichen Schutzkomponenten aufweisen. Gemäß einer Ausführungsform weist die Schutzvorrichtung als erste Schutzkomponente eine Firewall-Funktionalität auf. Eine Firewall kann dabei auf Schicht 2 oder Schicht 3 des OSI-Referenzmodells eingesetzt werden. Dabei kann die Firewall durch den Betreiber des Kommunikationsnetzwerkes eingerichtet und den Teilnehmerkomponenten zur Verfügung gestellt werden. Da der Betreiber lediglich begrenzte Informationen über die Teilnehmerkomponente besitzt, muss hinsichtlich der Konfiguration der Firewall ein Kompromiss für die häufigsten Fälle eingegangen werden. Eine transparente Firewall auf Schicht 2 kann hierbei eine vorteilhafte Lösung darstellen. In dieser könnten z.B. Serviceleistungen zum Schutz vor unerwünschten Inhalten angeboten werden. Die erste Schutzkomponente kann einmalig für sämtliche der Teilnehmerknoten in der Schutzvorrichtung vorgesehen sein. Denkbar ist jedoch auch, jeder Teilnehmerkomponente eine separate erste Schutzkomponente zuzuweisen.
- Gemäß einer weiteren Ausführungsform weist die Schutzvorrichtung als zweite Schutzkomponente eine Virenscanner-Funktionalität auf, bei der der Datenstrom auf Virensignaturen überprüft wird. Die zweite Schutzkomponente ist dazu eingerichtet, den Datenstrom im Falle einer erkannten Virensignatur zu blockieren und/oder eine Nachricht mit einem, einen Alarm signalisierenden Attribut abzugeben. Der Alarm kann hierbei an den Sender und/oder den Empfänger des Datenstroms, das heißt an einen Rechner des Kommunikationsnetzwerks oder die Teilnehmerkomponente abgegeben werden.
- Gemäß einer weiteren Ausführungsform des erfindungsgemäßen Netzwerkzugangsknotenrechners weist die Schutzvorrichtung als dritte Schutzkomponente ein System zur automatischen Erkennung eines unerlaubten oder zufälligen Zugriffs von dem Kommunikationsnetzwerk auf die zumindest eine Teilnehmerkomponente und/oder von der zumindest einen Teilnehmerkomponente auf das Kommunikationsnetzwerk auf. Bei einem solchen System handelt es sich um ein Intrusion Detection System (IDS), mit dessen Hilfe Angriffe, insbesondere das Eindringen auf eine Teilnehmerkomponente, erkannt werden können.
- Gemäß einer weiteren Ausführungsform weist die Schutzvorrichtung als vierte Schutzkomponente ein System zum Unterbinden eines unerlaubten oder zufälligen Zugriffs von dem Kommunikationsnetzwerk auf die zumindest eine Teilnehmerkomponente und/oder von der zumindest einen Teilnehmerkomponente auf das Kommunikationsnetzwerk auf. Dieses System, das als Network Intrusion Protection System (NIPS oder IPS) bekannt ist, geht über die Erkennung eines Angriffs hinaus und unterbindet diesen.
- Die dritte und vierte Schutzkomponente können dabei zu einer funktionalen Einheit miteinander vereinigt sein.
- Gemäß einer weiteren Ausführungsform ist vorgesehen, dass der Netzwerkzugangsknotenrechner dazu eingerichtet ist, die Schutzvorrichtung zumindest einer der Teilnehmerleitungen zuzuweisen, so dass der Datenstrom dieser zumindest einen Teilnehmerleitung im Falle einer solchen Zuweisung über die Schutzvorrichtung geleitet wird. Ein derartiger Netzwerkzugangsknotenrechner ermöglicht es, technisch zur Verfügung stehende Schutzmaßnahmen, z.B. als kostenpflichtiger Dienst, dem Nutzer einer Teilnehmerkomponente anzubieten. Gemäß dieser Ausführungsform ist somit nicht vorgesehen, das der Datenstrom einer jeden Teilnehmerkomponente zu dem Kommunikationsnetzwerk zwangsläufig über die Schutzvorrichtung geleitet werden muss. Vielmehr kann der Netzwerkzugangsknotenrechner dazu eingerichtet sein, den Datenstrom einzelner Teilnehmerkomponenten selektiv über die Schutzvorrichtung zu leiten.
