DE102005055148B4 - Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung - Google Patents
Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung Download PDFInfo
- Publication number
- DE102005055148B4 DE102005055148B4 DE102005055148A DE102005055148A DE102005055148B4 DE 102005055148 B4 DE102005055148 B4 DE 102005055148B4 DE 102005055148 A DE102005055148 A DE 102005055148A DE 102005055148 A DE102005055148 A DE 102005055148A DE 102005055148 B4 DE102005055148 B4 DE 102005055148B4
- Authority
- DE
- Germany
- Prior art keywords
- communication
- information
- adp
- incoming
- detection device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
wobei
a. eine aus der eingehenden Kommunikation (V, ADP, M5, M7) auslesbare oder ermittelbare Kommunikationsinformation durch eine, zwischen der Anschlussleitung (AL) und der Kommunikationseinrichtung (EG1) gekoppelte, der Kommunikationseinrichtung (EG1) eineindeutig zugeordnete Detektionseinrichtung (DE) erfasst wird,
b. durch die Detektionseinrichtung (DE) eine fehlende oder fehlerhafte Implementierung von Protokollelementen in der Kommunikationseinrichtung (EG1) dadurch erkannt werden, indem geprüft wird,
i. ob die erfasste Kommunikationsinformation mit einer vorgebbaren Datenmusterinformation übereinstimmt und/oder
ii. ob eine durch die eingehende Kommunikation (V, ADP, M5, M7) auszulösende Antwortmeldung (M6) von der Kommunikationseinrichtung (EG1) über die Anschlussleitung (AL) ausbleibt,
c. bei einem positiven Prüfergebnis die erfasste Kommunikationsinformation gespeichert wird,
d. die gespeicherte Kommunikationsinformation im Rahmen einer zentralen, durch eine Servereinrichtung (S) vorgenommenen Auswertung ausgelesen wird,
e. es sich bei der eingehenden Kommunikation...
Description
- Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung
- Sprach-Kommunikationssysteme innerhalb von Firmen und Organisationen verwenden vermehrt paketorientierte Verfahren für die Sprachkommunikation. Ein Grund dafür ist häufig, dass dadurch eine gemeinsame Nutzung einer Verkabelung eines IP-basierten Datennetzes (IP: Internet Protocol) für eine Kopplung von Datenrechnern, sowie für eine Kopplung von IP-basierten Kommunikationseinrichtungen des Sprach-Kommunikationssystems – beispielsweise IP-Telefone, Gatekeeper, Gateways – ermöglicht wird.
- Durch den Einsatz von IP-basierten Prinzipien ergeben sich Probleme für die Sprach-Kommunikationssysteme, die bisher nur in Rechnernetzen bekannt waren. So kann beispielsweise ein IP-Telefon mittels eines so genannten Computervirus, eines so genannten Computerwurms oder eines Denial-Of-Service-Angriffs attackiert werden und dadurch zu einem Fehlverhalten veranlasst werden. Einen Schutz gegenüber derartiger Angriffe bietet üblicherweise eine Firewall im Datennetz, die unerwünschten Datenverkehr abblocken kann. Eine Firewall ist aber häufig nicht zur Abwehr gegenüber Angriffe auf IP-Telefone optimiert. Weiterhin darf eine Firewall nicht zu restriktiv konfiguriert sein, da der gewünschte Kommunikationsaustausch nicht behindert werden sollte.
- Während ein Angriff auf einen Arbeitsplatzrechner, der nicht von einer Firewall blockiert wird, aufgrund eines unüblichen Verhaltens von auf diesen ablaufenden Programmen durch den Benutzer häufig schnell erkannt und umgehend einem für das Rechnernetzwerk zuständigen Service-Mitarbeiter mitgeteilt werden kann, zeigt sich ein Fehlverhalten eines IP-Telefons für den Benutzer häufig nicht so offensichtlich, da beispielsweise ein fälschlicherweise abgewiesener Anruf dem Benutzer nicht auffällt, da das IP-Telefon lediglich in seinem Ruhezustand verharrt.
- Weiterhin ist dem Benutzer häufig nicht bewusst, dass sein Telefon IP-basierte Verfahren verwendet. Er ist somit gegenüber Angriffen auf das Telefon überhaupt nicht sensibilisiert, da dies bei traditionellen Telefonen, die auf zeitschlitzorientierten Verfahren basieren weitgehend unbekannt ist. Somit würde der Benutzer ein Fehlverhalten des Telefons üblicherweise nicht auf einen Angriff auf das Telefon zurückführen.
- Des Weiteren ist problematisch, dass Angriffe auf ein IP-Telefon unentdeckt bleiben können, weil sie häufig nur kurzfristig auftreten und bei einem in diesem Zeitraum im Ruhezustand befindlichen IP-Telefon einem Benutzer nicht auffallen. Somit bleiben diese Angriffe eine schwebende, dauerhafte Gefahr, die jederzeit einen Einsatz der IP-Telefone im Kommunikationssystem behindern können.
- Eine Möglichkeit des Schutzes vor Angriffen in einem Mobilkommunikationssystem ist aus der Veröffentlichung
DE 102 26 744 A1 bekannt, bei dem übertragene Daten von und zu einem Teilnehmerendgerät analysiert werden, insbesondere um einen Schutz gegen Angriffe von außen bereitzustellen. Darunter ist beispielsweise ein Virenschutz, ein Schutz vor Werbe-Mails, eine Abwehr von Datenpaketen bestimmten Ursprungs zu verstehen. - Neben derartigen, mutwillig ausgelösten Fehlfunktionen von IP-Telefonen, besteht insbesondere bei IP-Telefonen, die nach einem, einem dynamischen Erweiterungsprozess unterworfenen Kommunikationsstandard – wie beispielsweise der SIP-Standard (SIP: Session Initiated Protocol) – kommunizieren, das Problem, dass die IP-Telefone als Kommunikationspartner einer Verbindung häufig nicht den selben Protokollumfang implementiert haben. Somit können durch ein sendendes IP-Telefon Protokollelemente ausgesendet werden, die durch das empfangene IP-Telefon nicht erwartet werden und mit denen es nicht umgehen kann. Wiederum ist für einen Benutzer in einer derartigen Situation üblicherweise nicht ersichtlich, warum ein Leistungsmerkmal oder eine Funktion seines IP-Telefons nicht wie gewünscht ausgeführt wird. Derartiges Fehlverhalten basiert insbesondere einerseits auf einer fehlenden Implementierung von Protokollelementen eines Kommunikationsstandards im IP-Telefon oder andererseits auf eine fehlerhafte Implementierung der Protokollelemente.
- Selbst in Fällen, in denen bekannt ist, dass ein bestimmtes IP-Telefon zeitweilig ein Fehlverhalten aufweist, ist es in den vorstehend genannten Problemfällen häufig schwierig, die Ursache für ein auftretendes Fehlerverhalten zu ermitteln und Maßnahmen auszuwählen, durch die das Fehlverhalten dauerhaft korrigiert werden kann.
- Der vorliegenden Erfindung liegt somit die Aufgabe zugrunde, bei einer Kommunikation Fehlfunktionen einer Kommunikationseinrichtung, Angriffe auf die Kommunikationseinrichtung und/oder eine fehlende Implementierung von Protokollelementen in der Kommunikationseinrichtung einfacher zu erkennen und auszuwerten.
- Gelöst wird diese Aufgabe durch ein Verfahren mit den Merkmalen des Patentanspruchs 1, durch eine Detektionseinrichtung mit den Merkmalen des Patentanspruchs 17, sowie durch eine Servereinrichtung mit den Merkmalen des Patentanspruchs 18.
- Vorteilhafte Ausführungsformen und Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
- Bei dem erfindungsgemäßen Verfahren zur Auswertung einer über eine Anschlussleitung eingehenden, insbesondere paketorientierten Kommunikation an einer Kommunikationseinrichtung wird eine aus der eingehenden Kommunikation auslesbare oder ermittelbare Kommunikationsinformation durch eine zwischen der Anschlussleitung und der Kommunikationseinrichtung gekoppelte, der Kommunikationseinrichtung eineindeutig zugeordnete Detektionseinrichtung erfasst. „Eineindeutig" bedeutet hierbei, dass jeder Kommunikationseinrichtung genau eine Detektionseinrichtung zugeordnet wird und dass eine jeweilige Detektionseinrichtung einen Dienst für genau eine Kommunikationseinrichtung bereitstellt. Durch die Detektionseinrichtung wird geprüft, ob die erfasste Kommunikationsinformation mit einer vorgebbaren Datenmusterinformation übereinstimmt und/oder ob eine durch die eingehende Kommunikation auszulösende Antwortmeldung von der Kommunikationseinrichtung über die Anschlussleitung ausbleibt. Auf diese Weise werden fehlerhafte oder fehlende Implementierungen von Protokollelementen eines Übertragungsprotokolls erkannt.
- Bei einem positiven Prüfergebnis wird die erfasste Kommunikationsinformation gespeichert. Diese Speicherung erfolgt vorzugsweise in der Kommunikationseinrichtung oder in einer Servereinrichtung. Die gespeicherte Kommunikationsinformation wird weiterhin im Rahmen einer zentralen, durch eine, vorzugsweise von der Kommunikationseinrichtung verschiedene, vorzugsweise zentrale Servereinrichtung vorgenommenen Auswertung ausgelesen.
- Als die Anschlussleitung ist im Rahmen der Erfindung die Kopplung der Kommunikationseinrichtung an ein Kommunikationssystem, ein Datennetz und/oder eine Vermittlungsanlage zu verstehen, wobei diese Kopplung über Kabel als auch über Funk – beispielsweise bei Ankopplung über WLAN (Wireless Local Area Network) – als Übertragungsmedium durchgeführt werden kann. Insbesondere ist als Anschlussleitung derjenige Anschluss der Kommunikationseinrichtung zu verstehen, der für Nutzdaten- und/oder Signalisierungsverbindungen eingesetzt wird.
- Bei der eingehenden Kommunikation handelt es sich um eine Echtzeit-Verbindung zur Sprach-Kommunikation und insbesondere um eine paketvermittelte Signalisierungsverbindung oder um eine paketvermittelte Nutzdatenverbindung, beispielsweise nach dem SIP-Protokoll (SIP: Session Initiation Protocol) oder nach einem Protokoll gemäß der ITU-T-Empfehlung H.323 (ITU-T: International Telecommunication Union – Telecommunications Standardization Sector). Weiterhin kann es sich bei der eingehenden Kommunikation um einen unerwünschten Angriff auf die Kommunikationseinrichtung, um einen so genannten Computervirus, um einen so genannten Computerwurm, um eine so genannte Denial-of-Service-Attacke oder um einen, einen Puffer-Überlauf in der Kommunikationseinrichtung erzeugenden Angriff handeln. Die Kommunikationseinrichtung ist insbesondere eine paketorientierte Kommunikationsendeinrichtung, beispielsweise ein IP-Telefon oder eine auf einem Arbeitsplatzrechner ablaufende Telefonapplikation – ein so genannter Soft-Client -, ein Gateway und/oder ein Gatekeeper für eine paketorientierte Sprach-, Video- und/oder Multimediakommunikation.
- Die Kommunikationsinformation wird aus der eingehenden Kommunikation ausgelesen oder ermittelt und umfasst Informationen, um welche Art von Datenpaket es sich bei der eingehenden Kommunikation handelt, von welchem Sender die eingehende Kommunikation geschickt wird, über welchen Pfad die eingehende Kommunikation zur Kommunikationseinrichtung gelangt, an welchem Datum oder zu welcher Uhrzeit die eingehende Kommunikation übermittelt wird und/oder um welches Protokollelement einer Verbindung es sich bei der eingehenden Kommunikation handelt. Weiterhin kann die Kommunikationsinformation eine Folge von binären Daten der eingehenden Kommunikation darstellen. Regeln zum Ermitteln der Kommunikationsinformation können dabei in der Detektionseinrichtung aktualisierbar gespeichert werden.
- Die Datenmusterinformation kann ebenfalls aktualisierbar in der Detektionseinrichtung gespeichert werden und umfasst Vergleichswerte, mit denen die erfasste Kommunikationsinformation auf Übereinstimmung verglichen werden kann. Die Datenmusterinformation ist hierbei insbesondere ein Muster eines Computervirus oder -wurms und/oder die Absendeadresse einer eingehenden Kommunikation. Durch die Prüfung auf Übereinstimmung oder durch einen Vergleich der Kommunikationsinformation mit der Datenmusterinformation kann erkannt werden, ob es sich bei der eingehenden Kommunikation um einen Computervirus, einen Computerwurm, um eine unerwünschte so genannte Spam-Attacke oder um einen beliebigen, anderen Angriff handelt. Somit kann vorzugsweise eine unerwünscht eingehende Kommunikation oder eine ein Fehlverhalten auslö sende Kommunikation in der Detektionseinrichtung erkannt werden.
- Bei Erkennen wird die erfasste Kommunikationsinformation gespeichert und einer Servereinrichtung für eine zentrale Auswertung bereitgestellt. Bei diesen Verfahrensschritten ist insbesondere vorteilhaft, dass die eingehende Kommunikation kommunikationseinrichtungs-spezifisch analysiert und erfasst werden kann. Weiterhin ist vorteilhaft, dass den Kommunikationseinrichtungen in einem Kommunikationssystem individuelle Datenmusterinformationen und/oder Regeln zur Erfassung der Kommunikationsinformation bereitgestellt werden können. Weiterhin kann aufgrund der zentralen Auswertung in der Servereinrichtung ein kommunikationssystem-übergreifend gültiges Analyseverfahren zur Auswertung angewendet werden.
- Neben dem Erkennen von Angriffen auf die Kommunikationseinrichtung kann das erfindungsgemäße Verfahren auch eingesetzt werden, um fehlerhafte oder fehlende Implementierungen von Protokollelementen eines Übertragungsprotokolls zu erkennen. Hierbei wird die Rückübertragung von Antwortmeldungen von der Kommunikationseinrichtung mit in die Analyse einbezogen. Ein Ausbleiben einer Antwortmeldung ist hierbei ein Indiz, dass die Kommunikationseinrichtung auf ein Protokollelement des Senders nicht angemessen oder korrekt reagieren kann, insbesondere weil die Kommunikationseinrichtung ein Leistungsmerkmal, das durch das Protokollelement aktiviert werden soll, nicht unterstützt wird. Zur Protokollierung und zur darauf basierenden Auswertung von fehlerhaften Protokollimplementierungen wird deshalb im Falle einer fehlenden Antwortmeldung von der Kommunikationseinrichtung die eingehende Kommunikation dergestalt mitprotokolliert, dass die erfasste Kommunikationsinformation gespeichert wird, wenn die erwartete Antwortmeldung ausbleibt. Auf diese Weise kann im Rahmen einer zentralen Auswertung durch eine Servereinrichtung erkannt werden, welche Kommunikationseinrichtungen in einem Kommunikationssystem nicht miteinander harmonisieren und welche Kommunikationseinrichtungen einen neuen Softwarestand benötigen. Dies ist insbesondere bei Verwendung des SIP-Protokolls vorteilhaft, bei dem üblicherweise durch eine Kommunikationseinrichtung auf nicht erkannte Leistungsmerkmale oder Protokollelemente durch Ausbleiben einer zugehörigen Quittungsmeldung reagiert wird.
- Die Auswertung in einer Servereinrichtung ist insbesondere vorteilhaft, als dass dadurch kommunikationssystem-weite Auswertungen, aber auch kommunikationseinrichtungs-spezifische Auswertungen für mehrere Detektionseinrichtungen mehrerer Kommunikationseinrichtungen durchgeführt werden können. Zur Abfrage von erfassten Kommunikationsinformationen kann die Servereinrichtung in regelmäßigen oder unregelmäßigen Zeitabständen eine Abfragemeldung an die betreffende Kommunikationseinrichtung absenden. Diese übermittelt daraufhin die bis zu diesem Zeitpunkt aufgelaufenen und gespeicherten Kommunikationsinformationen. Alternativ können auch die betroffenen Kommunikationseinrichtungen die gespeicherten Kommunikationsinformationen selbständig an die Servereinrichtung übermitteln – in Zeitabständen oder jeweils nach dem Speichern der jeweiligen Kommunikationsinformation. Im Rahmen der zentralen Auswertung kann die Servereinrichtung Fehlverhalten von Kommunikationseinrichtungen analysieren oder alternativ eine Nutzungsstatistik der Leistungsmerkmale der Kommunikationseinrichtung durchführen.
- Das erfindungsgemäße Verfahren ist insbesondere vorteilhaft, als dass lediglich Kommunikationsdatenverkehr, der eine Firewall im Kommunikationssystem passiert hat, analysiert werden kann und somit ein mehrstufiges Sicherheitskonzept umgesetzt werden kann. Weiterhin ist vorteilhaft, dass Regeln zur Erfassung der Kommunikationsinformation und dass die Datenmusterinformation kommunikationseinrichtungs-spezifisch elektronisch verteilt und aktiviert werden können. Darüber hinaus ist vorteilhaft, dass die Detektionseinrichtung die eingehende Kommunikation lediglich analysiert, aber unverän dert oder weitgehend unverändert weiterleiten kann, so dass im Gegensatz zu einer Firewall keine Veränderung des Kommunikationsverkehrs stattfindet.
- Des Weiteren erweist sich als vorteilhaft, dass durch die Servereinrichtung eine zentrale Auswertung durchgeführt wird und somit ein Fehlverhalten von einer Mehrzahl an Kommunikationseinrichtungen erkannt und möglicherweise auf die gleiche Ursache zurückgeführt werden kann. Somit kann von einem Service-Mitarbeiter durch elektronische Abfrage der Servereinrichtung auf einfache Weise erkannt werden, ob eine Mehrzahl an Endeinrichtungen einen neuen Softwarestand benötigen.
- In einer vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens kann die Servereinrichtung bei Erkennen eines Fehlverhaltens einer Kommunikationseinrichtung automatisch eine Benachrichtigung an einen Rechner eines Herstellers der Kommunikationseinrichtung absenden. Auf diese Weise kann ein Hersteller schnell auf Angriffe gegen die Kommunikationseinrichtung oder auf eine fehlerhafte Implementierung der Kommunikationseinrichtung reagieren und daraufhin Korrekturen bereitstellen. Die Servereinrichtung kann darüber hinaus insbesondere zur Verteilung von neuen Softwareständen an die Kommunikationseinrichtungen verwendet werden.
- In einer weiteren vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens kann die Servereinrichtung mit der Kommunikationseinrichtung und weiteren Kommunikationseinrichtungen in Verbindung stehen und basierend auf der Auswertung eine der Kommunikationseinrichtungen anweisen bestimmte Ports zu sperren oder die Kommunikation über einen anderen Port durchzuführen. Somit kann auf einfache Weise auf einen Angriff auf einen bestimmten Port reagiert werden.
- In einer vorteilhaften Ausführungsform der Erfindung kann die Servereinrichtung die Abfrage zur Kommunikationseinrichtung – wie die eingehende Kommunikation – über die Anschlussleitung der Kommunikationseinrichtung durchführen. Vorzugsweise basiert die Abfrage auf IP-basierten Prinzipien. Dadurch lässt sich vorteilhafterweise die Servereinrichtung mit geringem Aufwand in ein bestehendes IP-Datennetz, beispielsweise ein LAN (Local Area Network) einer Firma oder Organisation einbinden. Insbesondere kann somit die Servereinrichtung in bereits bestehende Netzwerk-Infrastruktur, beispielsweise in einen Gatekeeper, in eine Registrierungseinheit für die Kommunikationseinrichtungen und/oder in einen Gateway integriert werden.
- Ein Ausführungsbeispiel der Erfindung wird nachfolgend an Hand einer Zeichnung näher erklärt.
- Dabei zeigen in schematischer Darstellung die
-
1 die Integration einer erfindungsgemäßen Servereinrichtung und einer erfindungsgemäßen Detektionseinrichtung einer Kommunikationseinrichtung in ein Kommunikationssystem, -
2 ein Meldungsflussdiagramm mit den wesentlichen Meldungen zu und von der Kommunikationseinrichtung, und -
3 ein Ablaufdiagramm mit den wesentlichen in der Detektionseinrichtung ablaufenden Verfahrensschritten. - In
1 ist in schematischer Darstellung ein Kommunikationssystem zur Durchführung des erfindungsgemäßen Verfahrens dargestellt. In diesem Kommunikationssystem befindet sich ein erstes IP-Telefon EG1 als eine erfindungsgemäße Kommunikationseinrichtung, ein zweites IP-Telefon EG2 und ein Angriffsrechner AR. Das erste IP-Telefon EG1 und das zweite IP-Telefon EG2 seien im vorliegenden Ausführungsbeispiel IP-Telefone basierend auf dem SIP-Protokoll-Standard. Verbunden werden diese beiden IP-Telefone EG1, EG2 über ein IP-Netzwerk IPN. - Die Anbindung des ersten IP-Telefons EG1 an das IP-Netzwerk IPN erfolgt über die Anschlussleitung AL und kann kabelgebunden oder funkgebunden, beispielsweise über Wireless-LAN, ausgestaltet sein. Eine Verbindung V zwischen dem ersten IP-Telefon EG1 und dem zweiten IP-Telefon EG2 erfolgt über die Anschlussleitung AL und das IP-Netzwerk IPN und umfasst paketorientierte Signalisierungs- und Nutzdatenmeldungen, insbesondere für eine Sprachkommunikation. Der Angriffsrechner AR ist ebenfalls an das IP-Netzwerk IPN gekoppelt – eventuell außerhalb eines LANs angeordnet und über einen nicht dargestellten Zugangsrechner an das LAN gekoppelt – und kann über dieses an das erste IP-Telefon EG1 Angriffsdatenpakete ADP senden, um dadurch das erste IP-Telefon EG1 zu beeinflussen. Die Angriffsdatenpakete ADP und die Verbindung V können insbesondere die erfindungsgemäße eingehende Kommunikation repräsentieren.
- Des Weiteren ist ein Server S als erfindungsgemäße Servereinrichtung an das IP-Netzwerk IPN gekoppelt. Über diese Kopplung kann der Server S vom ersten IP-Telefon EG1 im Rahmen einer zentralen Auswertung im ersten IP-Telefon EG1 gespeicherte Kommunikationsinformationen abfragen. Dieses Abfragen wird durch die Ausleseeinheit AE des Servers S ausgeführt. Darüber hinaus umfasst der Server S eine Auswertungskonsole AK zum Auslösen der zentralen Auswertung und einen Benachrichtigungsdienst BD um weitere, nicht dargestellte Datenverarbeitungseinrichtungen im Kommunikationssystem über die zentrale Auswertung zu informieren.
- Das erste IP-Telefon EG1 umfasst eine Telefonfunktionseinrichtung TF zur Durchführung üblicher Telefoniefunktionen wie einen Anruf aufbauen, einen Anruf annehmen und Telefon-Leistungsmerkmale ausführen. Weiterhin umfasst das erste IP-Telefon EG1 eine an die Telefonfunktionseinrichtung TF gekoppelte erfindungsgemäße Detektionseinrichtung DE. Die Detektionseinrichtung DE ist außerdem direkt an die Anschlussleitung AL gekoppelt und darüber hinaus an einen Endgerätespeicher EGDB, der Kommunikationsinformationen, Regeln für die Kommunikationsinformationen, Datenmusterinformationen und durch das erfindungsgemäße Verfahren erzeugte, gespeicherte Protokolle abspeichern kann. Darüber hinaus befinden sich im Kommunikationssystem weitere, nicht dargestellte IP-Telefone, die zusammen mit dem ersten IP-Telefon EG1 vom Server S bezüglich gespeicherter Kommunikationsinformationen abgefragt werden. Diese abgefragten Daten von verschiedenen IP-Telefonen werden durch den Server S in der, an den Server S gekoppelten Serverdatenbank SDB für eine weitergehende Auswertung abgespeichert.
- In einem ersten Szenario ist zwischen dem ersten IP-Telefon EG1 und dem zweiten IP-Telefon EG2 eine Verbindung V aufgebaut. Die als Doppelpfeil veranschaulichte Verbindung V verläuft dabei ausgehend vom zweiten IP-Telefon EG2, über das IP-Netzwerk IPN, über die Anschlussleitung AL, durch die Detektionseinrichtung DE des ersten IP-Telefons EG1 zur Telefonfunktionseinrichtung TF des ersten IP-Telefons EG1. Im Verbindungspfad befindliche Router oder Switches sind dabei nicht dargestellt. Die über die Anschlussleitung AL eingehenden Datenpakete im Rahmen der Verbindung V – als erfindungsgemäße eingehende Kommunikation – werden in der Detektionseinrichtung DE gemäß vorgegebenen Regeln, die im Endgerätespeicher EGDB gespeichert sind, analysiert. Für das erste Szenario sei angenommen, dass eine Regel existiert, dass für alle eingehenden SIP-Datenpakete, die jeweiligen Protokollelemente des SIP-Standards extrahiert werden und als Kommunikationsinformation in einem lokalen Speicher (nicht dargestellt) oder im Endgerätespeicher EGDB abgelegt werden. Die Protokollelemente repräsentieren insbesondere Leistungsmerkmale, wie einen Rufaufbau, eine Konferenzschaltung oder eine Rufweiterleitung. Für jedes eingehende Protokollelement wird zur Erfüllung des SIP-Standards erwartet, dass die Telefonfunktionseinrichtung TF eine jeweilig entsprechende Quittungsmeldung zurück über die Detektionseinrichtung DE an das zweite IP-Telefon EG2 sendet. Geschieht dies nicht und sendet die Telefonfunktionseinrichtung TF keinerlei Rückantwort, dann ist dies ein Anzeichen dafür, dass das entsprechende Leistungsmerkmal bzw. Protokollelement im ersten IP-Telefon EG1 nicht – oder nicht korrekt – implementiert ist und deshalb verworfen wurde. Nach Erhalt und Speicherung eines Protokollelements vom zweiten IP-Telefon EG2 wird durch die Detektionseinrichtung DE jeglicher rückgehender Datenverkehr über eine gewisse Zeitspanne nach Erhalt der eingehenden Kommunikation vom zweiten IP-Telefon EG2 analysiert und überprüft, ob eine passende Antwortmeldung zum gespeicherten Protokollelement von der Telefonfunktionseinrichtung TF zum zweiten IP-Telefon EG2 übermittelt wird. Bleibt nach einer vorgebbaren Zeitspanne eine zugehörige Antwortmeldung aus, so speichert die Detektionseinrichtung DE das Protokollelement im Endgerätespeicher EGDB in einem lokalen Protokoll. Dieses lokale Protokoll repräsentiert eine Liste aller Protokollelemente, die durch das erste IP-Telefon EG1 nicht unterstützt werden.
- Vorteilhafterweise leitet die Detektionseinrichtung DE den Nutzdaten- und Signalisierungsverkehr in beide Kommunikationsrichtungen transparent oder unverändert weiter, so dass der Datenverkehr zwischen der Telefonfunktionseinrichtung TF und dem zweiten IP-Telefon EG2 ohne Modifikationen übertragen wird.
- Auf analoge Weise werden durch weitere IP-Telefone im Kommunikationssystem weitere lokale Protokolle in jeweiligen Endgerätespeichern abgespeichert, wobei die Protokolle durch die jeweiligen, den IP-Telefonen eindeutig zugeordneten Detektionseinrichtungen ermittelt werden. Somit speichert jedes IP-Telefon lokal, welche Protokollelemente das jeweilige IP-Telefon nicht unterstützt.
- Durch die Ausleseeinheit AE des Servers S wird zyklisch und in regelmäßigen Zeitabständen eine Abfragemeldung A an die jeweiligen IP-Telefone abgesendet – in
1 als Doppel pfeil zwischen Ausleseeinheit AE und Detektionseinrichtung DE veranschaulicht. Daraufhin übermittelt die, die Abfragemeldung A empfangende Detektionseinrichtung DE das jeweilige, gespeicherte, lokale Protokoll an die Ausleseeinheit AE. Diese speichert die übermittelten, empfangenen, lokalen Protokolle und die darin enthaltenen Kommunikationsinformationen in einem gemeinsamen Protokoll oder einer gemeinsamen Datenbanktabelle in der Serverdatenbank SDB. Somit stehen die gespeicherten Kommunikationsinformationen für eine Kommunikationssystem-weite Auswertung in einer zentralen Servereinrichtung – dem Server S – zur Verfügung. - Über die Auswertungskonsole AK kann nun eine manuelle, zentrale Auswertung basierend auf den gespeicherten Daten in der Serverdatenbank SDB durchgeführt werden. Weiterhin kann in zyklischen Abständen eine automatische Auswertung durch den Benachrichtigungsdienst BD basierend auf den gesammelten Daten der Serverdatenbank SDB durchgeführt werden. Im Rahmen der Auswertung kann beispielsweise kommunikationseinrichtungstypspezifisch ermittelt werden, welche Protokollelemente durch einen spezifischen Gerätetyp nicht unterstützt werden.
- Diese ausgewerteten oder gefilterten Daten können beispielsweise daraufhin durch den Benachrichtigungsdienst BD an einen Herstellerrechner eines Herstellers des jeweiligen IP-Telefons übermittelt werden. Der Hersteller kann daraufhin eine Korrektur der Firm- oder Software für das jeweilige IP-Telefon durchführen und die Korrektur dem Server S für eine Weiterverteilung zur Verfügung stellen. Auf diese Weise kann schnell und einfach ermittelt werden, welche Protokollelemente durch jeweilige IP-Telefone nicht unterstützt werden und es kann weiterhin schnell und einfach eine Korrekturanforderung an einen Hersteller übermittelt werden, damit dieser eine Softwarekorrektur bereitstellen kann. Das Verwalten der Softwarestände und -ausstattung der verschiedenen IP-Telefone im Kommunikationssystem wird dadurch erheblich erleichtert, da aufgrund des realen Kommunikationsbetriebs erkannt wird, welche Kommunikationseinrichtungen einen Software- oder Firmen-Update benötigen.
- Das Verfahren ist dabei nicht auf den Einsatz für IP-End-geräte beschränkt, sondern kann auch auf Servereinrichtungen wie Gatekeeper oder Gateways erweitert werden. Vorteilhafterweise besitzt der Server S die Möglichkeit verschiedene Informationen von den jeweiligen IP-Telefonen abzufragen, beispielsweise den aktuellen Softwarestand, die Uhrzeit zu der eine Übertragung eingetroffen ist und das Datum des letzten Auslesens des Endgerätespeichers EGDB.
- Die Integration der Detektionseinrichtung DE in das erste IP-Telefon EG1 gemäß
1 ist insofern vorteilhaft, als dass dadurch eine sich negativ auswirkende Beeinflussung des Signalisierungs- oder Nutzdatenverkehrs vermieden werden kann. Insbesondere eine Verzögerung des Kommunikationsaufbaus oder der Übermittlung von Nutzdaten kann unterbunden werden. Die Integration der Detektionseinrichtung DE in das erste IP-Telefon EG1 ist weiterhin insbesondere vorteilhaft, als dass die Detektionseinrichtung DE auf Hardware- und Softwarekomponenten des ersten IP-Telefons EG1, wie beispielsweise eine Empfangseinheit, zurückgreifen kann. Somit kann beispielsweise ein Prozessor des ersten IP-Telefons EG1 ebenfalls die Funktionen der Detektionseinrichtung DE ausführen. Alternativ könnte die Detektionseinrichtung DE aber auch außerhalb des ersten IP-Telefons EG1 an dessen Kommunikationseingang gekoppelt werden. Somit kann die Erfindung auch auf bestehende, handelsübliche, nicht an die Erfindung angepasste IP-Telefone angewendet werden. - In einem zweiten Szenario wird die Detektionseinrichtung DE dazu verwendet Angriffe oder Behinderungen von weiteren Rechnern zu erkennen und im Rahmen einer zentralen Auswertung darauf abgestimmte Abwehrstrategien zu entwickeln. Zur Erkennung von Angriffen sind dazu im Endgerätespeicher EGDB Muster als Datenmusterinformationen abgelegt, gegenüber denen der eingehende Kommunikationsverkehr verglichen wird. Ein Muster ist insbesondere eine Byte-Folge, die beispielsweise der Code eines Computervirus darstellt. Ausgangssituation ist in diesem Szenario, dass ein Angriffsrechner AR einen in Angriffsdatenpakten ADP verpackten Computervirus an eine durch eine IP-Adresse und einen Port spezifizierte Adresse – ein so genannter Socket – des ersten IP-Telefons EG1 übermittelt. Die Angriffsdatenpakte ADP sind in
1 als gerichteter Pfeil vom Angriffsrechner AR zur Detektionseinrichtung DE veranschaulicht. - Die Detektionseinrichtung DE des ersten IP-Telefons EG1 empfängt die eingehenden Angriffsdatenpakete ADP und ermittelt daraus nach vorgegebenen und/oder vorgebbaren Regeln eine oder mehrere Kommunikationsinformationen. Diese Kommunikationsinformationen sind z.B. eine IP-Header-Inhaltsinformation der Angriffsdatenpakete ADP oder ein Datenmuster innerhalb des Nutzdatenbereichs der Angriffsdatenpakete ADP. Parallel dazu bzw. nach Auslesen und/oder Ermitteln der Kommunikationsinformationen werden die Angriffsdatenpakete ADP weitgehend unverzüglich. weiter an die Telefonfunktionseinrichtung TF übermittelt. Somit wird sichergestellt, dass keinerlei, für die Telefonfunktionseinrichtung TF möglicherweise wichtige Daten verloren gehen.
- Die Detektionseinrichtung DE vergleicht nun die ermittelten Kommunikationsinformationen mit den vorgegebenen Datenmusterinformationen und versucht auf diese Weise einen Computervirus, einen Computerwurm, Spam-Nachrichten oder andere ungewünschte eingehende Datenpakete zu erkennen. Findet keinerlei Übereinstimmung statt, verwirft die Detektionseinrichtung DE die Kommunikationsinformationen. Findet eine Übereinstimmung statt, so erzeugt die Detektionseinrichtung DE ein lokales Protokoll, das Informationen zu diesem Vorgang umfasst. Dies sind insbesondere Informationen darüber, welches Datenmuster erkannt wurde – beispielsweise der Name eines Computervirus – , zu welchem Zeitpunkt das Datenmuster erkannt wurde und von welchem Angriffsrechner die eingehenden Angriffsdatenpakete ADP übermittelt wurden. Somit kann kommunikationseinrichtungs-spezifisch ermittelt werden, welche Angriffe auf ein jeweiliges IP-Telefon, wie häufig diese Angriffe und von welchen Quellen diese Angriffe durchgeführt werden.
- Analog zu Szenario 1 kann der Server S mittels der Ausleseeinheit AE zyklisch und periodisch diese gespeicherten Kommunikationsinformationen von den jeweiligen IP-Telefonen, insbesondere dem ersten IP-Telefon EG1 abfragen und in der Serverdatenbank SDB ablegen. Nach Speicherung in der Serverdatenbank SDB stehen die Kommunikationsinformationen von allen, derartig abgefragten IP-Telefonen im Kommunikationssystem für eine Auswertung durch die Auswertungskonsole AK oder durch den Benachrichtigungsdienst BD zur Verfügung. Über die Auswertungskonsole AK kann insbesondere statistisch über alle IP-Telefone im Kommunikationssystem ermittelt werden, welche Art von Angriffen auf das Kommunikationssystem durchgeführt wird, auf welche Endgeräte Angriffe durchgeführt werden und über welche Kommunikationspfade diese Angriffe geleitet werden. Dabei ist insbesondere relevant, über welche Firewall ein Angriff durchgeleitet worden ist.
- Die Auswertung kann unter Beachtung vorgegebener Häufigkeits-Schwellwerte durchgeführt werden. Sofern eine Erhöhung der Anzahl von Angriffen zu erkennen ist, kann beispielsweise durch den Benachrichtigungsdienst BD ein Alarm an einen Operator des Kommunikationssystems ausgelöst werden. Auf diese Weise lässt sich beispielsweise eine Denial-Of-Service-Attacke erkennen, bei der üblicherweise in kurzen Zeitabständen eine hohe Anzahl an eingehenden Datenpakten empfangen wird. Weiterhin kann der Benachrichtigungsdienst BD einen Sicherheitsreport erstellen und/oder eine Softwareaktualisierung beim Hersteller des IP-Telefons oder der Firewall im Kommunikationssystem auslösen. Weiterhin kann bei wiederholten Angriffen auf ein spezifisches IP-Telefon durch den Server S eine Neuregistrierung dieses IP-Telefons durchge führt werden, so dass diesem eine neue Kommunikationsadresse, insbesondere IP-Adresse und/oder Port-Nummer, zugewiesen wird. Weiterhin kann als Maßnahme gegen Angriffe durch den Server S dem IP-Telefon mittels einer Konfigurierungsmeldung mitgeteilt werden, die Kommunikation auf einem weiteren Port durchzuführen und den bestehenden Port zu deaktivieren.
- In einer Erweiterung des Gedankens des zweiten Szenarios können im Gegensatz zur Analyse von Angriffen lediglich Statistikinformationen zu den unterstützen Protokollen in den jeweiligen IP-Telefonen durch die jeweiligen Detektionseinrichtungen ermittelt werden. Als Datenmusterinformationen kommen hierbei beispielsweise alle erlaubten Protokollelemente eines Protokollstandards in Betracht. Neben einer reinen statistischen Auswertung dieser Informationen – beispielsweise für die Ermittlung der Nutzungshäufigkeit von Leistungsmerkmalen -, können dadurch auch Fehleranalysen bezüglich Fehlfunktionen der jeweiligen IP-Telefone erleichtert werden.
- In den beiden Szenarien ist insbesondere vorteilhaft, dass eine umfassende, kommunikationssystem-weite Analyse von eingehender Kommunikation im Kommunikationssystem zu IP-Telefonen durchgeführt werden kann. Dabei ist insbesondere vorteilhaft, dass spezifisch für ein jeweiliges IP-Telefon durch die Detektionseinrichtung unterschiedliche Regeln zur Erfassung der Kommunikationsinformationen angewendet werden können. Somit ist es möglich eine unterschiedliche Granularität der Analyse der eingehenden Kommunikation je Kommunikationseinrichtung zu ermöglichen.
- Vorteilhafterweise wird der Server S in bestehende Infrastruktur integriert. Dies ist beispielsweise ein Lizenzserver für die IP-Telefone oder ein Gatekeeper zur Durchführung von Leistungsmerkmalen der IP-Telefone. Durch die Integration der erfindungsgemäßen Servereinrichtung in einen bestehenden Serverrechner kann vorteilhafter Weise eine Veränderung der Netzwerk-Infrastruktur vermieden werden.
- In einer Weiterbildung können die Ermittlungs-, Erfassungs-, Prüf- und Speicherungsschritte in der Detektionseinrichtung durch einen unabhängigen Prozess oder durch einen eigenständigen Prozessor unabhängig von der Verarbeitung der eingehenden Kommunikation in der Kommunikationseinrichtung durchgeführt werden. Dies ist insofern vorteilhaft, als dass dadurch garantiert werden kann, dass die Analyse des eingehenden Datenstroms keinerlei Auswirkung auf die Funktionalität der Kommunikationseinrichtung hat. Eine Blockierung der Kommunikationseinrichtung durch die Integration einer Detektionseinrichtung kann somit verhindert werden.
- Vorteilhafterweise kann die Detektionseinrichtung DE auf mehrere bzw. alle Protokollschichten einer eingehenden Kommunikation im Rahmen der Ermittlung der Kommunikationsinformation zugreifen und die Kommunikationsinformation aus einer oder mehrerer dieser Protokollschichten ermitteln. Somit wird ermöglicht Datenmuster beispielsweise auf Transportebene und/oder auf Applikationsebene definieren zu können und auf Übereinstimmung überprüfen zu können. Weiterhin lassen sich auch datenpaketübergreifende Datenmuster definieren und abprüfen, wobei die Detektionseinrichtung DE zu diesem Zweck eingehende Datenpakete temporär speichern kann, um mehrere Datenpakete gemeinsam überprüfen zu können.
- Im Zusammenhang mit einer Überprüfung der Funktionalität eines IP-Telefons im realen Einsatz ist es insbesondere vorteilhaft zusätzlich zur Kommunikationsinformation auch Informationen der Telefonfunktionseinrichtung TF des ersten IP-Telefons EG1 zu speichern. Diese sind insbesondere Zustände und/oder Zustandsübergänge der Kommunikationsendeinrichtung. Mit diesen Informationen kann einem Servicepersonal deutlich erleichtert werden, einen Fehler in einem bestehenden IP-Telefon zu finden und zu korrigieren.
- Zur Bekanntgabe der IP-Telefone beim Server S, um später mittels Abfragemeldungen A die Kommunikationsinformation aus den IP-Telefonen abzufragen, kann es erforderlich sein, dass sich die IP-Telefone im Kommunikationssystem bei dem Server S oder einem weiteren Server registrieren, dass diese beim Server S konfiguriert sind oder dass der Server S mittels Polling die zu überwachenden IP-Telefone selbständige ermittelt. Alternativ zu dieser Ausgestaltung kann der Server S auch passiv bleiben und die jeweiligen IP-Telefone senden selbständig nach einem vorgegebenen Zeit- oder Verfahrensmuster die Kommunikationsinformationen an den Server S. In diesem Fall sollte die Adresse des Servers S den jeweiligen IP-Telefonen bekannt sein, damit diese Meldungen an den Server S absetzen können. Die Übermittlung der Kommunikationsinformationen durch die jeweilige Kommunikationseinrichtung ist hierbei insofern vorteilhaft, als dass dadurch schneller auf kritische Aktionen im Kommunikationssystem reagiert werden kann als bei regelmäßigem Abfragen durch den Server S.
- In
2 wird in einem Meldungsflussdiagramm ein Austausch von Meldungen und/oder Daten zum und vom ersten IP-Telefon EG1 veranschaulicht. Im Meldungsflussdiagramm ist eine zeitliche Achse von oben nach unten angetragen. Meldungen werden als gerichtete Pfeile mit der Pfeilspitze bei einem Empfänger einer jeweiligen Meldung dargestellt. Die in2 betrachteten Kommunikationspartner sind das erste IP-Telefon EG1 mit seinen Komponenten Telefonfunktionseinrichtung TF und Detektionseinrichtung DE, das zweite IP-Telefon EG2 und der Angriffsrechner AR, wobei diese Komponenten horizontal nebeneinander angeordnet sind und im Rahmen der Veranschaulichung des Meldungsverkehrs als vertikale Linie dargestellt sind. - Meldungen gemäß dem SIP-Protokoll werden in
2 mit dem Buchstaben M und einer fortlaufenden Nummer bezeichnet. Zusätzlich wird teilweise eine mögliche Meldungsnummer analog dem SIP-Protokoll angegeben und ein Name der Meldung. Meldungen im Rahmen des Verbindungsaufbaus und Meldungen während der aufgebauten Nutzdatenverbindung sind durch eine gestrichelte Linie voneinander getrennt, wobei der Zeitraum bei aufgebauter Nutzdatenverbindung mit schraffierten Schrägstrichen hinterlegt ist. - Im Folgenden wird anhand
2 ein Meldungsverkehr erörtert, wobei das Verhalten der Detektionseinrichtung DE aufgrund des Meldungsverkehrs unter Zuhilfenahme des in3 dargestellten Ablaufdiagramms veranschaulicht wird. -
2 veranschaulicht einen Verbindungsaufbau gemäß dem SIP-Protokoll, initiiert von der Telefonfunktionseinrichtung TF des ersten IP-Telefons EG1 mittels einer so genannten Invite-Meldung M1 zum zweiten IP-Telefon EG2. Das zweite IP-Telefon EG2 signalisiert einem Benutzer optisch und/oder akustisch einen eingehenden Ruf und bestätigt dies der Telefonfunktionseinrichtung TF durch Senden einer so genannten Ringing-Meldung M2 mit der SIP-Meldungsnummer 180. In2 wird vorausgesetzt, dass der Benutzer des zweiten IP-Telefons EG2 die Verbindung annimmt, worauf daraufhin eine so genannte OK-Meldung M3 mit der SIP-Meldungsnummer 200 zur Telefonfunktionseinrichtung TF übermittelt wird. Der Eingang der OK-Meldung M3 wird durch die Telefonfunktionseinrichtung TF mittels einer Bestätigungsmeldung M4, auch ACK genannt, dem zweiten IP-Telefon EG2 signalisiert. Anschließend wird die Nutzdatenverbindung zwischen der Telefonfunktionseinrichtung TF und dem zweiten IP-Telefon EG2 aufgebaut. - Alle der genannten SIP-Meldungen M1 bis M4 passieren jeweils die Detektionseinrichtung DE. Dies ist in
2 dadurch veranschaulicht, dass die Meldungen jeweils die Linie der Detektionseinrichtung DE durchkreuzen. Die Detektionseinrichtung DE verlässt bei Ein- bzw. Durchgang einer Meldung ihren Ruhezustand – Zustand1 in3 – und analysiert, um welche Art von Datenverkehr es sich handelt – Abfrage2 in -
3 . In diesem Fall handelt es sich um SIP-Protokollelemente, wobei im vorliegenden Ausführungsbeispiel angenommen wird, dass die Detektionseinrichtung DE für die Meldungen M1 bis M4 keine Überwachungsregeln definiert hat und diese Meldungen somit nicht weiter beachtet werden. Es wird deshalb in3 ausgehend von der Abfrage2 der Pfad „eingehende Kommunikation ist anderes SIP-Datenpaket" durchlaufen, der in den Ruhezustand1 mündet. - Im Folgenden ist nun die Nutzdatenverbindung zwischen dem ersten IP-Telefon EG1 und dem zweiten IP-Telefon EG2 aufgebaut, wobei während der bestehenden Nutzdatenverbindung nacheinander zwei Leistungsmerkmale vom Benutzer des zweiten IP-Telefons EG2 ausgelöst werden. Ein Leistungsmerkmal ist beispielsweise das Einleiten einer Konferenzschaltung zwischen mehreren Kommunikationsendeinrichtungen oder ein Weiterleiten der Verbindung zu einer weiteren Kommunikationsendeinrichtung, wobei im Folgenden die Leistungsmerkmale abstrakt als erstes Leistungsmerkmal LM1 und als zweites Leistungsmerkmal LM2 bezeichnet werden.
- Durch das zweite IP-Telefon EG2 wird mittels einer Meldung M5 eine Aktivierung des ersten Leistungsmerkmals LM1 initiiert und zur Telefonfunktionseinrichtung TF übermittelt. Der Meldung M5 ist in
2 die Bezeichnung ACT_LM1 zugeordnet, sowie die SIP-Meldungsnummer 743. Bei Durchlauf der Meldung M5 bei der Detektionseinrichtung DE zum Zeitpunkt T1 verlässt diese ihren Ruhezustand1 , erkennt im Schritt2 , dass es sich bei der eingehenden Kommunikation um ein zu überwachendes SIP-Datenpaket handelt und speichert die SIP-Meldungsnummer 743 in einem temporären Speicher – Aktion3 in3 . Ein Zeitgeber wird gestartet – Aktion4 – und bis zum Ablauf des Zeitgebers wird der rücklaufende Meldungsverkehr von der Telefonfunktionseinrichtung TF zum zweiten IP-Telefon EG2 analysiert – Abfrage5 . - Das erste IP-Telefon EG1 unterstützt das erste Leistungsmerkmal LM1 und antwortet auf die Meldung M5 mit einer Quittungsmeldung M6, ACK_LM1, mit der SIP-Meldungsnummer 744. Bei Durchlauf der Quittungsmeldung M6 zum Zeitpunkt T2 sei die Zeitdifferenz Δt1 verstrichen, wobei diese Zeitdifferenz Δt1 kürzer als die Zeitgeber-Zeitdauer sei. Die Detektionseinrichtung DE erkennt die empfangene Quittungsmeldung M6 als Quittung zur Meldung M5 und erkennt weiterhin, dass die Zeitgeber-Zeitdauer noch nicht abgelaufen ist – Abfrage
5 . Daraufhin löscht sie den temporären Speicher – Aktion7 – und geht zurück in den Ruhezustand1 . - Bei einer Aktivierung eines weiteren Leistungsmerkmals, das zweite Leistungsmerkmal LM2, sei angenommen, dass das erste IP-Telefon EG1 einen Softwarestand besitzt, der dieses zweite Leistungsmerkmal LM2 nicht kennt und nicht umsetzen kann. Analog zu Meldung M5 übermittelt nun das zweite IP-Telefon EG2 eine Meldung M7 für eine Aktivierung des zweiten Leistungsmerkmals LM2 zur Telefonfunktionseinrichtung TF. Der Meldung M7 ist in
2 die Bezeichnung ACT_LM2, sowie die SIP-Meldungsnummer 789 zugeordnet. Bei Durchlauf der Meldung M7 bei der Detektionseinrichtung DE zum Zeitpunkt T3 verlässt diese ihren Ruhezustand1 , erkennt im Schritt2 , dass es sich bei der eingehenden Kommunikation um ein zu überwachendes SIP-Datenpaket handelt und speichert die SIP-Meldungsnummer 789 in einem temporären Speicher – Aktion3 in3 . Ein Zeitgeber wird gestartet – Aktion4 – und bis zum Ablauf des Zeitgebers wird der rücklaufende Meldungsverkehr von der Telefonfunktionseinrichtung TF zum zweiten IP-Telefon EG2 analysiert – Abfrage5 . Die Telefonfunktionseinrichtung TF erhält die Meldung M7 zum Zeitpunkt T4, aber kennt diese Meldung M7 nicht und kann auf diese Meldung M7 nicht reagieren. Es wird keinerlei Quittung übermittelt – weder eine positive noch eine negative Quittung. Nach Ablauf des Zeitgebers nach einer Zeitdauer Δt2 geht zum Zeitpunkt T5 die Detektionseinrichtung DE vom Abfragezustand5 zur Aktion6 über, in der sie das nicht quittierte, temporär gespeicherte Protokollelement im Endgerätespeicher EGDB permanent speichert und für eine Auswertung durch den Server S zur Verfügung stellt. Aktion6 folgend kann durch die Detektionseinrichtung DE der temporäre Speicher gelöscht werden – Aktion7 – und der Ruhezustand1 eingenommen werden. - Anhand der Meldung M1 bis M7 wurde vorstehend erläutert, wie die Detektionseinrichtung DE erwünschten SIP-Datenverkehr analysieren kann. Im Folgenden wird darüber hinaus das Eingehen einer unerwünschten Kommunikation veranschaulicht. Hierbei wird von dem Angriffsrechner AR das Angriffsdatenpaket ADP zum ersten IP-Telefon EG1 übermittelt. Das Angriffsdatenpaket ADP trifft zu einem Zeitpunkt T6 bei der Detektionseinrichtung DE ein und wird zur Telefonfunktionseinrichtung TF weitergeleitet, wo es zu einem Zeitpunkt T7 eintrifft. Bei Erhalt des Angriffsdatenpakets ADP verlässt die Detektionseinrichtung DE ihren Ruhezustand
1 , analysiert das Angriffsdatenpakets ADP – Abfrage2 – und kategorisiert dieses als Nicht-SIP-Datenpaket. Daraufhin erfolgt ein Wechsel zum Abfragezustand8 , indem geprüft wird, ob es sich bei dem Datenpaket um ein übliches Datenpaket im IP-Verkehr handelt, dass nicht gesondert beachtet werden muss. Dies ist beispielsweise eine so genannte Ping-Anfrage oder eine Konfigurationsmeldung an das erste IP-Telefon EG1. Ist dies der Fall, wechselt die Detektionseinrichtung DE ohne weitere Aktion zurück in seinen Ruhezustand1 . - Ist dies nicht der Fall, so wird in der Abfrage
9 ein Mustervergleich durchgeführt, der das eingehende Datenpaket mit bekannten Virenmustern und bekannten weiteren Angriffsmustern aus dem Endgerätespeicher EGDB vergleicht. Wird keinerlei Übereinstimmung festgestellt, geht die Detektionseinrichtung DE in den Ruhezustand1 zurück, da das eingehende Datenpaket entweder keinen Angriff auf das erste IP-Telefon EG1 darstellt oder einen Angriff darstellt, für den kein Vergleichsmuster als Datenmusterinformation vorgegeben ist. Wird dagegen Übereinstimmung beim Mustervergleich festgestellt, wird eine Information über das eingehende Muster oder das Muster selbst zusammen mit weiteren Informationen wie die aktuelle Uhrzeit und das aktuelle Datum in einer Protokolldatei im Endgerätespeicher EGDB abgespeichert- Aktion10 . Anschließend geht die Detektionseinrichtung DE in den Ruhezustand1 über. - Mittels der genannten Meldungen und Zustandsübergänge verdeutlichen die
2 und3 , auf welche Weise durch die Erfindung eingehender Datenverkehr bei einer Kommunikationsendeinrichtung überwacht und mitprotokolliert werden kann und einer zentralen Servereinrichtung zur weitergehenden Auswertung zur Verfügung gestellt werden kann. Dabei erlaubt die Erfindung die Auswertung, ob ein spezifischer Datenverkehr, welche Art von Datenverkehr und wie häufig der Datenverkehr bei der Kommunikationsendeinrichtung eingetroffen ist. Im Rahmen der Auswertung können Fehler in den Sicherheitsregeln des Kommunikationsnetzwerks und/oder von Kommunikationsendeinrichtungen ohne manuelle Einbeziehung von Benutzern der Kommunikationsendeinrichtungen erkannt werden. Weiterhin kann eine fehlende Implementierung von Leistungsmerkmalen oder Protokollelementen in der Kommunikationsendeinrichtung offengelegt und erkannt werden. Fehlende Implementierungen oder Fehler in den Sicherheitsregeln können derart ausgewertet werden, dass basierend auf der Auswertung Software-Korrekturen für die Kommunikationsendeinrichtung oder einer Firewall im Kommunikationssystem automatisiert angestoßen werden und eventuell automatisiert installiert werden können. - Die Erfindung erlaubt auf diese Weise insbesondere eine Analyse von Kommunikationsproblemen zwischen Kommunikationseinrichtungen im realen Betrieb. Dies ist insofern vorteilhaft, als dass in üblichen Kommunikationssystemen häufig eine Vielzahl von verschiedenen Kommunikationseinrichtungen oder eine Vielzahl von gleichen Kommunikationseinrichtungen aber mit unterschiedlichen Softwareständen und unterschiedlicher Protokoll-Unterstützung vorhanden sein kann. Somit können Probleme von Kommunikationseinrichtungen in realen Installationen schnell lokalisiert und korrigiert werden.
- Die Auswertung von SIP-Leistungsmerkmalen ist insbesondere vorteilhaft, als dass SIP-Kommunikationseinrichtungen üblicherweise, wenn sie ein eingehendes SIP-Protokollelement nicht erkennen oder nicht unterstützen, keine Quittung an den Kommunikationspartner zurückschicken und somit Protokollelemente und/oder Anforderungen unbestätigt bleiben. Dies kann mittels der Erfindung im Rahmen der Auswertung erkannt werden.
- Vorteilhafterweise werden die Datenmusterinformationen regelmäßig eingespielt oder aktualisiert, so dass die Detektionseinrichtung auf einen aktuellen Stand an Vergleichsmustern zurückgreifen kann. Vorteilhafterweise werden bei Einspielen von Datenmusterinformationen, beim Abfragen und/oder beim Übermitteln von gespeicherten Kommunikationsinformationen gesicherte Mechanismen wie Verschlüsselung oder Sicherung mittels elektronischer Zertifikate eingesetzt, um eine unerlaubte Überwachung oder Abfrage der Kommunikationseinrichtung von Unberechtigten zu verhindern.
- Die Datenmusterinformation kann vorzugsweise in einer Beschreibungssprache, wie beispielsweise XML (Extensible Markup Language), definiert werden, vorteilhafterweise Wildcards verwenden, so dass die Datenmusterinformation auf wenige, prägnante Vergleichsmuster beschränkt werden kann und ein byteweiser Vergleich langer Byte-Folgen vermieden werden kann. Weiterhin kann mittels der Datenmusterinformation auch definiert werden, welches der Satz der erlaubten oder bekannten Protokollelemente ist und ein Erkennen eines unbekannten Protokollelements als positives Prüfergebnis im Sinne der Erfindung gewertet werden.
- Bei der Definition der Datenmusterinformation als ein Adressbereich im IP-Netzwerk lässt sich die eingehende Kommunikati on ausgehend von einer Adresse außerhalb eines vorgegebenen Adressbereichs gesondert auswerten. Dies ist insofern vorteilhaft, als dass die Kommunikationseinrichtungen in einem Kommunikationssystem häufig bestimmten Adressbereichen zugewiesen werden und somit eine eingehende Kommunikation von außerhalb dieses Adressbereichs einen potentieller Angreifer darstellen kann. Die Datenmusterinformation kann hierbei beispielsweise die so genannte Netmask eines IP-Adressbereichs sein.
Claims (18)
- Verfahren zur Auswertung einer über eine Anschlussleitung (AL) eingehenden Kommunikation (V, ADP, M5, M7) an einer Kommunikationseinrichtung (EG1), wobei a. eine aus der eingehenden Kommunikation (V, ADP, M5, M7) auslesbare oder ermittelbare Kommunikationsinformation durch eine, zwischen der Anschlussleitung (AL) und der Kommunikationseinrichtung (EG1) gekoppelte, der Kommunikationseinrichtung (EG1) eineindeutig zugeordnete Detektionseinrichtung (DE) erfasst wird, b. durch die Detektionseinrichtung (DE) eine fehlende oder fehlerhafte Implementierung von Protokollelementen in der Kommunikationseinrichtung (EG1) dadurch erkannt werden, indem geprüft wird, i. ob die erfasste Kommunikationsinformation mit einer vorgebbaren Datenmusterinformation übereinstimmt und/oder ii. ob eine durch die eingehende Kommunikation (V, ADP, M5, M7) auszulösende Antwortmeldung (M6) von der Kommunikationseinrichtung (EG1) über die Anschlussleitung (AL) ausbleibt, c. bei einem positiven Prüfergebnis die erfasste Kommunikationsinformation gespeichert wird, d. die gespeicherte Kommunikationsinformation im Rahmen einer zentralen, durch eine Servereinrichtung (S) vorgenommenen Auswertung ausgelesen wird, e. es sich bei der eingehenden Kommunikation (V, ADP, M5, M7) um eine Echtzeit-Verbindung (V, M5, M7) zur Sprach-Kommunikation handelt.
- Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch die Servereinrichtung (S) weitere Kommunikationsinformationen von mindestens einer weiteren, an eine weitere Kommunikationseinrichtung eineindeutig gekoppelte Detektionseinrichtung ausgelesen werden.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Detektionseinrichtung (DE) in die Kommunikationseinrichtung (EG1) integriert ist oder als eigenständige, an eine Anschlussschnittstelle der Kommunikationseinrichtung (EG1) gekoppelte Einrichtung ausgestaltet ist.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Detektionseinrichtung (DE) die eingehende Kommunikation (V, ADP, M5, M7) unverändert von der Anschlussleitung (AL) an die Kommunikationseinrichtung (EG1, TF) weiterleitet.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ausgelöst durch einen Empfang der eingehenden Kommunikation (V, ADP, M5, M7) in der Detektionseinrichtung (DE) ermittelt wird, – mittels welchen Netzprotokolls die eingehende Kommunikation (V, ADP, M5, M7) transportiert wird, und/oder – welches Kommunikationsprotokoll bei der eingehenden Kommunikation (V, M5, M7) für eine Medienübertragung eingesetzt wird, und/oder – an welche Zieladresse und/oder welchen Ziel-Port der Kommunikationseinrichtung (EG1) die eingehende Kommunikation (V, ADP, M5, M7) gesendet wird, und/oder – von welcher Absendeadresse die eingehende Kommunikation (V, ADP, M5, M7) ausgesendet wurde, und/oder – über welchen Kommunikationspfad die eingehende Kommunikation (V, ADP, M5, M7) zur Kommunikationseinrichtung (EG1) geleitet wird, und/oder – über welche Firewall-Einrichtung die eingehende Kommunikation (V, ADP, M5, M7) geleitet wird, und/oder – an welchem Datum und zu welcher Uhrzeit die eingehende Kommunikation (V, ADP, M5, M7) eintrifft, und/oder – mit welcher Antwortmeldung (M6) die Kommunikationseinrichtung (EG1) auf die eingehende Kommunikation (V, ADP, M5, M7) reagiert, und/oder – welches Protokollelement eines Kommunikationsprotokolls mittels der eingehenden Kommunikation (V, M5, M7) übermittelt wird und/oder welches Leistungsmerkmal mittels der eingehenden Kommunikation (V, M5, M7) durch die Kommunikationseinrichtung (EG1) aktiviert werden soll und daraus die Kommunikationsinformation gebildet wird und/oder eine Zusatzinformation gebildet wird, die zusammen mit der Kommunikationsinformation gespeichert und durch die Servereinrichtung (S) ausgelesen wird.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Datenmusterinformation (DE) ein Abbild oder ein Muster einer zu erkennenden Kommunikation (V, ADP, M5, M7) darstellt und ein Erkennen eines Vorhandenseins und/oder eines Fehlens der Datenmusterinformation in der erfassten Kommunikationsinformation als positives Prüfergebnis der Prüfung auf Übereinstimmung zwischen Kommunikationsinformation und Datenmusterinformation gewertet wird.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass – die Datenmusterinformation, und/oder – Regeln zur Ermittlung der Kommunikationsinformation, und/oder – Regeln zur Prüfung auf Übereinstimmung der Kommunikationsinformation mit der Datenmusterinformation in einem der Erfassung der Kommunikationsinformation vorausgehenden Verfahrensschritt zur Detektionseinrichtung (DE) übermittelt werden.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gespeicherte Kommunikationsinformation zusammen mit weiteren, gespeicherten Kommunikationsinformationen in zeitlichen Abständen zur Servereinrichtung (S) übertragen oder von dieser abfragt werden.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch die Servereinrichtung (S) wiederholt und automatisch Auswertungen über die gespeicherten Kommunikationsinformationen durchgeführt werden.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch die Servereinrichtung (S) Statistik-Informationen über die gespeicherten Kommunikationsinformationen ermittelt werden.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Datenmusterinformation Protokollelemente eines Kommunikationsprotokolls umfasst.
- Verfahren nach Anspruch 11, dadurch gekennzeichnet, dass es sich bei dem Kommunikationsprotokoll um SIP und/oder um H.323 handelt.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch die Servereinrichtung (S) für einen Zeitraum eine Häufigkeitsstatistik für die gespeicherte, mit der Datenmusterinformation übereinstimmende Kommunikationsinformation erstellt wird.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch die Servereinrichtung (S) eine Abwehrinformation an die Detektionseinrichtung (DE) übermittelt wird und daraufhin durch die Detektionseinrichtung (DE) ein in der Abwehrinformation angegebener Port gesperrt wird und/oder ein durch die Abwehrinformation spezifizierter Kommunikationsblock der eingehenden Kommunikation (ADP) ausgefiltert wird.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch die Servereinrichtung (S) im Rahmen der zentralen Auswertung eine Aktion angelöst wird, und die Aktion – als Alarm, und/oder – als Erstellung eines Sicherheits-Reports, und/oder – als Bereitstellung von Analyse-Daten für eine weitergehende Analyse, und/oder – als Auslösen einer Rechteaktualisierung bei einer Firewall, und/oder – als Auslösen einer Firmware- und/oder Software-Aktualisierung bei der Kommunikationseinrichtung (EG1), und/oder – als Sperren einer Funktion, eines Leistungsmerkmals und/oder eines Ports der Kommunikationseinrichtung (EG1), und/oder – als Sperren, Inaktivieren, Herunterfahren, Deregistrieren der Kommunikationseinrichtung (EG1), und/oder – als Neuvergeben einer Adresse und/oder eines Ports der Kommunikationseinrichtung (EG1) für weitere, eingehende Kommunikation, und/oder – als Ermittlung der die eingehende Kommunikation (V, ADP, M5, M7) sendende Sender-Kommunikationseinrichtung (EG2, AR) ausgestaltet ist.
- Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Kommunikationseinrichtung (EG1) und weitere Kommunikationseinrichtungen – bei der Servereinrichtung (S) konfiguriert sind, und/oder – sich selbst mittels Registriermeldungen bei der Servereinrichtung (S) registrieren, und/oder – durch die Servereinrichtung (S) mittels Senden von Abfragen an Einrichtungen innerhalb eines Adressbereichs und Erhalt dadurch ausgelöster, zugehöriger Quittungen erkannt und daraufhin registriert werden.
- Detektionseinrichtung (DE) zur Auswertung einer über eine Anschlussleitung (AL) eingehenden Kommunikation (V, ADP, M5, M7) an einer Kommunikationseinrichtung (EG1), dadurch gekennzeichnet, dass Mittel zur Durchführung des Verfahrens gemäß einem der vorhergehenden Verfahrensansprüche vorgesehen sind.
- Servereinrichtung (S) zur Auswertung einer über eine Anschlussleitung (AL) eingehenden Kommunikation (V, ADP, M5, M7) an einer Kommunikationseinrichtung (EG1), dadurch gekennzeichnet, dass Mittel zur Durchführung des Verfahrens gemäß einem der vorhergehenden Verfahrensansprüche vorgesehen sind.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005055148A DE102005055148B4 (de) | 2005-11-18 | 2005-11-18 | Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung |
CNA2006800429449A CN101326786A (zh) | 2005-11-18 | 2006-10-16 | 用于分析进入通信装置的通信的方法、检测装置和服务器装置 |
EP06807286A EP1949647A1 (de) | 2005-11-18 | 2006-10-16 | Verfahren, detektionseinrichtung und servereinrichtung zur auswertung einer eingehenden kommunikation an einer kommunikationseinrichtung |
US12/085,097 US7746792B2 (en) | 2005-11-18 | 2006-10-16 | Method, detection device and server device for evaluation of an incoming communication to a communication device |
PCT/EP2006/067427 WO2007057267A1 (de) | 2005-11-18 | 2006-10-16 | Verfahren, detektionseinrichtung und servereinrichtung zur auswertung einer eingehenden kommunikation an einer kommunikationseinrichtung |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005055148A DE102005055148B4 (de) | 2005-11-18 | 2005-11-18 | Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102005055148A1 DE102005055148A1 (de) | 2007-05-24 |
DE102005055148B4 true DE102005055148B4 (de) | 2008-04-10 |
Family
ID=37654906
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102005055148A Expired - Fee Related DE102005055148B4 (de) | 2005-11-18 | 2005-11-18 | Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung |
Country Status (5)
Country | Link |
---|---|
US (1) | US7746792B2 (de) |
EP (1) | EP1949647A1 (de) |
CN (1) | CN101326786A (de) |
DE (1) | DE102005055148B4 (de) |
WO (1) | WO2007057267A1 (de) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070300304A1 (en) * | 2006-06-26 | 2007-12-27 | Nokia Corporation | SIP washing machine |
EP2112803B1 (de) * | 2008-04-22 | 2013-12-18 | Alcatel Lucent | Angriffsschutz für paketbasierte Netzwerke |
US8321926B1 (en) * | 2008-12-02 | 2012-11-27 | Lockheed Martin Corporation | System and method of protecting a system that includes unprotected computer devices |
US8526306B2 (en) * | 2008-12-05 | 2013-09-03 | Cloudshield Technologies, Inc. | Identification of patterns in stateful transactions |
JP2011199847A (ja) * | 2010-02-25 | 2011-10-06 | Ricoh Co Ltd | 会議システムの端末装置、会議システム |
US20110307541A1 (en) * | 2010-06-10 | 2011-12-15 | Microsoft Corporation | Server load balancing and draining in enhanced communication systems |
KR101107739B1 (ko) * | 2010-08-03 | 2012-01-20 | 한국인터넷진흥원 | VoIP 네트워크의 비정상 SIP 트래픽 탐지 시스템 및 그 탐지 방법 |
US8953471B2 (en) * | 2012-01-05 | 2015-02-10 | International Business Machines Corporation | Counteracting spam in voice over internet protocol telephony systems |
CN105722226A (zh) * | 2012-06-26 | 2016-06-29 | 电信科学技术研究院 | 一种数据处理方法、装置及系统 |
US11196611B1 (en) * | 2017-08-24 | 2021-12-07 | National Technology & Engineering Solutions Of Sandia, Llc | Systems and methods for electronic communication with a device using an unknown communications protocol |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10226744A1 (de) * | 2002-06-14 | 2004-01-15 | T-Mobile Deutschland Gmbh | Content- und Security Proxy in einem Mobilkommunikationssystem |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
IL152502A0 (en) | 2000-04-28 | 2003-05-29 | Internet Security Systems Inc | Method and system for managing computer security information |
US7254832B1 (en) * | 2000-08-28 | 2007-08-07 | Nortel Networks Limited | Firewall control for secure private networks with public VoIP access |
JP3593039B2 (ja) * | 2001-01-22 | 2004-11-24 | 松下電器産業株式会社 | 誤り及び同期検出装置並びに方法 |
CA2465127A1 (en) * | 2001-11-16 | 2003-05-30 | Cetacea Networks Corporation | Method and system for detecting and disabling sources of network packet flooding |
US20040111632A1 (en) | 2002-05-06 | 2004-06-10 | Avner Halperin | System and method of virus containment in computer networks |
US7716725B2 (en) | 2002-09-20 | 2010-05-11 | Fortinet, Inc. | Firewall interface configuration and processes to enable bi-directional VoIP traversal communications |
US7228564B2 (en) * | 2003-07-24 | 2007-06-05 | Hewlett-Packard Development Company, L.P. | Method for configuring a network intrusion detection system |
BRPI0417358B1 (pt) * | 2003-12-05 | 2018-12-11 | Blackberry Ltd | aparelho e método para controlar tráfego não-solicitado destinado a um dispositivo de comunicação sem fio |
JP4616020B2 (ja) * | 2005-01-27 | 2011-01-19 | 富士通株式会社 | ネットワーク監視プログラム及びネットワークシステム |
JP4454516B2 (ja) * | 2005-02-16 | 2010-04-21 | 富士通株式会社 | 障害検出装置 |
US7486625B2 (en) * | 2005-07-01 | 2009-02-03 | Net Optics, Inc. | Communications network tap with link fault detector |
-
2005
- 2005-11-18 DE DE102005055148A patent/DE102005055148B4/de not_active Expired - Fee Related
-
2006
- 2006-10-16 CN CNA2006800429449A patent/CN101326786A/zh active Pending
- 2006-10-16 EP EP06807286A patent/EP1949647A1/de not_active Withdrawn
- 2006-10-16 US US12/085,097 patent/US7746792B2/en not_active Expired - Fee Related
- 2006-10-16 WO PCT/EP2006/067427 patent/WO2007057267A1/de active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10226744A1 (de) * | 2002-06-14 | 2004-01-15 | T-Mobile Deutschland Gmbh | Content- und Security Proxy in einem Mobilkommunikationssystem |
Also Published As
Publication number | Publication date |
---|---|
WO2007057267A1 (de) | 2007-05-24 |
EP1949647A1 (de) | 2008-07-30 |
US20090252029A1 (en) | 2009-10-08 |
US7746792B2 (en) | 2010-06-29 |
CN101326786A (zh) | 2008-12-17 |
DE102005055148A1 (de) | 2007-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102005055148B4 (de) | Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung | |
EP2005699B1 (de) | Verfahren für lawful interception bei anrufweiterschaltung in einem paketorientierten telekommunikationsnetz | |
EP1726178B1 (de) | Verfahren zur Steuerung und Auswertung eines Nachrichtenverkehrs einer Kommunikationseinheit durch eine erste Netzwerkeinheit innerhalb eines Mobilfunksystems, sowie dazugehörige Kommunikationseinheit und erste Netzwerkeinheit | |
DE102005020098B4 (de) | Verfahren und System zum Zuweisen von Teilnehmeridentifizierungsdaten zu Netzwerkübertragungsereignissen und Computerprogrammprodukt | |
DE112011103876T5 (de) | Bewertung des besten Pfades auf der Grundlage der Zuverlässigkeit von Netzwerkschnittstellenschichten | |
DE102005020088A1 (de) | Verfahren und Systeme für eine koordinierte Überwachung von Netzwerkübertragungsereignissen | |
WO2007039348A1 (de) | Verfahren und anordnung zur verifikation einer im zuge einer verbindungsanfrage zum zweck des aufbaus einer kommunikationsverbindung übermittelten absenderadresse in einem ip-kommunikationsnetzwerk | |
EP1495611B1 (de) | Repräsentation bool'scher ausdrücke zur spezifikation von filtern mittels xml | |
EP3799379B1 (de) | Verfahren und ip-basiertes kommunikationssystem zum wechseln von verbindungs-steuerungsinstanzen ohne neuregistrierung von endteilnehmern | |
DE102016206739A1 (de) | Systeme und Verfahren zum Absichern einer Remotekonfiguration | |
DE112017001052T5 (de) | Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung | |
DE102019210224A1 (de) | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk | |
EP1400063B1 (de) | Fehlertoleranter verbindungstest | |
WO2006097429A1 (de) | Protokollerweiterung einer iri-informationsnachricht für gesetzliches abhören | |
DE112012002977T5 (de) | Dienstüberwachungssystem mit erweiterbarer Dienstdefinitionssprache | |
EP1618704B1 (de) | Verfahren und steuerungsprogramm zum betrieb eines kommunikationsendgeräts für paketorientierte datenübermittlung | |
DE102016206741A1 (de) | Systeme und Verfahren zum Absichern einer Remote-Konfiguration | |
DE102019210225A1 (de) | Verfahren und Vorrichtung zur Analyse dienste-orientierter Kommunikation | |
EP1771993A1 (de) | Verfahren zur überwachung eines nachrichtenverkehrs, sowie eine erste und zweite netzwerkeinheit zu dessen durchführung | |
EP1981293B1 (de) | Verfahren zum Erfassen von Anrufen und zugehörige Einheiten | |
DE102019210223A1 (de) | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk | |
WO2007107473A1 (de) | Verfahren und vorrichtung zur erkennung von spam over internet telephony-nachrichten versendenden teilnehmern, abgekürzt spit-versender, in einem ip-kommunikationsnetzwerk | |
EP2247063A1 (de) | Vorrichtungen und Verfahren zum Überprüfen einer Anfrage-Nachricht auf Authentizität und Authorisierung | |
CN116980199A (zh) | 一种网络质量检测方法、系统、装置及电子设备 | |
DE102004002452B4 (de) | Schaltungsanordnung und Verfahren zur Fehleranalyse |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
R081 | Change of applicant/patentee |
Owner name: UNIFY GMBH & CO. KG, DE Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE Effective date: 20130314 Owner name: SIEMENS ENTERPRISE COMMUNICATIONS GMBH & CO. K, DE Free format text: FORMER OWNER: SIEMENS AKTIENGESELLSCHAFT, 80333 MUENCHEN, DE Effective date: 20130314 |
|
R082 | Change of representative |
Representative=s name: FRITZSCHE PATENT, DE Effective date: 20130314 Representative=s name: FRITZSCHE PATENTANWAELTE, DE Effective date: 20130314 |
|
R082 | Change of representative |
Representative=s name: FRITZSCHE PATENT, DE |
|
R081 | Change of applicant/patentee |
Owner name: UNIFY GMBH & CO. KG, DE Free format text: FORMER OWNER: SIEMENS ENTERPRISE COMMUNICATIONS GMBH & CO. KG, 81379 MUENCHEN, DE Effective date: 20131111 |
|
R082 | Change of representative |
Representative=s name: FRITZSCHE PATENT, DE Effective date: 20131111 Representative=s name: FRITZSCHE PATENTANWAELTE, DE Effective date: 20131111 |
|
R081 | Change of applicant/patentee |
Owner name: UNIFY GMBH & CO. KG, DE Free format text: FORMER OWNER: UNIFY GMBH & CO. KG, 81379 MUENCHEN, DE |
|
R082 | Change of representative |
Representative=s name: FRITZSCHE PATENTANWAELTE, DE |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |