DE102005051090A1 - Filteranpassung bei Änderung von Netzzuständen - Google Patents

Filteranpassung bei Änderung von Netzzuständen Download PDF

Info

Publication number
DE102005051090A1
DE102005051090A1 DE200510051090 DE102005051090A DE102005051090A1 DE 102005051090 A1 DE102005051090 A1 DE 102005051090A1 DE 200510051090 DE200510051090 DE 200510051090 DE 102005051090 A DE102005051090 A DE 102005051090A DE 102005051090 A1 DE102005051090 A1 DE 102005051090A1
Authority
DE
Germany
Prior art keywords
network
filter
configuration
change
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE200510051090
Other languages
English (en)
Inventor
Joachim Dr. Charzinski
Birger Toedtmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE200510051090 priority Critical patent/DE102005051090A1/de
Priority to PCT/EP2006/065942 priority patent/WO2007048655A1/de
Publication of DE102005051090A1 publication Critical patent/DE102005051090A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Konfiguration eines auf einem Knoten eines mit Knoten gebildeten Kommunikationsnetzes installierten Paketfilters wird mittels einer Filterkonfigurationseinheit geändert. Es wird dabei eine auf eine Netzzustandsänderung hinweisende Information verwendet, um nach Maßgabe zumindest einer Regel einen als Reaktion auf die Netzzustandsänderung zu erfolgenden Konfigurationsvorgang zu bestimmen. Die Filterkonfigurationseinheit wird dann veranlasst, die Konfiguration des Filters durch Durchführen des Konfigurationsvorganges zu ändern. Die Erfindung ermöglicht eine dynamische und automatische Anpassung von Filterzuständen an neue Netzzustände.