- Eine feinere Steuerung des Datenstroms wird durch eine weitere Ausführungsform möglich, gemäß der der Netzwerkzugangsknotenrechner dazu eingerichtet ist, zumindest eine der Schutzkomponenten zumindest einer der Teilnehmerleitungen zuzuweisen, so dass der Datenstrom dieser zumindest einen Teilnehmerleitung im Falle einer solchen Zuweisung über die zumindest eine Schutzkomponente geleitet wird. Gemäß dieser Ausgestaltung können in verschiedenen Teilnehmerleitungen selek tiv bestimmte Schutzkomponenten zugewiesen werden, über welche dann der Datenstrom geleitet wird.
- Gemäß einer weiteren Ausführungsform ist vorgesehen, dass die erste Schutzkomponente und/oder die zweite Schutzkomponente und/oder die dritte Schutzkomponente und/oder die vierte Schutzkomponente in Hardware und/oder in Software realisiert sind. Die Realisierung, welche der Schutzkomponenten in Hard- und/oder Software realisiert wird, kann insbesondere anhand der Größe (Durchsatzrate) des Datenstroms festgelegt werden. Reine Softwarelösungen empfehlen sich für einen geringen Anteil an zu schützenden Teilnehmerkomponenten bzw. Teilnehmerleitungen. Hier ist die höchste Flexibilität in der Funktionalität bei einer geringen Performance zu erwarten. Bei sehr hohen Datendurchsatzraten können Teilfunktionen der Schutzkomponenten hingegen besser durch einen Prozessor und damit eine Realisierung in Hardware übernommen werden.
- Gemäß einer Ausführungsform ist der Netzwerkzugangsknotenrechner ein Digital Subscriber Line Access Multiplexer (DSLAM), der den Zugang zu einem Breitband-Kommunikationsnetzwerk für eine Mehrzahl an Teilnehmerkomponenten darstellt. Die Teilnehmerleitung ist eine Digital Subscriber Line (DSL)-Kommunikationsleitung, welche eine Teilnehmerkomponente mit dem Netzwerkzugangsknotenrechner verbindet.
- Ein erfindungsgemäßes Kommunikationssystem umfasst ein Kommunikationsnetzwerk, zumindest eine Teilnehmerkomponente sowie einen Netzwerkzugangsknotenrechner, der wie oben beschrieben ausgebildet ist. Ein erfindungsgemäßes Kommunikationssystem weist die gleichen Vorteile auf, wie sie vorstehend in Verbindung mit dem Netzwerkzugangsknotenrechner beschrieben wurden.
- Bei der Teilnehmerkomponente kann es sich gemäß einer Ausführungsform um einen einzelnen Rechner oder um ein weiteres Kommunikationsnetzwerk, z.B. ein so genanntes Intranet oder dergleichen, handeln. Das Kommunikationsnetzwerk ist gemäß einer Ausführungsform ein Breitbandnetz, insbesondere ein Asynchronous Transport Module (ATM)-Kommunikationsnetzwerk oder Ethernet basiertes Netzwerk.
- Bei dem erfindungsgemäßen Verfahren zum Betreiben eines Kommunikationssystems mit einem Kommunikationsnetzwerk, zumindest einer Teilnehmerkomponente und einem Netzwerkzugangsknotenrechner wird ein zwischen dem Kommunikationsnetzwerk und einer Teilnehmerkomponente übertragener Datenstrom in den Netzwerkzugangsknotenrechner erfasst, analysiert und bei Vorliegen vorgegebener Bedingungen verändert. Mit anderen Worten wird der Datenstrom in dem Netzwerkzugangsknotenrechner einer Überprüfung auf mögliche Bedrohungen für die Teilnehmerkomponente und/oder das Kommunikationsnetzwerk unterzogen. Insbesondere kann vorgesehen sein, dass der Datenstrom auf Virensignaturen und/oder einer Denial of Service (DoS)-Attacke und/oder Unsolicited Bulk E-mail (UBE) analysiert wird.
- Die Erfindung wird nachfolgend anhand der einzigen Figur näher erläutert.
- Die Figur zeigt in einer schematischen Darstellung ein erfindungsgemäßes Kommunikationssystem
1 . Dieses weist ein Kommunikationsnetzwerk10 , beispielsweise ein auf Internet Protokollen (IP) basierendes Kommunikationsnetzwerk aus einer Vielzahl an miteinander gekoppelten Rechnern (nicht dargestellt) auf. Das Kommunikationsnetzwerk10 ist über eine Kommunikationsleitung11 , die durch eine Breitbandleitung gebildet ist, mit einem Netzwerkzugangsknotenrechner20 , z.B. einem Digital Subscriber Line Access Multiplexer (DSLAM) gekoppelt. Der Netzwerkzugangsknotenrechner20 ist wiederum in bekannter Weise über eine Mehrzahl an Teilnehmerleitungen31.1 , ...,31.n mit jeweiligen Teilnehmerkomponenten30.1 , ...,30.n gekoppelt. Die Teilnehmerkomponente30.1 ist beispielhaft als einzelner Rechner32 ausgebildet, während die Teilnehmerkomponente30.n durch ein weiteres Kommunikationsnetzwerk33 gebildet ist. Die Teilnehmerleitungen31.1 , ...,31.n stellen im Ausführungsbeispiel so genannte DSL-Kommunikationsleitungen dar. - Der Netzwerkzugangsknotenrechner
20 ist eine Netzkomponente zur Konzentration mehrerer xDSL-Verbindungen. Der Netzwerkzugangsknotenrechner20 stellt einen Zugang zu dem als Breitbandnetz ausgebildeten Kommunikationsnetzwerk10 dar. Zu seinen typischen Aufgaben gehören das Multiplexen und Aggregieren der Datenströme, eine Bitratenanpassung an die Übertragungsgeschwindigkeit der xDSL-Verbindung, die Bereitstellung von Netzwerkmanagement-Informationen, die Einrichtung permanenter virtueller Verbindungen (, Permanent Virtual Circuit PVC), die Einrichtung und Auslösung gewählter virtueller Verbindungen (Switched Virtual Circuit SVC) sowie die Verkehrssteuerung (Policing) zur Gewährleistung einer Dienstgüte (Quality of Service QoS). - Der Netzwerkzugangsknotenrechner
20 weist eine Schutzvorrichtung21 auf, die im Ausführungsbeispiel Schutzkomponenten22 ,23 ,24 ,25 umfasst. Die einzelnen Schutzkomponenten22 ,23 ,24 ,25 sind voneinander getrennt, so dass eine gegenseitige Beeinflussung ausgeschlossen ist. Die Schutzkomponenten können selektiv einer oder mehreren der Teilnehmerleitungen31.1 , ...,31.n und damit den jeweils angeschlossen Teilnehmerkomponenten30.1 , ...,30.n zugewiesen werden. - Der zwischen der Teilnehmerkomponente
30.1 und dem Kommunikationsnetzwerk10 vorliegende Datenstrom ist mit dem Bezugszeichen27 gekennzeichnet. Der zwischen der Teilnehmerkomponente30.n und dem Kommunikationsnetzwerk10 vorliegende Datenstrom ist mit dem Bezugszeichen26 gekennzeichnet. - Im Ausführungsbeispiel erfolgt eine derartige Zuweisung zu der Teilnehmerleitung
31.n und der damit gekoppelten Teilnehmerkomponente30.n (Kommunikationsnetzwerk33 ). Während der Datenstrom27 von keinerlei Schutzmechanismen überwacht wird (es sei denn, eine Schutzkomponente ist in der Teilnehmerkomponente30.1 selbst aktiv), wird der durch die Schutzvorrich tung21 geleitete Datenstrom26 beispielhaft sämtlichen Schutzmechanismen der Schutzvorrichtung21 unterworfen. In einer nicht dargestellten Ausführungsform könnte der Datenstrom27 auch nur einige, vorab bestimmte, Schutzkomponenten geleitet werden. - Bei der Schutzkomponente
