-
Die
Erfindung betrifft ein Verfahren zur Änderung der Konfiguration eines
auf einem Knoten eines mit Knoten gebildeten Kommunikationsnetzes
installierten Paketfilters.
-
Die
Erfindung liegt auf dem Gebiet der Netztechnik und zielt auf eine
Verbesserung der Einstellung von Paketfiltern zum Schutz von Kommunikationsnetzen.
-
Sicherheitsaspekte
spielen bei modernen Netzen eine wichtige Rolle. Mit der weltweiten
Vernetzung haben auch die Möglichkeiten
der Manipulation und Schadensverursachung zugenommen. Ein Beispiel
dafür ist
das sog. Spoofing oder IP-Spoofing. Dabei wird durch eine manipulierte
Absenderadresse ein falscher Absender vorgetäuscht. Dies ist vor allem dann
problematisch, wenn zwischen Maschinen eines Netzes Vertrauensbeziehungen
bestehen. Durch Vortäuschen
einer netzinternen Absenderadresse können diese Vertrauensbeziehungen
missbräuchlich
verwendet werden, um den Nutzern des Netzes Schaden zuzufügen. Als
Schutz vor Spoofing und anderen Attacken werden sog. Firewalls verwendet.
Ein wichtiger Bestandteil dieser Firewalls sind Filter, welche am
Netzrand eintreffende Pakete überprüfen und
nach vorgegebenen Kriterien verwerfen. Neben den sog. Content-Filtern,
die den Inhalt von ankommendem Verkehr analysieren, gibt es die
sog. Paketfilter, welche zur Verhinderung von Spoofing eingesetzt
werden. Ein Paketfilter überprüft die von außerhalb
des Netzes übertragenen
Pakete darauf, ob eine netzinterne Senderadresse im Paketkopf angegeben
ist. Falls der Vergleich ergibt, dass eine netzinterne Ursprungsadresse
spezifiziert ist, wird das Paket als manipuliert verworfen.
-
Im
Folgenden wird der Begriff Paketfilter für alle Filter verwendet, die
zum Netz übertragenen
Datenverkehr mit netzinternen Ursprungsadressen herausfiltern, d.h.
auch für
Filter, die auf Dateneinheiten angewandt werden, für welche
andere Begriffe als „Paket" (z.B. Frame oder
Zelle) üblich
sind. Es wird damit keine Einschränkung auf die Netzwerkschicht impliziert.
Ein derartiger Filter kann z.B. auch auf der Leitungsschicht zum
Einsatz kommen.
-
Die
aus Sicherheitsgründen – zur Verhinderung
von Angriffen mittels „spoofing" – in Netzen konfigurierten
Paketfilter sollen also sicherstellen, dass von außen keine
Pakete ins Netz kommen, die als Absenderadresse eine Netz-interne
Adresse tragen. Zusammen mit einer Grundkonfiguration der Netzelemente,
die Management-Zugriff auf die Netzelemente nur von netzinternen
Adressen aus zulässt, kann
so verhindert werden, dass Management-Zugriffe auf Netzelemente
von Stationen außerhalb
des Netzes – z.B.
im Rahmen eines Angriffes – durchgeführt werden.
Die Paketfilter werden in IP-Netzen sinnvollerweise an denjenigen
Router-Schnittstellen (Randrouter) eingerichtet, die den Netzrand
darstellen, d.h. also Verbindungen zu weniger vertrauenswürdigen Netzbereichen
haben.
-
Es
gibt nun Fälle,
in denen – beispielsweise nach
einer Änderung
der Topologie bzw. Struktur des Netzes – die Festlegung des Netzrandes
geändert werden
muss. Ein solcher Fall soll anhand der Figur erläutert werden. Die Figur stellt
zwei Netzbereiche N1 und N2 dar, die über eine gemietete Leitung
L1 gekoppelt sind. Beide Netzbereiche werden gemeinsam von der Management-Station
MS kontrolliert und konfiguriert. Der Netzrand ist somit (in der
im Vergleich zur Realität
stark vereinfachten Netztopologie der Figur) definiert durch die
Schnittstelle von R3 zur Leitung L2 und die Schnittstelle von R5
zur Leitung L3. An diesen beiden Schnittstellen werden normalerweise
Paketfilter installiert, die von außen (d.h. von N3) kommende
Pakete mit Ursprungsadressen aus einem internen Adressbereich von
N1 und N2 verwerfen. Es ist dabei unerheblich, ob N3 ein öffentliches
Netz (z.B. ein Teil des Internet von einem anderen Betreiber) oder
ein weniger sicherer Netzbereich unter der Regie des Betreibers
von den Teilnetzen N1 und N2 ist.
-
Fällt nun
die private Verbindungsleitung L1 zwischen N1 und N2 aus, so sind
die Netzelemente in Teilnetz N2 von der Management-Station MS aus nicht
mehr erreichbar, obwohl prinzipiell über die Netzelemente R3-L2-N3-L3-R5
noch eine Verbindung zwischen N1 und N2 besteht. Der Netzbetreiber müsste in
dieser Situation die Paketfilter an der Schnittstelle von R5 zu
L3 und an der Schnittstelle von R3 zu L2 ändern. Da die Management-Station MS
den Router R5 jedoch nicht mehr über
L1 erreicht, müsste
der Management-Verkehr über R3-L2-N3-L3-R5
geführt
werden, wo er jedoch wegen der konfigurierten Paketfilter im Randrouter
R5 verworfen wird. Der Betreiber muss daher entweder ganz auf den
Einsatz der Paketfilter verzichten und damit grundsätzlich eine
verringerte Sicherheit in Kauf nehmen, oder er muss im Falle des
Ausfalles der Leitung L1 die Filterkonfiguration des Randrouters
R5 über
andere Wege ändern.
Dies ist möglich, wenn
sich ein Service-Mitarbeiter
vor Ort, z.B. über eine
serielle Schnittstelle, mit dem Router R5 verbindet und die Konfiguration ändert (was
einen hohen Aufwand bedeutet und wegen des manuell durchgeführten Konfigurationsvorgangs
fehlerträchtig
ist) oder wenn zwischen der Management-Station MS und dem Router
R5 eine Verbindung über
ein separates Netz (z.B. ISDN, Telefonnetz mit Modem) bereitgestellt
wird (was teuer ist und in Zukunft wegen fehlender Verfügbarkeit
einer separaten Verbindung zwischen zwei IP-Netzbereichen auch nicht
mehr in allen Fällen
machbar sein wird).
-
Die
Erfindung hat zur Aufgabe, bei Änderung von
Netzzuständen
erforderliche Filteränderungen effizienter
zu gestalten.
-
Die
Aufgabe wird gelöst
durch ein Verfahren nach Anspruch 1.
-
Erfindungsgemäß wird die
Konfiguration eines auf einem Knoten (z. B. Router oder Switch)
eines Kommunikationsnetzes installierten Paketfilters geändert, indem
eine Netzzustandsänderung
mittels einer die Netzzustandsänderung
betreffenden Information (die beispielsweise das Routing innerhalb
des Netzes, eine Quality-of-Service Signalisierung oder das Verkehrsmanagement
betrifft) erkannt wird und nach Maßgabe zumindest einer Regel
in eine durchzuführende
Filterkonfigurationsänderung
(z. B. Deaktivierung des Filters oder Änderung des Adressbereichbereichs
herauszufilternder Pakete) umgesetzt wird. Diese Filterkonfigurationsänderung
bzw. der durchzuführende
Konfigurationsvorgang wird dann durch eine Filterkonfigurationseinheit
bzw. ein Filterkonfigurationsmodul (welches vorzugsweise auf denselben
Knoten wie der Filter installiert ist) durchgeführt.
-
Die
vorliegende Erfindung erlaubt eine Filterkonfiguration dynamisch
und automatisch an einen neuen Netzzustand (beispielsweise geänderte Netzgrenzen)
anzupassen. Eine manuelle Konfigurierung ist damit nicht erforderlich.
Auf diese Weise können beispielsweise
Filter deaktiviert werden, die nach einer Netzzustandsänderung
einen Zugriff des Netzmanagements auf Netzbereich verhindern würden. Es
resultiert eine Kosteneinsparung durch Verzicht auf ein separates
Managementnetz oder den Einsatz von Servicepersonal im Fehlerfall.
-
Die
Information, durch welche auf eine Netzzustandsänderung geschlossen wird, kann
aktiv ermittelt oder – zumindest
für einen
Typ von Netzzustandsänderungen,
beispielsweise Verbindungsausfälle – automatisch übermittelt
werden. Diese Information kann beispielsweise das Routing innerhalb des
Netzes betreffen und durch die Art der Erreichbarkeit (mittels Pfa den
innerhalb des Netzes oder nur über
Pfade, die zumindest teilweise außerhalb des Netzes verlaufen)
gegeben sein. Eine Ermittlung der Information kann periodisch durchgeführt oder
beispielsweise für
jedes ankommende Paket bzw. für
jeden ankommenden Frame durchgeführt
werden.
-
Die
Regel zur Bestimmung des durchzuführenden Konfigurationsvorgangs
kann nun z.B. darin bestehen, dass Filter deaktiviert werden, wenn
eine netzinterne Verbindung eines Netzbereichs zum Netzmanagement
nach einer Netzstrukturänderung (z.B.
bei Ausfall einer Verbindung oder eines Links) nicht mehr gegeben
ist. Eine andere mögliche
Regel besteht in einer generellen Anpassung der Filter an eine Netzstrukturänderung,
die sich auf die Grenzen des Netzes auswirkt. In neuen Randknoten
werden dann z.B. Filter konfiguriert, während in Knoten, die nach der
Strukturänderung
keine Randposition mehr einnehmen, etwaige Filter deaktiviert werden.
Regeln werden z.B. mit Hilfe des Netzmanagements formuliert und
konfiguriert. Dabei kann z.B. eine Konfigurationssprache für Filterregeln
verwendet werden.
-
Die
Filterkonfigurationseinheit kann dafür ausgestaltet sein, die auf
eine Netzzustandsänderung
hinweisende Information zu verarbeiten, um nach Maßgabe einer
Regel den zu erfolgenden Konfigurierungsvorgang zu bestimmen. In
diesem Fall wird durch den Empfang oder die Ermittlung der Information
die Filterkonfigurationseinheit dazu veranlasst, den erforderlichen
Konfigurationsvorgang zu bestimmen und durchzuführen. Alternativ dazu ist eine
Steuereinheit zur Steuerung von Filterkonfigurationsänderungen
gegeben, welche auf Regeln zugreift, um den erforderlichen Konfigurationsvorgang zu
bestimmen und dann die Filterkonfigurationseinheit zur Durchführung dieses
Konfigurationsvorganges veranlasst. Diese Steuereinheit bzw. dieses Steuermodul
kann auf denselben Knoten wie der Filter oder in einer separaten
Vorrichtung angeordnet sein. Das Vorsehen einer Steuereinheit erlaubt
eine modulare Unterteilung der Funktionen, wodurch die Realisierung
erleichtert wird.
-
Im
Folgenden wird der Erfindungsgegenstand anhand einer Figur näher erläutert. Die
Figur zeigt eine Netzkonfiguration mit zwei Netzbereichen N1 (mit
Routern R1, R2, und R3 sowie Links L4, L5 und L6) und N2 (mit Routern
R4, R5, und R6 sowie Links L7, L8 und L9), welche mittels einer
gemieteten Leitung (Link L1) miteinander verbunden sind. Bei Ausfall
der gemieteten Leitung L1 können
von der Management-Station MS gesendete Nachrichten den Netzbereich
N2 nicht mehr auf einer vollständig innerhalb
des Netzes verlaufenden Route erreichen. Angenommen, die Nachrichten
würden über den
Link L2, das Netz N3 und den Link L3 zu dem Randrouter R5 gelangen,
dann würde
ein bei dem Randrouter R5 installierter Paketfilter die Nachrichten
wegen der netzinternen Absenderadresse als vermeintlich manipuliert
verwerfen.
-
Erfindungsgemäß wird eine
Modifikation im IP-Router R5 vorgenommen, die es ermöglicht,
dass der Router R5 abhängig
von der Netzsituation einen konfigurierten Paketfilter automatisch
deaktiviert oder anpasst. Über
eine Konfiguration des Routers wird es ermöglicht, einen Filter nicht
nur absolut für alle
Zeit zu aktivieren, sondern dem Filter eine Bedingung mitzugeben,
die an Informationen aus den Routing-Protokollen gekoppelt ist.
-
In
der Figur geschieht dies folgendermaßen: Der Netzbetreiber betreibt
seine Netzbereiche N1 und N2 über
L1 in einer gemeinsamen OSPF-Domäne
(OSPF: open shortest path first). Zusätzlich wird der Adressbereich
vom Netzbereich N1 über
R3-L2 und der Adressbereich vom Netzbereich N2 über R5-L3 mit dem BGP (Border
Gateway Protocol) zum Netz N3 propagiert. Da IGP-Routen gegenüber EGP-Routen (interior/exterior
gateway protocol) bevorzugt werden, wird Verkehr zwischen N1 und
N2 normalerweise über
den Link L1 ausgetauscht. Wenn der Link L1 allerdings ausfällt, erreichen
sich die Netzbereiche N1 und N2 gegenseitig über das Netz N3, da die Erreichbarkeitsinformation über BGP
von dem Netz N3 jeweils an die Netzbereiche N1 und N2 weitergegeben
wird. Erfindungsgemäß wird mittels regelabhängiger Filterkonfigurierung
dem Netzbetreiber ermöglicht,
den Paketfilter im Randrouter R5 so zu konfigurieren, dass er Pakete
mit Adressen aus dem Netzbereich N1 an der Schnittstelle von Router R5
zu Link L3 nur dann verwirft, wenn die Erreichbarkeit des Adressbereiches
von Netzbereich N1 an Router R5 durch Informationen aus dem IGP
(in diesem Falle OSPF) gelernt wurde. Wenn die Erreichbarkeit des
Adressbereiches von Netzbereich N1 an Router R5 dagegen aus Informationen
aus dem EGP (in diesem Falle BGP) herrührt, wird der Paketfilter automatisch
deaktiviert. Dies ist die Regel, nach der in diesem Fall eine Filterkonfigurationsänderung
vorgenommen wird.
-
Dadurch
bleiben die Netzelemente im Netzbereich N2 für die Management-Station MS
im Netzbereich N1 ständig
erreichbar, und im Normalbetrieb (L1 verfügbar) ist zusätzlich sichergestellt,
dass Angriffe aus dem weniger sicheren Netzbereich N3 auf Netzelemente
von N1 und N2 per Adressverfälschung
(Spoofing) nicht möglich
sind.
-
Die
Prüfung,
ob ein Filter zu aktivieren oder zu deaktivieren ist, kann periodisch
geschehen (z.B. einmal je Sekunde), oder jedes Mal, wenn der Filter beim
Weiterleiten eines Paketes abgefragt wird (in diesem Fall sinnvollerweise
mit Hardware-Unterstützung zu
realisieren), oder die Aktivierung und Deaktivierung der Filter
kann direkt als Konsequenz von Änderungen
im Routing mit implementiert werden (sobald sich eine Route zwischen
den Netzbereichen N1 und N2 ändert,
wird die Konfiguration des Filters aktualisiert).
-
Die
Routing-Abhängigkeit
kann nicht nur, wie oben beschrieben, durch eine Unterscheidung
zwischen IGP und EGP dargestellt werden, sondern auch durch weitere
vom Routing abhängige
Regeln (z.B. bei Router R5 die Regel, dass der Filter immer deaktiviert
wird, wenn der next hop zum Adressbereich vom Netzbereich N1 über Link
L3 erreicht wird). Diese Regeln werden beispielsweise durch das
Netzmanagement vorgegeben und konfiguriert.
-
Bei
dem Routing-Protokoll kann es sich auch um ein in ad-hoc-Netzen verwendetes
Routing-Protokoll handeln, das die Erreichbarkeit ganzer Netzbereiche
signalisiert. In diesem Fall können
zusätzlich dynamische Änderungen
der Adressen der Stationen berücksichtigt
werden, wie sie bei der Auflösung
von Adresskollisionen in ad-hoc-Netzen auftreten.
-
Das
für die
Erkennung einer Netzzustandsänderung
herangezogene Routing-Prokoll kann auch ein Protokoll zur Steuerung
von MPLS-Netzen oder SDH/Sonet- oder optischen Netzen sein, z.B.
RSVP (resource-reservation protocol) oder LDP (label distribution
protocol). Dabei kann beispielsweise auf die Einrichtung neuer Pfade
oder auf die Aktivierung bereits eingerichteter Ersatzpfade reagiert
werden.
-
Anstelle
des Routing-Protokolls können
auch Informationen aus einer QoS-Signalisierung (QoS: Quality of
Service) verwendet werden, um eine Filteranpassung zu triggern.
Auch können
Regel so konzipiert werden, dass die Änderung des Routings zu Verkehrsmanagement-Zwecken
(„Traffic
Engineering"), bei
denen beispielsweise durch Änderung
von Linkmetriken Verkehr von einem Pfad auf einen anderen gelegt
wird, eine entsprechende Anpassung der Filterregeln bewirkt.
-
Zwei
Beispiele für
die Anwendung der Erfindung bei einer durch eine QoS-Signalisierung
getriggerten Filteranpassung sind im Folgenden angegeben. Es gibt
zum einen QoS-Signalisierung,
die einen ganz bestimmten, vordefinierten Pfad für den zu erwartenden Verkehr
durch das Netz signalisiert. Verkehr derselben Art (z.B. selbe Quell-
und Zieladresse) der nicht auf genau diesem Pfad durch das Netz läuft, ist
mit hoher Wahrscheinlichkeit nicht regulär bzw. gefälscht. Man kann Filter entlang
des Pfades installieren, die nicht entlang des ganzen Pfades, d.h. von
der Seite einfließenden
Verkehr gleicher Art verwerfen. Bei Änderung des Pfades erfolgt
eine entsprechende QoS-Signalisierung, die erfindungsgemäß eine Filteranpassung
anstoßen
kann.
-
Zweitens
gibt es QoS-Signalisierung, die keine Pfade sondern allenfalls Ein-
und Ausgänge
für den
zu erwartenden Verkehr von einem Netz zum nächsten signalisiert. Hier werden
nur ganz bestimmte Punkte am Rand geöffnet, um den dort zu erwartenden
QoS-Verkehr vom Nachbarnetz einzulassen, alle anderen Randpunkte
bleiben für
diese Art Verkehr geschlossen, weil er über andere Punkte nicht geführt werden
soll. QoS-Verkehr
vom Nachbarnetz, der zu einem anderen Eingang gelangt ist dann (in der
Regel) gefälscht
und wird herausgefiltert. Eine Änderung
dieser Filtereinstellung (Herausfiltern bestimmten Verkehrs mit
Ausnahme eines festgelegten Eintritts- und Austrittspunktes) kann erfindungsgemäß mittels
einer aus der QoS-Signalisierung entnommenen Information bewirkt
werden.
-
Alternativ
zu einer Erweiterung der Fähigkeiten
von IP-Routern kann
die Funktion der Erkennung und Steuerung einer Filterkonfigurationsänderung auch
in eine externe Einheit bzw. Vorrichtung ausgelagert werden, die
dem Router R5 beigestellt wird. Diese Einheit konfiguriert dann
abhängig
von dem von ihr beobachteten Netzzustand den Router R5 um. Die beigestellte
Einheit kann für
einen einzelnen Router R5, für
eine Teilmenge von Routern (z.B. R4 und R5 von Netzbereich N2) eines
Netzbereiches oder für
alle Router eines Netzbereiches zuständig sein. Es bietet sich dann
an, Netze in Netzbereiche zu unterteilen und pro Netzbereich wenigstens
eine Steuereinheit vorzusehen (evtl. mit Ausnahme von Netzbereichen,
die direkt mit dem Netzmanagement verbunden sind).
-
Ein
entsprechendes Verfahren kann zur Erhöhung der Sicherheit auch in
Ethernet-Switches eingesetzt werden. Dabei wird im Access-Bereich
zum Verhindern von Spoofing eine Liste von IP- und/oder MAC-Adressen (MAC: media access
control) konfiguriert, die an einem bestimmten Anschluss eines Ethernet-Switches als Absenderadressen
auftreten dürfen.
Diese Konfiguration kann auch dynamisch, z.B. durch Mithören am dynamic
host configuration protocol (DHCP) geschehen.