Description

  • Die Erfindung betrifft ein Verfahren zur Änderung der Konfiguration eines auf einem Knoten eines mit Knoten gebildeten Kommunikationsnetzes installierten Paketfilters.
  • Die Erfindung liegt auf dem Gebiet der Netztechnik und zielt auf eine Verbesserung der Einstellung von Paketfiltern zum Schutz von Kommunikationsnetzen.
  • Sicherheitsaspekte spielen bei modernen Netzen eine wichtige Rolle. Mit der weltweiten Vernetzung haben auch die Möglichkeiten der Manipulation und Schadensverursachung zugenommen. Ein Beispiel dafür ist das sog. Spoofing oder IP-Spoofing. Dabei wird durch eine manipulierte Absenderadresse ein falscher Absender vorgetäuscht. Dies ist vor allem dann problematisch, wenn zwischen Maschinen eines Netzes Vertrauensbeziehungen bestehen. Durch Vortäuschen einer netzinternen Absenderadresse können diese Vertrauensbeziehungen missbräuchlich verwendet werden, um den Nutzern des Netzes Schaden zuzufügen. Als Schutz vor Spoofing und anderen Attacken werden sog. Firewalls verwendet. Ein wichtiger Bestandteil dieser Firewalls sind Filter, welche am Netzrand eintreffende Pakete überprüfen und nach vorgegebenen Kriterien verwerfen. Neben den sog. Content-Filtern, die den Inhalt von ankommendem Verkehr analysieren, gibt es die sog. Paketfilter, welche zur Verhinderung von Spoofing eingesetzt werden. Ein Paketfilter überprüft die von außerhalb des Netzes übertragenen Pakete darauf, ob eine netzinterne Senderadresse im Paketkopf angegeben ist. Falls der Vergleich ergibt, dass eine netzinterne Ursprungsadresse spezifiziert ist, wird das Paket als manipuliert verworfen.
  • Im Folgenden wird der Begriff Paketfilter für alle Filter verwendet, die zum Netz übertragenen Datenverkehr mit netzinternen Ursprungsadressen herausfiltern, d.h. auch für Filter, die auf Dateneinheiten angewandt werden, für welche andere Begriffe als „Paket" (z.B. Frame oder Zelle) üblich sind. Es wird damit keine Einschränkung auf die Netzwerkschicht impliziert. Ein derartiger Filter kann z.B. auch auf der Leitungsschicht zum Einsatz kommen.
  • Die aus Sicherheitsgründen – zur Verhinderung von Angriffen mittels „spoofing" – in Netzen konfigurierten Paketfilter sollen also sicherstellen, dass von außen keine Pakete ins Netz kommen, die als Absenderadresse eine Netz-interne Adresse tragen. Zusammen mit einer Grundkonfiguration der Netzelemente, die Management-Zugriff auf die Netzelemente nur von netzinternen Adressen aus zulässt, kann so verhindert werden, dass Management-Zugriffe auf Netzelemente von Stationen außerhalb des Netzes – z.B. im Rahmen eines Angriffes – durchgeführt werden. Die Paketfilter werden in IP-Netzen sinnvollerweise an denjenigen Router-Schnittstellen (Randrouter) eingerichtet, die den Netzrand darstellen, d.h. also Verbindungen zu weniger vertrauenswürdigen Netzbereichen haben.
  • Es gibt nun Fälle, in denen – beispielsweise nach einer Änderung der Topologie bzw. Struktur des Netzes – die Festlegung des Netzrandes geändert werden muss. Ein solcher Fall soll anhand der Figur erläutert werden. Die Figur stellt zwei Netzbereiche N1 und N2 dar, die über eine gemietete Leitung L1 gekoppelt sind. Beide Netzbereiche werden gemeinsam von der Management-Station MS kontrolliert und konfiguriert. Der Netzrand ist somit (in der im Vergleich zur Realität stark vereinfachten Netztopologie der Figur) definiert durch die Schnittstelle von R3 zur Leitung L2 und die Schnittstelle von R5 zur Leitung L3. An diesen beiden Schnittstellen werden normalerweise Paketfilter installiert, die von außen (d.h. von N3) kommende Pakete mit Ursprungsadressen aus einem internen Adressbereich von N1 und N2 verwerfen. Es ist dabei unerheblich, ob N3 ein öffentliches Netz (z.B. ein Teil des Internet von einem anderen Betreiber) oder ein weniger sicherer Netzbereich unter der Regie des Betreibers von den Teilnetzen N1 und N2 ist.
  • Fällt nun die private Verbindungsleitung L1 zwischen N1 und N2 aus, so sind die Netzelemente in Teilnetz N2 von der Management-Station MS aus nicht mehr erreichbar, obwohl prinzipiell über die Netzelemente R3-L2-N3-L3-R5 noch eine Verbindung zwischen N1 und N2 besteht. Der Netzbetreiber müsste in dieser Situation die Paketfilter an der Schnittstelle von R5 zu L3 und an der Schnittstelle von R3 zu L2 ändern. Da die Management-Station MS den Router R5 jedoch nicht mehr über L1 erreicht, müsste der Management-Verkehr über R3-L2-N3-L3-R5 geführt werden, wo er jedoch wegen der konfigurierten Paketfilter im Randrouter R5 verworfen wird. Der Betreiber muss daher entweder ganz auf den Einsatz der Paketfilter verzichten und damit grundsätzlich eine verringerte Sicherheit in Kauf nehmen, oder er muss im Falle des Ausfalles der Leitung L1 die Filterkonfiguration des Randrouters R5 über andere Wege ändern. Dies ist möglich, wenn sich ein Service-Mitarbeiter vor Ort, z.B. über eine serielle Schnittstelle, mit dem Router R5 verbindet und die Konfiguration ändert (was einen hohen Aufwand bedeutet und wegen des manuell durchgeführten Konfigurationsvorgangs fehlerträchtig ist) oder wenn zwischen der Management-Station MS und dem Router R5 eine Verbindung über ein separates Netz (z.B. ISDN, Telefonnetz mit Modem) bereitgestellt wird (was teuer ist und in Zukunft wegen fehlender Verfügbarkeit einer separaten Verbindung zwischen zwei IP-Netzbereichen auch nicht mehr in allen Fällen machbar sein wird).
    •
  • Die Erfindung hat zur Aufgabe, bei Änderung von Netzzuständen erforderliche Filteränderungen effizienter zu gestalten.
  • Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1.
  • Erfindungsgemäß wird die Konfiguration eines auf einem Knoten (z. B. Router oder Switch) eines Kommunikationsnetzes installierten Paketfilters geändert, indem eine Netzzustandsänderung mittels einer die Netzzustandsänderung betreffenden Information (die beispielsweise das Routing innerhalb des Netzes, eine Quality-of-Service Signalisierung oder das Verkehrsmanagement betrifft) erkannt wird und nach Maßgabe zumindest einer Regel in eine durchzuführende Filterkonfigurationsänderung (z. B. Deaktivierung des Filters oder Änderung des Adressbereichbereichs herauszufilternder Pakete) umgesetzt wird. Diese Filterkonfigurationsänderung bzw. der durchzuführende Konfigurationsvorgang wird dann durch eine Filterkonfigurationseinheit bzw. ein Filterkonfigurationsmodul (welches vorzugsweise auf denselben Knoten wie der Filter installiert ist) durchgeführt.
  • Die vorliegende Erfindung erlaubt eine Filterkonfiguration dynamisch und automatisch an einen neuen Netzzustand (beispielsweise geänderte Netzgrenzen) anzupassen. Eine manuelle Konfigurierung ist damit nicht erforderlich. Auf diese Weise können beispielsweise Filter deaktiviert werden, die nach einer Netzzustandsänderung einen Zugriff des Netzmanagements auf Netzbereich verhindern würden. Es resultiert eine Kosteneinsparung durch Verzicht auf ein separates Managementnetz oder den Einsatz von Servicepersonal im Fehlerfall.
  • Die Information, durch welche auf eine Netzzustandsänderung geschlossen wird, kann aktiv ermittelt oder – zumindest für einen Typ von Netzzustandsänderungen, beispielsweise Verbindungsausfälle – automatisch übermittelt werden. Diese Information kann beispielsweise das Routing innerhalb des Netzes betreffen und durch die Art der Erreichbarkeit (mittels Pfa den innerhalb des Netzes oder nur über Pfade, die zumindest teilweise außerhalb des Netzes verlaufen) gegeben sein. Eine Ermittlung der Information kann periodisch durchgeführt oder beispielsweise für jedes ankommende Paket bzw. für jeden ankommenden Frame durchgeführt werden.
  • Die Regel zur Bestimmung des durchzuführenden Konfigurationsvorgangs kann nun z.B. darin bestehen, dass Filter deaktiviert werden, wenn eine netzinterne Verbindung eines Netzbereichs zum Netzmanagement nach einer Netzstrukturänderung (z.B. bei Ausfall einer Verbindung oder eines Links) nicht mehr gegeben ist. Eine andere mögliche Regel besteht in einer generellen Anpassung der Filter an eine Netzstrukturänderung, die sich auf die Grenzen des Netzes auswirkt. In neuen Randknoten werden dann z.B. Filter konfiguriert, während in Knoten, die nach der Strukturänderung keine Randposition mehr einnehmen, etwaige Filter deaktiviert werden. Regeln werden z.B. mit Hilfe des Netzmanagements formuliert und konfiguriert. Dabei kann z.B. eine Konfigurationssprache für Filterregeln verwendet werden.
  • Die Filterkonfigurationseinheit kann dafür ausgestaltet sein, die auf eine Netzzustandsänderung hinweisende Information zu verarbeiten, um nach Maßgabe einer Regel den zu erfolgenden Konfigurierungsvorgang zu bestimmen. In diesem Fall wird durch den Empfang oder die Ermittlung der Information die Filterkonfigurationseinheit dazu veranlasst, den erforderlichen Konfigurationsvorgang zu bestimmen und durchzuführen. Alternativ dazu ist eine Steuereinheit zur Steuerung von Filterkonfigurationsänderungen gegeben, welche auf Regeln zugreift, um den erforderlichen Konfigurationsvorgang zu bestimmen und dann die Filterkonfigurationseinheit zur Durchführung dieses Konfigurationsvorganges veranlasst. Diese Steuereinheit bzw. dieses Steuermodul kann auf denselben Knoten wie der Filter oder in einer separaten Vorrichtung angeordnet sein. Das Vorsehen einer Steuereinheit erlaubt eine modulare Unterteilung der Funktionen, wodurch die Realisierung erleichtert wird.
  • Im Folgenden wird der Erfindungsgegenstand anhand einer Figur näher erläutert. Die Figur zeigt eine Netzkonfiguration mit zwei Netzbereichen N1 (mit Routern R1, R2, und R3 sowie Links L4, L5 und L6) und N2 (mit Routern R4, R5, und R6 sowie Links L7, L8 und L9), welche mittels einer gemieteten Leitung (Link L1) miteinander verbunden sind. Bei Ausfall der gemieteten Leitung L1 können von der Management-Station MS gesendete Nachrichten den Netzbereich N2 nicht mehr auf einer vollständig innerhalb des Netzes verlaufenden Route erreichen. Angenommen, die Nachrichten würden über den Link L2, das Netz N3 und den Link L3 zu dem Randrouter R5 gelangen, dann würde ein bei dem Randrouter R5 installierter Paketfilter die Nachrichten wegen der netzinternen Absenderadresse als vermeintlich manipuliert verwerfen.
  • Erfindungsgemäß wird eine Modifikation im IP-Router R5 vorgenommen, die es ermöglicht, dass der Router R5 abhängig von der Netzsituation einen konfigurierten Paketfilter automatisch deaktiviert oder anpasst. Über eine Konfiguration des Routers wird es ermöglicht, einen Filter nicht nur absolut für alle Zeit zu aktivieren, sondern dem Filter eine Bedingung mitzugeben, die an Informationen aus den Routing-Protokollen gekoppelt ist.
    •
  • In der Figur geschieht dies folgendermaßen: Der Netzbetreiber betreibt seine Netzbereiche N1 und N2 über L1 in einer gemeinsamen OSPF-Domäne (OSPF: open shortest path first). Zusätzlich wird der Adressbereich vom Netzbereich N1 über R3-L2 und der Adressbereich vom Netzbereich N2 über R5-L3 mit dem BGP (Border Gateway Protocol) zum Netz N3 propagiert. Da IGP-Routen gegenüber EGP-Routen (interior/exterior gateway protocol) bevorzugt werden, wird Verkehr zwischen N1 und N2 normalerweise über den Link L1 ausgetauscht. Wenn der Link L1 allerdings ausfällt, erreichen sich die Netzbereiche N1 und N2 gegenseitig über das Netz N3, da die Erreichbarkeitsinformation über BGP von dem Netz N3 jeweils an die Netzbereiche N1 und N2 weitergegeben wird. Erfindungsgemäß wird mittels regelabhängiger Filterkonfigurierung dem Netzbetreiber ermöglicht, den Paketfilter im Randrouter R5 so zu konfigurieren, dass er Pakete mit Adressen aus dem Netzbereich N1 an der Schnittstelle von Router R5 zu Link L3 nur dann verwirft, wenn die Erreichbarkeit des Adressbereiches von Netzbereich N1 an Router R5 durch Informationen aus dem IGP (in diesem Falle OSPF) gelernt wurde. Wenn die Erreichbarkeit des Adressbereiches von Netzbereich N1 an Router R5 dagegen aus Informationen aus dem EGP (in diesem Falle BGP) herrührt, wird der Paketfilter automatisch deaktiviert. Dies ist die Regel, nach der in diesem Fall eine Filterkonfigurationsänderung vorgenommen wird.
  • Dadurch bleiben die Netzelemente im Netzbereich N2 für die Management-Station MS im Netzbereich N1 ständig erreichbar, und im Normalbetrieb (L1 verfügbar) ist zusätzlich sichergestellt, dass Angriffe aus dem weniger sicheren Netzbereich N3 auf Netzelemente von N1 und N2 per Adressverfälschung (Spoofing) nicht möglich sind.
  • Die Prüfung, ob ein Filter zu aktivieren oder zu deaktivieren ist, kann periodisch geschehen (z.B. einmal je Sekunde), oder jedes Mal, wenn der Filter beim Weiterleiten eines Paketes abgefragt wird (in diesem Fall sinnvollerweise mit Hardware-Unterstützung zu realisieren), oder die Aktivierung und Deaktivierung der Filter kann direkt als Konsequenz von Änderungen im Routing mit implementiert werden (sobald sich eine Route zwischen den Netzbereichen N1 und N2 ändert, wird die Konfiguration des Filters aktualisiert).
  • Die Routing-Abhängigkeit kann nicht nur, wie oben beschrieben, durch eine Unterscheidung zwischen IGP und EGP dargestellt werden, sondern auch durch weitere vom Routing abhängige Regeln (z.B. bei Router R5 die Regel, dass der Filter immer deaktiviert wird, wenn der next hop zum Adressbereich vom Netzbereich N1 über Link L3 erreicht wird). Diese Regeln werden beispielsweise durch das Netzmanagement vorgegeben und konfiguriert.
  • Bei dem Routing-Protokoll kann es sich auch um ein in ad-hoc-Netzen verwendetes Routing-Protokoll handeln, das die Erreichbarkeit ganzer Netzbereiche signalisiert. In diesem Fall können zusätzlich dynamische Änderungen der Adressen der Stationen berücksichtigt werden, wie sie bei der Auflösung von Adresskollisionen in ad-hoc-Netzen auftreten.
  • Das für die Erkennung einer Netzzustandsänderung herangezogene Routing-Prokoll kann auch ein Protokoll zur Steuerung von MPLS-Netzen oder SDH/Sonet- oder optischen Netzen sein, z.B. RSVP (resource-reservation protocol) oder LDP (label distribution protocol). Dabei kann beispielsweise auf die Einrichtung neuer Pfade oder auf die Aktivierung bereits eingerichteter Ersatzpfade reagiert werden.
  • Anstelle des Routing-Protokolls können auch Informationen aus einer QoS-Signalisierung (QoS: Quality of Service) verwendet werden, um eine Filteranpassung zu triggern. Auch können Regel so konzipiert werden, dass die Änderung des Routings zu Verkehrsmanagement-Zwecken („Traffic Engineering"), bei denen beispielsweise durch Änderung von Linkmetriken Verkehr von einem Pfad auf einen anderen gelegt wird, eine entsprechende Anpassung der Filterregeln bewirkt.
  • Zwei Beispiele für die Anwendung der Erfindung bei einer durch eine QoS-Signalisierung getriggerten Filteranpassung sind im Folgenden angegeben. Es gibt zum einen QoS-Signalisierung, die einen ganz bestimmten, vordefinierten Pfad für den zu erwartenden Verkehr durch das Netz signalisiert. Verkehr derselben Art (z.B. selbe Quell- und Zieladresse) der nicht auf genau diesem Pfad durch das Netz läuft, ist mit hoher Wahrscheinlichkeit nicht regulär bzw. gefälscht. Man kann Filter entlang des Pfades installieren, die nicht entlang des ganzen Pfades, d.h. von der Seite einfließenden Verkehr gleicher Art verwerfen. Bei Änderung des Pfades erfolgt eine entsprechende QoS-Signalisierung, die erfindungsgemäß eine Filteranpassung anstoßen kann.
  • Zweitens gibt es QoS-Signalisierung, die keine Pfade sondern allenfalls Ein- und Ausgänge für den zu erwartenden Verkehr von einem Netz zum nächsten signalisiert. Hier werden nur ganz bestimmte Punkte am Rand geöffnet, um den dort zu erwartenden QoS-Verkehr vom Nachbarnetz einzulassen, alle anderen Randpunkte bleiben für diese Art Verkehr geschlossen, weil er über andere Punkte nicht geführt werden soll. QoS-Verkehr vom Nachbarnetz, der zu einem anderen Eingang gelangt ist dann (in der Regel) gefälscht und wird herausgefiltert. Eine Änderung dieser Filtereinstellung (Herausfiltern bestimmten Verkehrs mit Ausnahme eines festgelegten Eintritts- und Austrittspunktes) kann erfindungsgemäß mittels einer aus der QoS-Signalisierung entnommenen Information bewirkt werden.
  • Alternativ zu einer Erweiterung der Fähigkeiten von IP-Routern kann die Funktion der Erkennung und Steuerung einer Filterkonfigurationsänderung auch in eine externe Einheit bzw. Vorrichtung ausgelagert werden, die dem Router R5 beigestellt wird. Diese Einheit konfiguriert dann abhängig von dem von ihr beobachteten Netzzustand den Router R5 um. Die beigestellte Einheit kann für einen einzelnen Router R5, für eine Teilmenge von Routern (z.B. R4 und R5 von Netzbereich N2) eines Netzbereiches oder für alle Router eines Netzbereiches zuständig sein. Es bietet sich dann an, Netze in Netzbereiche zu unterteilen und pro Netzbereich wenigstens eine Steuereinheit vorzusehen (evtl. mit Ausnahme von Netzbereichen, die direkt mit dem Netzmanagement verbunden sind).
  • Ein entsprechendes Verfahren kann zur Erhöhung der Sicherheit auch in Ethernet-Switches eingesetzt werden. Dabei wird im Access-Bereich zum Verhindern von Spoofing eine Liste von IP- und/oder MAC-Adressen (MAC: media access control) konfiguriert, die an einem bestimmten Anschluss eines Ethernet-Switches als Absenderadressen auftreten dürfen. Diese Konfiguration kann auch dynamisch, z.B. durch Mithören am dynamic host configuration protocol (DHCP) geschehen.

Claims (12)

  1. Verfahren zur Änderung der Konfiguration eines auf einem Knoten eines mit Knoten gebildeten Kommunikationsnetzes installierten Paketfilters, bei dem – eine Filterkonfigurationseinheit zum Durchführen wenigstens eines Konfigurationsvorgangs gegeben ist, – eine auf eine Netzzustandsänderung hinweisende Information verwendet wird, um nach Maßgabe zumindest einer Regel einen als Reaktion auf die Netzzustandsänderung zu erfolgenden Konfigurationsvorgang zu bestimmen, und – die Filterkonfigurationseinheit veranlasst wird, die Konfiguration des Filters durch Durchführen des Konfigurationsvorganges zu ändern.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Information periodisch oder für jedes Paket oder jeden Frame ermittelt wird.
  3. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Konfigurationsvorgang in einer Deaktivierung des Filters oder einer Änderung des Adressbereichs des herauszufilternden Verkehrs besteht.
  4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Information das Routing innerhalb des Netzes, eine QoS-Signalisierung oder das Verkehrsmanagement betrifft.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Information das Routing innerhalb des Netzes betrifft, und die Art der Erreichbarkeit eines Knotens oder Netzabschnittes beinhaltet.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass – eine Steuereinheit zur Steuerung einer Filterkonfigurationsänderung durch die Filterkonfigurationseinheit gegeben ist, – durch die Steuereinheit der Konfigurationsvorgang bestimmt wird, und – durch die Steuereinheit die Konfigurationseinheit veranlasst wird, die Konfiguration des Filters durch Durchführen des Konfigurationsvorganges zu ändern.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Steuereinheit auf einer von den Knoten des Netzes separaten Vorrichtung angeordnet ist.
  8. Verfahren nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die Steuereinheit für die Konfigurationsänderung einer Mehrzahl von Filtern zuständig ist.
  9. Netzknoten, insbesondere Router oder Ethernet-Switch, mit einem Paketfilter und einer Filterkonfigurationseinheit, welche für eine Filterkonfigurationsänderung entsprechend eines der Verfahren 1 bis 8 ausgestaltet ist.
  10. Netzknoten nach Anspruch 9, dadurch gekennzeichnet, dass eine zur Durchführung des Verfahrens nach Anspruch 6 ausgestaltete Steuereinheit auf dem Netzknoten angeordnet ist.
  11. Vorrichtung mit einer zur Durchführung eines Verfahrens nach einem der Ansprüche 6 bis 8 ausgestalteten Steuereinheit.
  12. Vorrichtung nach Anspruch 11, dadurch gekennzeichnet, dass die die Steuereinheit für das Steuern einer Mehrzahl von Filterkonfigurationseinheiten ausgestaltet ist.
DE200510051090 2005-10-25 2005-10-25 Filteranpassung bei Änderung von Netzzuständen Ceased DE102005051090A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE200510051090 DE102005051090A1 (de) 2005-10-25 2005-10-25 Filteranpassung bei Änderung von Netzzuständen
PCT/EP2006/065942 WO2007048655A1 (de) 2005-10-25 2006-09-04 Filteranpassung bei änderung von netzzuständen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510051090 DE102005051090A1 (de) 2005-10-25 2005-10-25 Filteranpassung bei Änderung von Netzzuständen

Publications (1)

Publication Number Publication Date
DE102005051090A1 true DE102005051090A1 (de) 2007-04-26

Family

ID=37429212

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510051090 Ceased DE102005051090A1 (de) 2005-10-25 2005-10-25 Filteranpassung bei Änderung von Netzzuständen

Country Status (2)

Country Link
DE (1) DE102005051090A1 (de)
WO (1) WO2007048655A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3813314A1 (de) * 2019-10-23 2021-04-28 Siemens Aktiengesellschaft Sicherungssystem und verfahren zur filterung eines datenverkehrs

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE336847T1 (de) * 2000-06-26 2006-09-15 Tenovis Gmbh & Co Kg Firewall-vorrichtung
US7668145B2 (en) * 2003-12-22 2010-02-23 Nokia Corporation Method to support mobile IP mobility in 3GPP networks with SIP established communications
US7760663B2 (en) * 2004-04-19 2010-07-20 Jds Uniphase Corporation Packet tracing using dynamic packet filters

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3813314A1 (de) * 2019-10-23 2021-04-28 Siemens Aktiengesellschaft Sicherungssystem und verfahren zur filterung eines datenverkehrs
WO2021078538A1 (de) * 2019-10-23 2021-04-29 Siemens Aktiengesellschaft Sicherungssystem und verfahren zur filterung eines datenverkehrs

Also Published As

Publication number Publication date
WO2007048655A1 (de) 2007-05-03

Similar Documents

Publication Publication Date Title
DE69727447T2 (de) Übertragungstrennung und Ebene-3-Netzwerk-Vermittlung
DE69933417T2 (de) Vorrichtung und Verfahren zur routerfreien Schicht 3 Wegelenkung in einem Netz
EP2409458B1 (de) Parallelbetrieb von rstp (rapid spanning tree protocol) und mrp (media redundancy protocol) und segmentierung/kopplung
EP1897292B1 (de) Verfahren zur bereitstellung von ersatzwegen als schnelle reaktion auf den ausfall eines links zwischen zwei routing-domänen
DE112013002272T5 (de) ARP/ND-Cache vor Denial-Of-Service-Angriffen schützen
EP1897293A1 (de) Verfahren zur bereitstellung von ersatzwegen als schnelle reaktion auf den ausfall eines links zwischen zwei routing-domänen
EP1842343A1 (de) Verfahren zur bestimmung der weiterleitungsrichtung von ethernet-frames
WO2004071047A1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
EP2704370B1 (de) Verfahren zur Nachrichtenübermittlung in einem redundant betreibbaren industriellen Kommunikationsnetz und Kommunikationsgerät für ein redundant betreibbares industrielles Kommunikationsnetz
EP1894363B1 (de) Verfahren und unabhängiges kommunikationsteilnetz zum ermitteln labelvermittelter routen in einem solchen kommunikationsteilnetz
DE102005051090A1 (de) Filteranpassung bei Änderung von Netzzuständen
DE60217520T3 (de) Router discovery protokoll auf einem mobilen internetprotokoll basierendem netz
DE10324370B4 (de) Netzknoten eines paketvermittelnden Kommunikationsnetzes und Verfahren zur Verkehrsverteilung von Datenverkehr in einem paketvermittelnden Kommunikationsnetz
DE102010028225A1 (de) Verfahren zur Bereitstellung einer Kommunikation für mindestens ein Gerät
DE10260640A1 (de) Verfahren zur Topologie-Erkennung und Weglenkung von Datenpaketen in einem Pakete vermittelnden Ring
EP1699181A1 (de) Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
EP1543670B1 (de) Verfahren zum transparenten austausch von datenpaketen
EP2493122B1 (de) IPv6 Quellenadressextrapolation
DE102006036565A1 (de) Verfahren zur paketvermittelten Datenübertragung in einem Kommunikationsnetz
DE10062375B4 (de) Verfahren zum Weiterleiten von Datenpaketen, Weiterleitungseinheit und zugehöriges Programm
WO2004107675A2 (de) Verfahren zur weitergabe von ip-paketen an eine externe steuerkomponente eines netzknotens in einem mehrere netzknoten aufweisenden ip-pakete vermittelnden kommunikationsnetz
EP1748618B1 (de) Verfahren zum Aufbau einer netzübergreifenden Kommunikationsverbindung zwischen zumindest zwei Kommunikationsnetzwerken
WO2005101754A1 (de) Netz-ausgangs-bezogenes policing
DE102015210961A1 (de) Verfahren zum Konfigurieren eines Netzknotens eines Telekommunikationsnetzes, Telekommunikationsnetz, Netzknoten, Programm und Computerprogrammprodukt
DE102005057123A1 (de) Netzwerk mit Redundanzeigenschaften, Layer-3-Switch für ein derartiges Netzwerk sowie Verfahren zum Betreiben eines derartigen Netzwerks

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO.KG, 81541 MUE, DE

8131 Rejection