22 handelt es sich beispielsweise um eine Firewall. Eine Firewall ist allgemein ein Konzept zur Netzwerksicherung an der Grenze zwischen zwei Kommunikationsnetzen (hier Kommunikationsnetzwerk10 und Teilnehmerkomponente30.n ), über das jede Kommunikation (Datenstrom) zwischen den beiden Netzen geführt werden muss. Firewalls werden eingesetzt, um primär ein lokales Netz (Teilnehmerkomponente30.n ) gegen Angriffe aus dem Internet (Kommunikationsnetzwerk10 ) zu schützen. Da die Kommunikation zwischen den Netzen in jedem Falle über die Firewall geführt werden muss, ermöglicht diese die konsequente Durchsetzung einer Sicherheitspolitik. Die dabei eingesetzten Schutzmaßnahmen wirken in beiden Richtungen, können jedoch auch asymmetrisch eingesetzt, da den Teilnehmerkomponenten mehr Vertrauen entgegengebracht wird, als den Benutzern des Kommunikationsnetzwerks10 . Somit treffen die Benutzer des zu schützenden Netzwerkes weniger restriktive Maßnahmen als die externen Benutzer. - Zu den möglichen Schutzmaßnahmen einer Firewall zählen unter anderem die Beschränkung der in dem vertrauensunwürdigen Netz nutzbaren Dienste, die Reduzierung der Anzahl der zu schützenden Kommunikationsrechner, die strukturierte Beschränkung von Zugriffsrechten, die Filterung des Datenstroms, eine Audit-Funktion (das heißt Überwachung und Nachvollziehbarkeit von Zugriffen und Datenverkehr), eine Authentifizierung und Identifikation sowie eine verschlüsselte, chiffrierte Übertragung.
- Eine Firewall kann sowohl in Hardware als auch in Software realisiert sein. Denkbar ist beispielsweise eine Firewall jedem der zu schützenden Teilnehmerleitungen
31.1 ,31.n zuzuweisen. - Bei der Schutzkomponente
23 kann es sich um einen Virenscanner handeln, der typischerweise in Software realisiert wird. Eine Instanz des Virenscanners kann einer entsprechenden Teilnehmerleitung (hier: Teilnehmerleitung30.n ) zugeordnet werden. Der Virenscanner scannt den ein- und ausgehenden Datenstrom27 auf bekannte Virensignaturen. Bei Erkennen eines Virus kann dann ein Alarm ausgelöst und der entsprechende Datenstrom gesperrt werden. - Bei der Schutzkomponente
24 handelt es sich um ein Intrusion Detection System (IDS), die in Form von Software realisiert ist und mit deren Hilfe Angriffe auf die Teilnehmerkomponente30.n erkannt werden können. Damit in Verbindung steht die Schutzkomponente25 , die als Network Intrusion Protection System (NIPS) ausgebildet ist und einen erkannten Angriff unterbindet. - Die Erfindung lässt sich insbesondere im Bereich von DSL-Kommunikationsverbindungen jeweiliger Teilnehmerkomponenten mit einem Kommunikationsnetzwerk vorteilhaft einsetzen. Hierbei ergeben sich sowohl Vorteile für den Nutzer der Teilnehmerkomponente als auch für den Betreiber des Kommunikationsnetzwerks.
- Der Nutzer wird von der Aufgabe befreit, sich um geeignete Schutzmaßnahmen seiner Teilnehmerkomponente kümmern zu müssen. Der Aufwand umfasst die Beschäftigung mit der Thematik, die Installation geeigneter Schutzmaßnahmen und die Pflege bzw. die Datenaktualität der Schutzmechanismen. Für Nutzer, die sich mit dieser Thematik nicht auseinandersetzen wollen oder können, bedeutet dies eine erhebliche Entlastung. Weiterhin bringt eine dezidierte Lösung Sicherheitsvorteile, da eine Attacke oder auch ein Virus bereits vor dem Erreichen der Teilnehmerkomponente abgewehrt werden kann.
- Auch der Betreiber eines Kommunikationsnetzwerkes hat ein zunehmendes Interesse, das Kommunikationsnetzwerk gegen Atta cken und Bedrohungen zu schützen. Viren, Würmer, Denial of Service-Attacken und ähnliches führen bei den Betreibern der Kommunikationsnetzwerke zunehmend zu Ausfällen und damit zu hohen Kosten. Mit dem Schutz der Teilnehmerleitung bzw. der damit gekoppelten Teilnehmerkomponente, wird das Kommunikationsnetzwerk am Eintrittspunkt geschützt. Damit können Angriffe frühestmöglich abgewehrt werden. Die Erfindung stellt damit einen wichtigen Baustein zur Erhöhung der Kommunikationsnetzwerksicherheit bereit.
-
- 1
- Kommunikationssystem
- 10
- Kommunikationsnetzwerk
- 11
- Kommunikationsleitung
- 20
- Netzwerkzugangsknotenrechner
- 21
- Schutzvorrichtung
- 22
- Schutzkomponente
- 23
- Schutzkomponente
- 24
- Schutzkomponente
- 25
- Schutzkomponente
- 26
- Datenstrom
- 27
- Datenstrom
- 30.1
- Teilnehmerkomponente
- 30.n
- Teilnehmerkomponente
- 31.1
- Teilnehmerleitung
- 31.n
- Teilnehmerleitung
- 32
- Rechner
- 33
- Kommunikationsnetzwerk
Claims (17)
- Netzwerkzugangsknotenrechner (
20 ) zu einem Kommunikationsnetzwerk (10 ), – der über eine Kommunikationsleitung (11 ) an das Kommunikationsnetzwerk (10 ) und über zumindest eine Teilnehmerleitung (31.1 , ...,31.n ) mit einer Teilnehmerkomponente (30.1 , ...,30.n ) verbindbar ist, – der dazu eingerichtet ist, zumindest einen Datenstrom zwischen dem Kommunikationsnetzwerk (10 ) und der zumindest einen Teilnehmerkomponente (30.1 , ...,30.n ) zu transportieren, – wobei der Netzwerkzugangsknotenrechner (10 ) eine Schutzvorrichtung (21 ) aufweist, durch welche der zumindest eine Datenstrom leitbar ist, und die dazu eingerichtet ist, den zumindest einen Datenstrom zu erfassen, zu analysieren und bei Vorliegen vorgegebener Bedingungen zu verändern. - Netzwerkzugangsknotenrechner nach Anspruch 1, dadurch gekennzeichnet, dass die Schutzvorrichtung (
21 ) als erste Schutzkomponente (22 ) eine Firewall-Funktionalität aufweist. - Netzwerkzugangsknotenrechner nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Schutzvorrichtung (
21 ) als zweite Schutzkomponente (23 ) eine Virenscanner-Funktionalität aufweist, bei der der Datenstrom auf Virensignaturen überprüft wird. - Netzwerkzugangsknotenrechner nach Anspruch 3, dadurch gekennzeichnet, dass die zweite Schutzkomponente (
23 ) dazu eingerichtet ist, den Datenstrom im Falle einer erkannten Virensignatur zu blockieren und/oder eine Nachricht mit einem, einen Alarm signalisierenden, Attribut abzugeben. - Netzwerkzugangsknotenrechner nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Schutzvorrichtung (
21 ) als dritte Schutzkomponente (24 ) ein System zur automatischen Erkennung eines unerlaubten oder zufälligen Zugriffs von dem Kommunikationsnetzwerk (10 ) auf die zumindest eine Teilnehmerkomponente (30.1 , ...,30.n ) und/oder von der zumindest einen Teilnehmerkomponente (30.1 , ...,30.n ) auf das Kommunikationsnetzwerk (10 ) aufweist. - Netzwerkzugangsknotenrechner nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Schutzvorrichtung (
21 ) als vierte Schutzkomponente (25 ) ein System zum Unterbinden eines unerlaubten oder zufälligen Zugriffs von dem Kommunikationsnetzwerk (10 ) auf die zumindest eine Teilnehmerkomponente (30.1 , ...,30.n ) und/oder von der zumindest einen Teilnehmerkomponente (30.1 , ...,30.n ) auf das Kommunikationsnetzwerk (10 ) aufweist. - Netzwerkzugangsknotenrechner nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass dieser dazu eingerichtet ist, die Schutzvorrichtung (
21 ) zumindest einer der Teilnehmerleitungen (31.1 , ...,31.n ) zuzuweisen, so dass der Datenstrom dieser zumindest einen Teilnehmerleitung (31.1 , ...,31.n ) im Falle einer solchen Zuweisung über die Schutzvorrichtung (21 ) geleitet wird. - Netzwerkzugangsknotenrechner nach Anspruch 7, dadurch gekennzeichnet, dass dieser dazu eingerichtet ist, zumindest eine der Schutzkomponenten (
22 ,23 ,24 ,25 ) zumindest einer der Teilnehmerleitungen (31.1 , ...,31.n ) zuzuweisen, so dass der Datenstrom dieser zumindest einen Teilnehmerleitung (31.1 , ...,31.n ) im Falle einer solchen Zuweisung über die zumindest eine Schutzkomponente (22 ,23 ,24 ,25 ) geleitet wird. - Netzwerkzugangsknotenrechner nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die erste Schutzkomponente (
22 ) und/oder die zweite Schutzkomponente (23 ) und/oder die dritte Schutzkomponente (24 ) und/oder die vierte Schutzkomponente (25 ) in Hardware realisiert sind. - Netzwerkzugangsknotenrechner nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die erste Schutzkomponente (
22 ) und/oder die zweite Schutzkomponente (23 ) und/oder die dritte Schutzkomponente (24 ) und/oder die vierte Schutzkomponente (25 ) in Software realisiert sind. - Netzwerkzugangsknotenrechner nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass dieser ein Digital Subscriber Line Access Multiplexer (DSLAM) ist, der den Zugang zu einem Breitband-Kommunikationsnetzwerk für eine Mehrzahl an Teilnehmerkomponenten (
30.1 , ...,30.n ) darstellt. - Netzwerkzugangsknotenrechner nach einem der vorherigen Ansprüche, dadurch gekennzeichnet, dass die Teilnehmerleitung (
31.1 , ...,31.n ) eine Digital Subscriber Line (DSL)-Kommunikationsleitung ist. - Kommunikationssystem (
1 ) mit – einem Kommunikationsnetzwerk (10 ), – zumindest einer Teilnehmerkomponente (30.1 , ...,30.n ), – einem Netzwerkknotenzugangsrechner (20 ), der nach einem der Ansprüche 1 bis 12 ausgebildet ist. - Kommunikationssystem nach Anspruch 13, dadurch gekennzeichnet, dass die Teilnehmerkomponente (
30.1 , ...,30.n ) ein einzelner Rechner (32 ) oder ein weiteres Kommunikationsnetzwerk (33 ) ist. - Kommunikationssystem nach Anspruch 13 oder 14, dadurch gekennzeichnet, dass das Kommunikationsnetzwerk (
10 ) ein Breitbandnetz, insbesondere ein Asynchronous Transport Module (ATM)-Kommunikationsnetzwerk ist. - Verfahren zum Betreiben eines Kommunikationssystems mit – einem Kommunikationsnetzwerk (
10 ), – zumindest einer Teilnehmerkomponente (30.1 , ...,30.n ), und – einem Netzwerkknotenzugangsrechner (20 ) nach einem der Ansprüche 1 bis 12, bei dem ein zwischen dem Kommunikationsnetzwerk (10 ) und einer Teilnehmerkomponente (30.1 , ...,30.n ) übertragener Datenstrom in dem Netzwerkzugangsknotenrechner (20 ) erfasst, analysiert und bei Vorliegen vorgegebener Bedingungen verändert wird. - Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass der Datenstrom auf Virensignaturen und/oder Denial of Service (DoS)-Attacken und/oder Unsolicited Bulk E-mail (UBE) analysiert wird.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005046935A DE102005046935B4 (de) | 2005-09-30 | 2005-09-30 | Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Zuweisen einer Schutzvorrichtung |
PCT/EP2006/065714 WO2007039357A1 (de) | 2005-09-30 | 2006-08-28 | Netzwerkzugangsknotenrechner zu einem kommunikationsnetzwerk, kommunikationssystem und verfahren zum betreiben eines kommunikationssystems |
CN2006800359304A CN101300807B (zh) | 2005-09-30 | 2006-08-28 | 对于通信网络的网络接入节点计算机、通信系统以及操作通信系统的方法 |
EP06778371A EP1935163A1 (de) | 2005-09-30 | 2006-08-28 | Netzwerkzugangsknotenrechner zu einem kommunikationsnetzwerk, kommunikationssystem und verfahren zum betreiben eines kommunikationssystems |
US12/088,839 US20090222904A1 (en) | 2005-09-30 | 2006-08-28 | Network access node computer for a communication network, communication system and method for operating a communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005046935A DE102005046935B4 (de) | 2005-09-30 | 2005-09-30 | Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Zuweisen einer Schutzvorrichtung |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102005046935A1 true DE102005046935A1 (de) | 2007-04-12 |
DE102005046935B4 DE102005046935B4 (de) | 2009-07-23 |
Family
ID=37309537
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102005046935A Expired - Fee Related DE102005046935B4 (de) | 2005-09-30 | 2005-09-30 | Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Zuweisen einer Schutzvorrichtung |
Country Status (5)
Country | Link |
---|---|
US (1) | US20090222904A1 (de) |
EP (1) | EP1935163A1 (de) |
CN (1) | CN101300807B (de) |
DE (1) | DE102005046935B4 (de) |
WO (1) | WO2007039357A1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011003310A1 (de) * | 2011-01-28 | 2012-08-02 | Siemens Aktiengesellschaft | Netzwerkgerät für ein Automatisierungsnetzwerk |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2074528A4 (de) * | 2006-09-12 | 2012-04-04 | Telcordia Tech Inc | Überprüfung eines ip-netzwerks auf schwachstellen und richtlinieneinhaltung durch analyse von ip-geräten |
DE102014102627B3 (de) * | 2014-02-27 | 2015-07-02 | Fujitsu Technology Solutions Intellectual Property Gmbh | Arbeitsverfahren für ein System sowie System |
DE102016222740A1 (de) | 2016-11-18 | 2018-05-24 | Continental Automotive Gmbh | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1997000471A2 (en) * | 1993-12-15 | 1997-01-03 | Check Point Software Technologies Ltd. | A system for securing the flow of and selectively modifying packets in a computer network |
US5550984A (en) * | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
US7058974B1 (en) * | 2000-06-21 | 2006-06-06 | Netrake Corporation | Method and apparatus for preventing denial of service attacks |
EP1457007B1 (de) * | 2001-12-21 | 2013-02-13 | Hewlett-Packard Development Company, L.P. | System zur lieferantenkettenverwaltung virtueller privater netzwerkdienste |
TWI244297B (en) * | 2002-06-12 | 2005-11-21 | Thomson Licensing Sa | Apparatus and method adapted to communicate via a network |
DE10241974B4 (de) * | 2002-09-11 | 2006-01-05 | Kämper, Peter | Überwachung von Datenübertragungen |
US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
-
2005
- 2005-09-30 DE DE102005046935A patent/DE102005046935B4/de not_active Expired - Fee Related
-
2006
- 2006-08-28 CN CN2006800359304A patent/CN101300807B/zh not_active Expired - Fee Related
- 2006-08-28 EP EP06778371A patent/EP1935163A1/de not_active Withdrawn
- 2006-08-28 US US12/088,839 patent/US20090222904A1/en not_active Abandoned
- 2006-08-28 WO PCT/EP2006/065714 patent/WO2007039357A1/de active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011003310A1 (de) * | 2011-01-28 | 2012-08-02 | Siemens Aktiengesellschaft | Netzwerkgerät für ein Automatisierungsnetzwerk |
Also Published As
Publication number | Publication date |
---|---|
CN101300807A (zh) | 2008-11-05 |
US20090222904A1 (en) | 2009-09-03 |
DE102005046935B4 (de) | 2009-07-23 |
CN101300807B (zh) | 2013-07-17 |
WO2007039357A1 (de) | 2007-04-12 |
EP1935163A1 (de) | 2008-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102005037968B4 (de) | Schutzsystem für eine Netzwerkinformationssicherheitszone | |
DE60206856T2 (de) | Verfahren und Vorrichtung zum Schutz von Internetanlagen gegen Denial-of-Service Angriffen | |
EP3001884B1 (de) | Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit | |
DE102016109358A1 (de) | Konfigurierbares Robustheitsmittel in einem Anlagensicherheitssystem | |
DE602004011864T2 (de) | Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router | |
EP1417820B1 (de) | Verfahren und computersystem zur sicherung der kommunikation in netzwerken | |
EP3192226B1 (de) | Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks | |
DE102005046935B4 (de) | Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Zuweisen einer Schutzvorrichtung | |
DE102014107783B4 (de) | Routing-Verfahren zur Weiterleitung von Task-Anweisungen zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
DE10241974B4 (de) | Überwachung von Datenübertragungen | |
EP1298529A2 (de) | Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms | |
DE102007024720B4 (de) | Vorrichtung und Verfahren zum Schutz eines medizinischen Geräts und eines von diesem Gerät behandelten Patienten vor gefährdenden Einflüssen aus einem Kommunikationsnetzwerk | |
DE102019210226A1 (de) | Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk | |
DE102014101835A1 (de) | Verfahren zur Kommunikation zwischen abgesicherten Computersystemen sowie Computernetz-Infrastruktur | |
EP1464150B1 (de) | Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern | |
DE102015107071B3 (de) | Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks | |
EP2987301A1 (de) | Überwachung der funktionalität einer netzwerkfiltereinrichtung | |
DE102013221955A1 (de) | Sicherheitsrelevantes System | |
EP2369810B1 (de) | Verfahren und System zum Schutz eines Kommunikationssystems oder eines Kommunikationsnetzwerkes | |
EP1496666A1 (de) | Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs | |
DE102014017671B4 (de) | Verfahren zur Sicherung vernetzter Systeme | |
DE102018219262A1 (de) | Vorrichtung zum Absichern eines Echtzeit-Ethernet-Datennetzwerks für ein Kraftfahrzeug | |
DE102019129253B4 (de) | Verfahren und Computer-System zur Abwehr eines Angriffes von Schadsoftware durch elektronische Nachrichten | |
DE10138865C2 (de) | Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken | |
DE102016205126A1 (de) | Sicherheitsrelevante Kommunikationsvorrichtung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8127 | New person/name/address of the applicant |
Owner name: NOKIA SIEMENS NETWORKS GMBH & CO.KG, 81541 MUE, DE |
|
8364 | No opposition during term of opposition | ||
R081 | Change of applicant/patentee |
Owner name: NOKIA SOLUTIONS AND NETWORKS GMBH & CO. KG, DE Free format text: FORMER OWNER: NOKIA SIEMENS NETWORKS GMBH & CO. KG, 81541 MUENCHEN, DE Effective date: 20140731 |
|
R081 | Change of applicant/patentee |
Owner name: PROVENANCE ASSET GROUP LLC, PITTSFORD, US Free format text: FORMER OWNER: NOKIA SOLUTIONS AND NETWORKS GMBH & CO. KG, 81541 MUENCHEN, DE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |