DE102006041341A1 - Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung - Google Patents

Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung Download PDF

Info

Publication number
DE102006041341A1
DE102006041341A1 DE200610041341 DE102006041341A DE102006041341A1 DE 102006041341 A1 DE102006041341 A1 DE 102006041341A1 DE 200610041341 DE200610041341 DE 200610041341 DE 102006041341 A DE102006041341 A DE 102006041341A DE 102006041341 A1 DE102006041341 A1 DE 102006041341A1
Authority
DE
Germany
Prior art keywords
network
data flow
communication
information
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200610041341
Other languages
English (en)
Inventor
Martin Prof. Kappes
Werner Prof. Filip
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
FACHHOCHSCHULE FRANKFURT
Original Assignee
FACHHOCHSCHULE FRANKFURT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by FACHHOCHSCHULE FRANKFURT filed Critical FACHHOCHSCHULE FRANKFURT
Priority to DE200610041341 priority Critical patent/DE102006041341A1/de
Publication of DE102006041341A1 publication Critical patent/DE102006041341A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren zum automatischen Aufbau von Netzwerkebenensicherheitsmechanismen, die zwischen zwei Endpunkten aufgebaut werden, umfassend die folgenden Schritte: - Analyse des Netzwerkdatenflusses zur Erkennung von Verbindungsaufbauversuchen zwischen Systemen durch ein Datenflusserkennungsmodul; - Zugreifen des Datenflusserkennungsmoduls auf eine Datenbank, die Regelinformationen verwaltet, aus denen ersichtlich ist, für welchen Netzwerkdatenfluss eine Absicherung notwendig ist oder nicht; - Absicherung des Netzwerkdatenflusses auf Netzwerkebene zwischen den Systemen, falls die Regeln eine Absicherung bestimmen, indem eine sichere Kommunikationsverbindung auf Netzwerkebene aufgebaut wird; - Kommunikation über die abgesicherte Netzwerkebene bis zum Eintreten eines Ereignisses, das die Auflösung der sicheren Kommunikation bestimmt.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zur Bereitstellung eines automatisch sicheren Kommunikationsflusses durch die Verwendung von Verschlüsselungstechniken auf Netzwerkebene. Insbesondere kann die vorgeschlagene Erfindung verwendet werden, um den Datenfluss von einer Kommunikationsverbindung Ende-zu-Ende oder Teilverbindungen zu sichern, und überwindet dabei Probleme, die durch den aktuellen Stand der Technik nicht gelöst werden können. Bei dem vorliegenden Ansatz sind keinerlei Änderungen an existierenden Anwendungen notwendig, so dass die Erfindung folglich mit jeder Anwendung zusammenarbeitet.
  • Gebiet der Erfindung:
  • In den letzten Jahren ist die Sicherheit von Netzwerkanwendungen immer mehr in den Mittelpunkt gerückt worden. Um den Datenfluss gegen aktive oder passive Attacken zu sichern, ist es notwendig, die Verbindung zwischen den Endpunkten, die bei einer Kommunikation beteiligt sind, durch die Verwendung von kryptographischen Verfahren zu sichern.
  • Die Verbindungen in einem Kommunikationsnetzwerk können auf allen Ebenen (Layern) des Netzwerks geschützt werden. Typischerweise sind individuelle Verbindungen und Flüsse Ende-zu-Ende der Anwendungsebene oder Transportebene durch Protokolle wie z. B. SSL oder TLS gesichert, wohingegen durch die Verschlüsselung auf der Netzwerk-Ebene alle Pakete verschlüsselt werden, die von einer spezifischen Maschine zu einer anderen spezifischen Maschine innerhalb des Netzwerks gesendet werden, wobei es sich bei diesen Maschinen nicht notwendigerweise um Quelle und Ziel der Pakete handeln muss. Es kann sich dabei auch um Netzwerksegmente handeln. Sicherheitsprotokolle auf der Netzwerkebene werden oftmals eingesetzt, um VPNs (Virtual Private Networks) aufzubauen, die Protokolle wie IPSec oder PPTP, L2TP verwenden.
  • Durch die Absicherung des Datenflusses auf der Anwendungsebene oder der Transportebene kann für viele Anwendungen eine ausreichende Sicherheit gewährleistet werden, jedoch weisen diese Ansätze Nachteile im Vergleich zu Sicherheitsansätzen auf, die auf der Netzwerkebene arbeiten. So ist es zum Beispiel notwendig, eine Unterstützung der Verschlüsselung in der Transportebene oder in der Anwendungsebene zu integrieren, wodurch eine Veränderung der Anwendung beziehungsweise deren Code notwendig wird, falls ein entsprechendes Transportebenen- oder Anwendungsebenen-Sicherheitsverfahren verwendet werden soll. Ferner können Benutzer, die hohe Sicherheitsanforderungen haben, die Verbindungen von Anwendungen nur dann absichern, wenn die Verwendung von Transport- oder Anwendungsebenensicherheitsmechanismen möglich sind. Falls die Anwendung dieses nicht unterstützt ist eine Absicherung nicht möglich und somit eine Nutzung ausgeschlossen.
  • Aus dem Stand der Technik bekannte Anwendungen erlauben es nicht, automatisch sichere Verbindungen zwischen zwei Maschinen auf der Netzwerkebene herzustellen. Solche Verbindungen werden in der Regel manuell bzw. nicht anwendungsspezifisch über einen VPN-Tunnel hergestellt. Hieraus ergibt sich, dass die Kommunikation meistens auf der Transportebene oder der Anwendungsebene gesichert wird, auch wenn dies eine Reihe von signifikanten Nachteilen mit sich bringt.
  • Überblick über die Erfindung:
  • Aufgabe der vorliegenden Erfindung ist es folglich, ein Verfahren bereitzustellen, dass die Vorteile der Anwendungsebenenverschlüsselung mit den Vorteilen der Netzwerkebenenverschlüsselung kombiniert.
  • Gelöst wird diese Aufgabe durch eine Erfindung mit den Merkmalen der unabhängigen Ansprüche.
  • Im Folgenden wird eine neue Technik vorgestellt, die die Sicherheit für einen neu entstehenden Datenfluss zwischen Kommunikationspunkten durch die Verwendung von Netzwerkebenen-Sicherheitsmechanismen, wie z. B. IPsec, erlaubt. Das vorgeschlagene Verfahren erfordert keinerlei Änderungen in existierenden Anwendungen und arbeitet somit in Verbindung mit nahezu allen Anwendungen. Angesichts der vorher genannten Nachteile und Mängel der Anwendungen, die auf der Transportebene basierenden Sicherheitsmechanismen verwenden, stellt die hier vorgeschlagene Erfindung, die Verbindungen automatisch auf der Netzwerkebene sichert, einen signifikanten Vorteil für eine sichere Kommunikation im Netzwerk dar. Die vorliegende Technik kann somit unabhängig vom Typ der Anwendung oder dem Transportebenenprotokoll verwendet werden. Insbesondere arbeitet die Erfindung mit TCP und UDP.
  • Die vorliegende Erfindung ermöglicht den automatischen Aufbau von Netzwerkebenensicherheitsmechanismen bzw. Verschlüsselungsmechanismen, die zwischen zwei (End-)Punkten (Teilsegmente sind denkbar) aufgebaut werden. Hierbei wird die vorliegende Erfindung genutzt, ohne dass dabei Änderungen an den Anwendungen beziehungsweise den Diensten vorgenommen werden müssen, da Protokolle wie IPsec verwendet werden.
  • Falls eine Anwendung versucht, eine neue Verbindung zu einem anderen Partner aufzubauen, wird der Datenfluss durch das Datenflusserkennungsmodul erkannt. Das Datenflusserkennungsmodul greift auf eine Datenbank zu, die Regelinformationen verwaltet, aus denen ersichtlich ist, für welchen Datenfluss eine sichere Einstellung notwendig ist oder nicht. Der Grad der Verfügbarkeit der Datenflussinformation hängt von der gewählten Implementierung der Erkennungsvorrichtung ab. Diese Regeln können auf Informationen basieren, wie IP-Quelladressen, IP-Zieladresse, IP-Protokoll-Typfeld, TCP/UDP-Quellen-Port, Ziel-Port, Protokollinformationen auf einer höheren Ebene (insbesondere RTP), Typ der Anwendung, die ID des Besitzers der Anwendung oder jegliche Kombination davon, wobei diese Aufzählung nur einige Möglichkeiten darstellt und eine Begrenzung auf diese Möglichkeiten nicht beabsichtigt ist. Weiterhin können Regeln der Kommunikationspartner untereinander berücksichtigt werden, die z. B. besagen, dass nur bestimmte Anwendungen mit Bezug zu bestimmten Partnern zu verschlüsseln sind. Falls die Datenflussvorrichtung bestimmt, dass der Datenfluss geschützt werden soll, wird das Sicherheitsmodul über den Fluss informiert und bestimmt ein Sicherheitsverfahren.
  • Basierend auf der Identität des Kommunikationspartners, die sich aus den Datenflussinformationen und der Regeldatenbank ergibt, werden Informationen von der Partnerdatenbank erlangt, um zu bestimmen, welches Verfahren anzuwenden ist, und um dann die Netzwerkebenenverschlüsselung aufzubauen. Ferner wird überprüft, ob dieses Verfahren bereits für die Kommunikation mit dem Partner verwendet wird. So kann zum Beispiel schon eine vorher aufgebaute Datenkommunikation bestehen, die ebenfalls als gesicherte Kommunikation ausgebildet ist. Falls eine neue sichere Verbindung aufgebaut werden muss, kontaktiert das Sicherheitsmodul den Partner am anderen Kommunikationsende, um den Sicherheitsmechanismus auszuhandeln und um dann die sichere Kommunikation gemäß den lokalen Regeln an beiden Endpunkten aufzubauen. Das Sicherheitsmodul überprüft, ob das ausgewählte Verfahren, das durch die Regeln vorgegeben wurde, unter Berücksichtigung von Informationen in der Partnerinformationsdatenbank mit dem anderen Kommunikationsendpunkt genutzt werden kann. Falls dies nicht der Fall ist, können externe Server, wie z. B. ein PKI-Server einbezogen werden, um die benötigten kryptografischen Schlüssel oder ähnliches zu erlangen. Diese Geheimnisse werden dann verwendet, um eine sichere Verbindung auf der Netzwerkebene aufzubauen.
  • Abhängig von den Regeln kann es notwendig sein, die Identität einer Maschine oder eines Benutzers zu bestätigen, um eine sichere Verbindung aufzubauen. Aus diesem Grunde kann das Sicherheitsmodul ebenfalls ein GUI aufweisen, das den Benutzer über den neuerlich erkannten Datenfluss informiert und den aktuellen Vorgang beziehungsweise den Zustand der verschlüsselten Kommunikation anzeigt. Ferner kann der Benutzer ebenfalls alarmiert werden, falls die Verschlüsselung der Kommunikation nach den vorgegebenen Regeln fehlschlägt. Auch kann das GUI verwendet werden, um notwendige Eingaben durch den Benutzer, wie z. B. ein Passwort, Pins oder Tans einzufordern. Ferner kann das System ebenfalls in Verbindung mit einem Zwei-Faktorauthentifizierungsmechanismus, wie Smartcards oder Tokens verwendet werden.
  • Falls eine Absicherungsvorschrift gefunden wurde, die notwendig ist, die jedoch, aus welchen Gründen auch immer, nicht berücksichtigt werden konnte, können unterschiedliche Aktionen durchgeführt werden, die wiederum von den Regeln und den Systemfähigkeiten der einzelnen Systeme abhängen. In einigen Ausführungsformen der vorliegenden Erfindung werden Pakete, die zu dem jeweiligen Datenfluss gehören, abgefangen und vernichtet. Mit anderen Worten, es wird der Kommunikationsversuch der Anwendung abgefangen, so dass dieser fehlschlägt. Es ist ebenfalls möglich, den Benutzer zu alarmieren, so dass dieser darüber informiert ist, dass die Kommunikation ohne jegliche Verschlüsselung fortgeführt wird. Ebenfalls könnte der Benutzer durch eine Eingabeaufforderung benachrichtigt werden, so dass er entscheiden kann, ob die Kommunikation in gesicherter oder ungesicherter Weise fortgesetzt werden soll.
  • Gesicherte Verbindungen auf Netzwerkebene können ebenfalls beendet werden, falls die Regeln einen Abbruch der sicheren Verbindung nach dem Ende des Datenflusses bestimmen. Dies kann durch eine Vielzahl von Mitteln überprüft werden. Diese Mittel umfassen die Beobachtung des Netzwerkverkehrs, so dass das Ende der Nachrichtübermittlung erkannt werden kann, alternativ kann auch die Beobachtung eines Timeouts berücksichtigt werden.
  • Figurenbeschreibung:
  • Im Folgenden werden die Figuren kurz beschrieben.
  • 1 zeigt einen schematischen Aufbau der Erfindung, wobei zwei Kommunikationspartner miteinander kommunizieren, die jeweils die erfindungsgemäßen Komponenten aufweisen.
  • 2 zeigt die Kommunikationsschritte zwischen den Endpunkten A und B in zeitlicher Hinsicht, die vor und nach dem eigentlichen Datenfluss notwendig sind.
  • Beschreibung der bevorzugten Ausführungsformen:
  • Die 1 zeigt die Komponenten der einzelnen Kommunikationspartner, die in der Regel identisch aufgebaut sind. Das Ziel der Flusserkennungsvorrichtung liegt darin, einen neuen Kommunikationsfluss zu erkennen. Die tatsächliche Erkennung von neu aufgebauten Datenflüssen kann in vielfacher Weise erreicht werden. In der bevorzugten Ausführungsform konzentriert man sich auf die Erkennung und das Abfangen von Paketen. Bei einem Linux basierten System kann dies vereinfacht werden durch die Verwendung der packet capture library (libpcap), Tools wie TCPdump oder Ethereal, oder mit netlink-targes in Verbindung mit Linux-Firewall Mechanismen. Es versteht sich, dass diese Aufzählung nur eine beispielhafte Aufzählung ist und in keiner Weise eine Beschränkung darstellen soll. Alternative Ansätze auf unterschiedlichen Ebenen mit anderen Tools sind natürlich denkbar.
  • Gerade die Verfügbarkeit von Informationen hängt im Wesentlichen davon ab, wie die Flusserkennungsvorrichtung implementiert wurde. Informationen wie z. B. IP-Quelladresse, IP-Zieladresse, IP-Protokoll-Typfeld, TCP/UDP-Quell-Port, Zielport, Protokollinformationen auf höheren Ebenen (insbesondere RTP) können bereits durch das Untersuchen der abgefangenen Pakete erlangt werden. Weiterhin können durch Abfragen von zusätzlichen Informationen, die vom Betriebssystem bereitgestellt werden, der aktuelle Typ der Anwendung, Prozessidentifikationen, ausführender Benutzer etc. bestimmt werden.
  • Die Flusserkennungsvorrichtung greift auf eine Datenbank zu, die die Regelinformationen enthält, aus denen ersichtlich ist, für welchen Datenfluss eine Sicherheitsvorgabe besteht, so dass auf der Basis dieser Daten entschieden werden kann, ob eine sichere Verbindung aufgebaut werden soll oder nicht. Falls die Datenfluss-Erkennungsvorrichtung bestimmt, dass der Datenfluss geschützt werden soll, wird das Sicherheitsmodul darüber informiert und eine Absicherung des Datenflusses wird initiiert.
  • Wie bereits oben erwähnt wurde, können unterschiedliche Aktionen eingeleitet werden, falls festgestellt wird, dass eine notwendige Absicherung des Datenflusses aus welchem Grund auch immer nicht aufgebaut werden kann. Die unterschiedlichen Aktionen hängen von den Regeln und den Systemfähigkeiten der Partner ab.
  • In einer bevorzugen Ausführungsform der vorliegenden Erfindung ist es möglich, einen ungeschützten Datenfluss nicht entstehen zu lassen. Dies kann z. B. bei einem Linux basierten System dadurch erreicht werden, dass netlink-target verwendet wird.
  • Das Sicherheitsmodul basiert auf der Bestimmung der Identität des Kommunikationspartners, der aus den Daten des Informationsflusses ermittelt wurde, und der Regeldatenbank, wobei Informationen von der Partnerinfodatenbank erlangt werden, um die anwendbaren Verfahren und Regeln zu bestimmen, die verwendet werden sollen, um die Sicherheit auf der Netzwerkebene aufzubauen.
  • Ferner wird das Sicherheitsmodul des Kommunikationspartners kontaktiert. Ein beispielhafter Informationsaustausch wird in 2 gezeigt.
  • In einem ersten Schritt wird überprüft, ob ein Datenfluss zwischen den beiden Endpunkten bereits besteht und ob dieser abgesichert ist. Dies kann der Fall sein durch eine vorher aufgebaute Datenverbindung zwischen den Maschinen. Falls notwendig, wird eine neue Sicherheitszuweisung aufgebaut. Das Sicherheitsmodul kontaktiert den Partner auf einem anderen Kommunikationsendpunkt (in der Regel Port), um einen Mechanismus zu vereinbaren, der die Kommunikation gemäß den lokalen Regeln an beiden Endpunkten absichert. Das Sicherheitsmodul überprüft, ob die ausgewählten Mechanismen, die durch die Regeln vorgegeben werden, mit Hilfe der Informationen in der Partner-Datenbank mit dem anderen Kommunikationsendpunkt genutzt werden können. Falls dies nicht der Fall ist, können externe Server, wie z. B. PKI-Schlüsselserver, berücksichtigt werden, um die notwendigen Verschlüsselungsschlüssel oder ähnliches zu erlangen. Diese Geheimnisse werden dann verwendet, um eine sichere Netzwerkverbindung aufzubauen. Nachdem die sichere Verbindung aufgebaut wurde, können sich die Partner zu Kontrollzwecken benachrichtigen.
  • Die vorliegende Erfindung kann ebenfalls indirekte Kommunikationsverbindungen zwischen Endpunkten absichern, die über einen oder mehrere Proxy- oder entsprechende Anwendungsgateways aufgebaut wurden. In diesem Falle läuft auf dem Proxy ebenfalls die vorliegende Erfindung und sichert die Verbindung zwischen dem Proxy, Client und/oder dem Server ab. Diese erfolgt durch das Analysieren von ankommenden und ausgehenden IP-Paketen oder tiefer gehend durch eine Paket-Analyse. Eine detaillierte Beschreibung dieses Modus ist bekannt und kann somit außer Acht gelassen werden.
  • Die beschriebenen bevorzugten Ausführungsformen dienen lediglich zum Zwecke der Erklärung. Es ist nicht beabsichtigt den Schutzumfang der Erfindung dahingehend einzuschränken. Der Schutzumfang bestimmt sich vielmehr durch die beigefügten Ansprüche.
    • 10
    Endpunkt A
    10a
    Endpunkt B
    11, 11a
    Regelmanager
    12, 12a
    Datenflusserkennungsmodul
    13, 13a
    Regeldatenbank
    14, 14a
    Partnerdatenbank
    15, 15a
    Sicherheitsmodul
    16
    Netzwerk mit Datenfluss
    17
    Vereinbarung zur Kommunikation
    18
    PKI-Server
    21
    Beendigung der Verbindung
    22
    Abgesicherter Datenfluss
    23
    Bestätigung für den abgesicherten Datenfluss
    24
    Bestätigung für den abgesicherten Datenfluss
    25
    Authentifikationsphase
    26
    Sicherheitsflussantwort
    27
    Sicherheitsflussanfrage
    28
    Endpunkt A
    29
    Endpunkt B

Claims (27)

  1. Verfahren zum automatischen Aufbau von Netzwerkebenensicherheitsmechanismen, die zwischen zwei Netzwerkpunkten aufgebaut werden, umfassend die folgenden Schritte: – Analyse des Netzwerkdatenflusses zur Erkennung von Verbindungsaufbauversuchen zwischen Systemen durch ein Datenflusserkennungsmodul; – Zugreifen des Datenflusserkennungsmoduls auf eine Datenbank, die Regelinformationen verwaltet, aus denen ersichtlich ist, für welchen Netzwerkdatenfluss eine Absicherung notwendig ist oder nicht; – automatische Absicherung des Netzwerkdatenflusses auf Netzwerkebene zwischen den Systemen, falls die Regeln eine Absicherung bestimmen, indem eine sichere Kommunikationsverbindung auf Netzwerkebene aufgebaut wird; – Kommunikation über die abgesicherte Netzwerkebene bis zum Eintreten eines Ereignisses, das die Auflösung der sicheren Kommunikation bestimmt.
  2. Das Verfahren nach dem vorhergehenden Anspruch, wobei eine Absicherung auf IP-Protokoll-Ebene erfolgt.
  3. Das Verfahren nach dem vorhergehenden Anspruch, wobei IPsec, PPTP oder L2TP verwendet wird.
  4. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Regeln auf einem oder mehreren der folgenden Informationen basieren können: IP-Quelladressen, IP-Zieladresse, IP-Protokolltypfeld, TCP/UDP-Quell-Port, Ziel-Port, Protokollinformationen auf einer höheren Ebene, insbesondere RTP, Typ der Anwendung, die ID des Besitzers der Anwendung.
  5. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei basierend auf der Identität des Kommunikationspartners, die sich aus den Datenflussinformationen und der Regeldatenbank ergibt, Informationen bestimmt werden, welches Verfahren anzuwenden ist, um auf der Netzwerkebene eine Absicherung aufzubauen.
  6. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei überprüft wird, ob nicht schon eine ausreichend sichere Verbindung zwischen den Systemen aufgebaut ist, um diese dann zu verwenden.
  7. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei ein Sicherheitsmodul überprüft, ob das ausgewählte Verfahren, das durch die Regeln vorgegeben wurde, unter Berücksichtigung von Informationen in einer Partnerinformationsdatenbank mit dem anderen Kommunikationsendpunkt genutzt werden kann, falls dies nicht der Fall ist, werden externe Server, insbesondere ein PKI-Server einbezogen, um die benötigten kryptografischen Schlüssel zu erlangen, um eine sichere Verbindung auf Netzwerkebene mit diesen aufzubauen.
  8. Das Verfahren nach dem vorhergehenden Anspruch, wobei das Sicherheitsmodul ein GUI aufweist, – das den Benutzer über den neuerlich erkannten Datenfluss informiert und den aktuellen Vorgang oder den Zustand der verschlüsselten Kommunikation anzeigt, oder – den Benutzer alarmiert, falls die Absicherung der Kommunikation nach den vorgegebenen Regeln fehlschlägt; oder – eine notwendige Eingabe durch den Benutzer einfordert, wie ein Passwort, Pins oder Tans.
  9. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei der Datenfluss unterbunden wird, falls keine Regel vorhanden ist.
  10. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Pakete, die zu dem Datenfluss gehören, weitergleitet werden, wobei der Benutzer alarmiert wird, so dass dieser darüber informiert ist, dass die Kommunikation fortgeführt wird ohne jegliche Verschlüsselung oder der Benutzer wird durch eine Eingabeaufforderung aufgefordert zu entscheiden, ob die Kommunikation in geschützter oder ungeschützter Weise fortgesetzt werden soll.
  11. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei in Abhängigkeit von Ereignissen ein Auflösen der Verbindung erfolgt.
  12. Das Verfahren nach dem vorhergehenden Anspruch, wobei eine Beobachtung des Netzwerkverkehrs erfolgt, so dass das Ende der Nachrichtübermittlung erkannt werden kann, oder ein Timeout erkannt wird.
  13. Das Verfahren nach einem oder mehreren der vorhergehenden Ansprüche, wobei die Absicherung des Datenflusses über einen oder mehrere Proxy- oder entsprechende Anwendungsgateways erfolgt, diese analysieren ankommende und ausgehende IP-Pakete oder führen eine tiefer gehende Paket-Analyse durch.
  14. Vorrichtung zum automatischen Aufbau von Netzwerkebenensicherheitsmechanismen, die zwischen zwei Netzwerkpunkten aufgebaut werden, umfassend die folgenden Komponenten: – Ein Datenflusserkennungsmodul zur Analyse des Netzwerkdatenflusses und zur Erkennung von Verbindungsaufbauversuchen zwischen Systemen; – Eine Datenbank mit Mitteln, die einen Zugriff des Datenflusserkennungsmoduls erlaubt, wobei die Datenbank Regelinformationen verwaltet, aus denen ersichtlich ist, für welchen Netzwerkdatenfluss eine Absicherung notwendig ist; – Ein Sicherungsmodul zur Absicherung des Netzwerkdatenflusses auf Netzwerkebene zwischen den Systemen, falls die Regeln eine Absicherung bestimmen, so dass eine sichere Kommunikationsverbindung auf Netzwerkebene aufgebaut wird.
  15. Die Vorrichtung nach dem vorhergehenden Anspruch, wobei das Sicherungsmodul Mittel aufweist, um eine Absicherung auf IP-Protokoll-Ebene durchführt.
  16. Die Vorrichtung nach dem vorhergehenden Anspruch, wobei IPsec, L2TP, PPTP verwendet wird.
  17. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei die Regeln in der Datenbank auf einem oder mehreren der folgenden Informationen basieren: IP-Quelladressen, IP-Zieladresse, IP-Protokoll-Typfeld, TCP/UDP-Quellen-Port, Ziel-Port, Protokollinformationen auf einer höheren Ebene, insbesondere RTP, Typ der Anwendung, die ID des Besitzers der Anwendung.
  18. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei das Sicherungsmodul so eingerichtet ist, dass basierend auf der Identität des Kommunikationspartners, die sich aus den Datenflussinformationen und der Regeldatenbank ergibt, Informationen bestimmt, welches Verfahren anzuwenden ist, um auf der Netzwerkebene eine Absicherung aufzubauen.
  19. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei das Sicherungsmodul so ausgebildet ist, dass es überprüft, ob nicht schon eine ausreichend sichere Verbindung zwischen den Systemen aufgebaut ist, um diese dann zu verwenden.
  20. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei das Sicherheitsmodul so ausgebildet ist, dass es überprüft, ob das ausgewählte Verfahren, das durch die Regeln vorgegeben wurde, unter Berücksichtigung von Informationen in einer Partnerinformationsdatenbank mit dem anderen Kommunikationsendpunkt genutzt werden kann, falls dies nicht der Fall ist, können externe Server, insbesondere ein PKI-Server einbezogen werden, um die benötigten kryptografischen Schlüssel zu erlangen, um eine sichere Verbindung auf Netzwerkebene aufzubauen.
  21. Die Vorrichtung nach dem vorhergehenden Vorrichtungsanspruch, wobei das Sicherheitsmodul ein GUI aufweist, – die den Benutzer über den neuerlich erkannten Datenfluss informiert und den aktuellen Vorgang oder den Zustand der verschlüsselten Kommunikation anzeigt, oder – den Benutzer alarmiert, falls die Absicherung der Kommunikation nach den vorgegebenen Regeln fehlschlägt; oder – eine notwendige Eingabe durch den Benutzer einfordert, wie ein Passwort, Pins oder Tans.
  22. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei der Datenfluss unterbunden wird, falls keine Regel vorhanden ist.
  23. Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei das Datenflusserkennungsmodul so ausgebildet ist, dass die Pakete, die zu dem Datenfluss gehören, weitergeleitet werden, wobei der Benutzer alarmiert wird, so dass dieser darüber informiert ist, dass die Kommunikation fortgeführt wird ohne jegliche Verschlüsselung oder der Benutzer wird durch eine Eingabeaufforderung aufgefordert zu entscheiden, ob die Kommunikation in geschützter oder ungeschützter Weise fortgesetzt werden soll.
  24. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei in Abhängigkeit von Ereignissen ein Auflösen der Verbindung durch das Sicherungsmodul erfolgt.
  25. Die Vorrichtung nach dem vorhergehenden Anspruch, wobei das Netzwerkerkennungsmodul so ausgebildet ist, dass eine Beobachtung des Netzwerkverkehrs durchführbar ist, so dass das Ende der Nachrichtübermittlung erkannt werden kann, oder ein Timeout erkannt wird.
  26. Die Vorrichtung nach einem oder mehreren der vorhergehenden Vorrichtungsansprüche, wobei die Absicherung des Datenflusses über einen oder mehrere Proxy- oder entsprechende Anwendungsgateways erfolgt, die insbesondere ankommende und ausgehende IP-Pakete oder tiefer gehend eine Paket-Analyse durchführen.
  27. Computerprogrammprodukt, das eine Datenstruktur aufweist, die nach dem Laden durch einen Computer ein Verfahren nach einem oder mehreren der vorhergehenden Ansprüche durchführt.
DE200610041341 2006-09-01 2006-09-01 Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung Withdrawn DE102006041341A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200610041341 DE102006041341A1 (de) 2006-09-01 2006-09-01 Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200610041341 DE102006041341A1 (de) 2006-09-01 2006-09-01 Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung

Publications (1)

Publication Number Publication Date
DE102006041341A1 true DE102006041341A1 (de) 2008-03-20

Family

ID=39078873

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200610041341 Withdrawn DE102006041341A1 (de) 2006-09-01 2006-09-01 Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung

Country Status (1)

Country Link
DE (1) DE102006041341A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060059538A1 (en) * 2004-09-13 2006-03-16 Xcomm Box, Inc. Security system for wireless networks
EP1689206A1 (de) * 2005-02-07 2006-08-09 Juniper Networks, Inc. Drahtloses Netzwerk mit mehreren Sicherheitszonen
US20060191002A1 (en) * 2005-02-21 2006-08-24 Samsung Electronics Co., Ltd. Packet security method and apparatus

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060059538A1 (en) * 2004-09-13 2006-03-16 Xcomm Box, Inc. Security system for wireless networks
EP1689206A1 (de) * 2005-02-07 2006-08-09 Juniper Networks, Inc. Drahtloses Netzwerk mit mehreren Sicherheitszonen
US20060191002A1 (en) * 2005-02-21 2006-08-24 Samsung Electronics Co., Ltd. Packet security method and apparatus

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KENT, S., u. ATKINSON, R.: Security Architecture for the Internet Protocol, 1998, IETF, RFC 2401 *

Similar Documents

Publication Publication Date Title
DE60104876T2 (de) Prüfung der Konfiguration einer Firewall
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60108927T2 (de) Komputersysteme, insbesondere virtuelle private Netzwerken
DE60121755T2 (de) Ipsec-verarbeitung
DE602004003568T2 (de) Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät
DE602004011864T2 (de) Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router
EP3451624A1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE602004005253T2 (de) Verfahren und Einrichtung zur Handhabung von zusammenhängenden Verbindungen in einer Firewall
DE102008062984A1 (de) Prozess zur Authentifizierung eines Nutzers durch ein Zertifikat unter Verwendung eines Ausserband-Nachrichtenaustausches
DE102010000849A1 (de) Verfahren zur Bedienung, Beobachtung und/oder Konfiguration eines Automatisierungssystems einer technischen Anlage
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
EP3529967B1 (de) Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
EP3151503B1 (de) Verfahren und system zur authentifizierung einer umgebenden web-anwendung durch eine einzubettende web-anwendung
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
EP3170295B1 (de) Erhöhen der sicherheit beim port-knocking durch externe computersysteme
DE102006041341A1 (de) Verfahren und Vorrichtung zur sicheren Kommunikation in einer Punkt-zu-Punkt Verbindung
EP4264930A1 (de) Gateway, speziell für ot-netzwerke
DE102006038599B3 (de) Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung
DE102004016582A1 (de) Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
EP4107640B1 (de) Verfahren und systeme zum übertragen von software-artefakten aus einem quellnetzwerk zu einem zielnetzwerk
DE19645006B4 (de) Verfahren zur Kommunikation zwischen Prozessen
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
EP4228204A1 (de) Zero trust für ein operational technology netzwerk transport protokoll

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee