-
Technisches Gebiet
-
Die
Erfindung betrifft eine Vorrichtung zur Verhinderung von Doppel-
oder Mehrfachverbindungen für
ein netzwerkfähiges
Gerät,
wobei
- a) das netzwerkfähige Gerät wenigstens zwei Schnittstellen
zur Verbindung mit einem oder mehreren verschiedenen Netzwerken
aufweist und die Schnittstellen zur Kommunikation mittels Internetprotokoll
ausgebildet sind, und
- b) die Vorrichtung ein Schnittstellenkontrollmodul zum Aktivieren
bzw. Deaktivieren einzelner Schnittstellen des netzwerkfähigen Geräts enthält, wobei
das Schnittstellenkontrollmodul zur Aktivierung der Schnittstelle
einer bevorzugten Verbindung und gleichzeitigen Deaktivierung aller anderen
Schnittstellen ausgebildet ist.
-
Weiterhin
betrifft die Erfindung ein Verfahren zur Verhinderung von Doppel-
oder Mehrfachverbindungen für
ein netzwerkfähiges
Gerät mit
wenigstens zwei Schnittstellen zur Verbindung mit einem oder mehreren
verschiedenen Netzwerken, wobei die Schnittstellen zur Kommunikation
mittels Internetprotokoll ausgebildet sind, mit folgenden Verfahrensschritten:
- a) Erfassen der Schnittstellen,
- b) Auswahl einer aktiven Schnittstelle,
- c) Deaktivieren bzw. Blockieren der übrigen Schnittstellen,
- d) Aktivieren der Schnittstelle einer bevorzugten Verbindung
und gleichzeitigem Deaktivieren aller anderen Schnittstellen.
-
Stand der Technik
-
Elektronische
Geräte
werden immer häufiger über geeignete
Schnittstellen miteinander vernetzt. Solche netzwerkfähigen Geräte, wie
Computer mit einer oder mehreren Netzwerkkarten und einem oder mehreren
Modems sind grundsätzlich
in der Lage, mehrere Verbindungen gleichzeitig aufzubauen. Das bedeutet
beispielsweise, dass sich ein Computer über die eine Schnittstelle
mit dem Internet und gleichzeitig über die andere Schnittstelle
mit einem lokalen Netzwerk (LAN: Local Area Network) verbinden kann.
Dieser Zustand der Doppelverbindungen kann zu großen Sicherheitsrisiken
führen. Über solche
Doppelverbindungen können
unter Umständen Daten
von einem Netzwerk in das andere Netzwerk ungewollt übermittelt
werden. Auch lassen sich über solche
Doppelverbindungen Computerviren, Spionage- oder Sabotageprogramme
einschleusen.
-
Beispielsweise
kann ein mobiler Computer selbstständig eine drahtlose Verbindung
(z. B. über eine
Wireless-LAN-Schnittstelle (WLAN-Schnittstelle) mit einem Firmen-LAN aufbauen,
während
der mobile Computer mit Hilfe eines Sende- und Empfangsmoduls über ein
Mobilfunknetz mit dem Internet verbunden ist. Durch eine solche ”Brückenschaltung” wird eine
Firewall des LAN umgangen und es treten erhebliche Sicherheitsrisiken
für das
LAN auf. Noch gravierender sind die Sicherheitsrisiken, wenn beispielsweise
ein Computer über
eine Verbindung einen Fernzugriff (RAS: Remote Access Service) verwendet,
während
er gleichzeitig über
eine andere Schnittstelle mit dem Internet verbunden ist. Mit einer RAS-Verbindung
hat der Computer auf alle innerbetrieblichen Kommunikations- und
Dateneinrichtungen, wie E-Mail, Datenbanken, Dateitransfer oder Client-Server-Anwendungen
des Firmen-LAN Zugriff. Ein RAS wird daher üblicherweise bei der stark zunehmenden
kommunikationsorientierten Heimarbeit (engl. Telecommuting) verwendet,
um von zuhause aus auf ein LAN zuzugreifen. Ist der Computer gleichzeitig über eine
andere Schnittstelle mit dem Internet verbunden, können Angreifer
aus dem Internet über
den Computer einen umfangreichen Zugang zum LAN erhalten.
-
Ein
Notebook, ein tragbarer Computer, wird üblicherweise nicht nur in der
Firma verwendet, sondern z. B. auch zuhause. Es lassen sich Hardwareprofile
erstellen, welche die jeweilige Schnittstelle nach Bedarf aktivieren
beziehungsweise deaktivieren. So können mit dem ”Zuhause-Profil” bestimmte Schnittstellen
für zuhause
aktiviert und dann die entsprechenden Schnittstellen der Firma deaktiviert werden.
Mit dem ”Firmen-Profil” wird in
der Firma entsprechend umgekehrt verfahren. Es zeigt sich aber, dass
solche Profile von den Nutzern überhaupt
nicht eingerichtet werden. Allein die Verwendung von neuen Schnittstellen
bereitet Probleme, denn sie müssen jeweils
neu in dem entsprechenden Profil eingerichtet werden. Dies ist sehr
aufwändig
und für
den Nutzer sehr umständlich.
Ferner ist ein Umstellen von einem Hardwareprofil zu einemanderen
oft nur umständlich
und zeitaufwendig durch einen Neustart des Computers zu erreichen.
-
Eine
Nutzung von mehreren drahtlosen Schnittstellen zum Aufbau einer
Telekommunikationsverbindung ist bekannt. Beispielsweise offenbart die
EP 1 432 263 A1 ein
Telekommunikationsverfahren mit einer Funknetzkontrolleinheit für Mobilfunkendgeräte, um bei
mehreren gleichzeitig möglichen Funkverbindungen
eine Luftschnittstelle zum Aufbau der Verbindung auszuwählen. Die
Auswahl erfolgt unter dem Gesichtspunkt der effizienten Nutzung
der verfügbaren
Bandbreitenressourcen. Auf eine Verhinderung von Sicherheitsrisiken,
z. B. durch eine gleichzeitige Verbindung eines netzfähigen Geräts mit verschiedenen
Netzwerken über
leitungsgebundene und/oder kabellose Schnittstellen wird in dieser Druckschrift
nicht eingegangen.
-
Auch
die
DE 602 21 325
T2 beschreibt ein Gerät
mit mehreren Schnittstellen zu einem Netzwerk. Dort wird ein System
zum kontrollierten Abschalten von Zweigen eines seriellen Kommunikationsnetzes
in einem elektronischen Steuersystem für Bordgeräte von Kraftfahrzeugen verwendet.
Das elektronische Steuersystem umfasst zumindest eine elektronische
Steuereinheit, die zum Verwalten der Funktionen des Fahrgastraumes
und/oder der Karosserie bestimmt ist und durch ein serielles Kommunikationssystem
mit einer Mehrzahl von Antriebsmodulen der Bordgeräte verbunden
ist. Das serielle Kommunikationssystem verfügt dabei über eine Schnittstellenschaltung,
die zwischen der elektronischen Steuereinheit und den Antriebsmodulen
geschaltet ist, wobei die Schnittstellenschaltung die Verbindung zwischen
elektronischer Steuereinheit und Antriebsmodulen gezielt unterbrechen
kann. Im Falle eines Defekts eines Antriebsmoduls wird nur der am
Defekt beteiligte Zweig abgeschaltet, während die Kommunikation mit
den anderen Zweigen aufrechterhalten wird.
-
Die
US 6.643.523 B2 beschreibt
ein Mobilfunktelefon für
ein zellulares Mobilfunknetz mit einem Verbindungselement für eine Schnittstelleneinheit. Über das
Verbindungselement sind ein Austausch von Sprach- und Datensignalen
zwischen dem Mobilfunktelefon und der Schnittstelleneinheit und
eine Stromversorgung des Mobilfunktelefons durch die Schnittstelleneinheit
möglich.
Ferner ermöglicht
die Schnittstelleneinheit eine Verbindung des Mobilfunktelefons
zu einer Basisstation des Mobilfunknetzes nicht über einen funkbasierten Zugang,
sondern über alternative
Kommunikationspfade, wie z. B. eine ISDN-Festnetzleitung. Eine bestehende
Verbindung zwischen dem Mobilfunktelefon und der Schnittstelleneinheit
wird durch einen Steuerungsschaltkreis des Mobilfunktelefons durch
die dann vorhandene Stromversorgung festgestellt. Der Steuerungsschaltkreis
deaktiviert daraufhin eine Antenne des Mobilfunktelefons. Stattdessen
werden Sprach- und Datensignale über
die Schnittstelleneinheit und den alternativen Kommunikationspfad
an die Basisstation übermittelt.
-
Offenbarung der Erfindung
-
Aufgabe
der Erfindung ist es daher, die Nachteile des Standes der Technik
zu vermeiden. Es ist insbesondere Aufgabe der Erfindung, auf benutzerfreundliche
Weise zu verhindern, dass Doppel- oder Mehrfachverbindungen eines
netzwerkfähigen Geräts zu unterschiedlichen
Netzwerken Sicherheitsrisiken darstellen.
-
Erfindungsgemäß wird die
Aufgabe dadurch gelöst,
dass bei einer Vorrichtung zur Verhinderung von Doppel- oder Mehrfachverbindungen
der eingangs genannten Art für
ein netzwerkfähiges
Gerät, wobei
das netzwerkfähige
Gerät wenigstens
zwei Schnittstellen zur Verbindungen mit einem oder mehreren verschiedenen
Netzwerken aufweist und die Schnittstellen zur Kommunikation mittels
Internetprotokoll ausgebildet sind,
- c) Mittel
zur Erfassung der Aktivität
einer Schnittstelle durch Auslesen eines Speicherplatzes des netzwerkfähigen Geräts für IP-Adressen,
welche dem netzwerkfähigen
Gerät von
den Netzwerken zugewiesen werden, vorgesehen sind.
-
Weiterhin
wird die Aufgabe durch ein Verfahren zur Verhinderung von Doppel-
oder Mehrfachverbindungen der eingangs genannten Art für ein netzwerkfähiges Gerät mit wenigstens
zwei Schnittstellen zur Verbindungen mit einem oder mehreren verschiedenen
Netzwerken, wobei die Schnittstellen zur Kommunikation mittels Internetprotokoll
ausgebildet sind, mit folgendem Verfahrensschritt gelöst:
- e) Ermitteln der aktiven Schnittstellen mit
Erfassungsmittel durch Auslesen von IP-Adressen, welche dem netzwerkfähigen Gerät von den
Netzwerken zugewiesen werden, aus einem Speicherplatz des netzwerkfähigen Geräts.
-
Die
Erfindung beruht auf dem Prinzip, nur über eine Schnittstelle des
netzwerkfähigen
Geräts eine
Verbindung zu einem Netzwerk zuzulassen. Alle anderen Schnittstellen
werden deaktiviert oder blockiert. Dazu ist in der erfindungsgemäßen Vorrichtung
ein Schnittstellenkontrollmodul vorgesehen, welches Schnittstellen
des netzwerkfähigen
Geräts aktiviert
oder deaktiviert. Falls das netzwerkfähige Gerät an einem Ort gleichzeitig
mehrere Verbindungen zu unterschiedlichen Netzwerken über verschiedene
Schnittstellen aufbauen kann, wird das Schnittstellenkontrollmodul
nur eine Verbindung zugelassen, indem es eine Schnittstelle aktiviert
und die anderen Schnittstellen deaktiviert. Dazu wird beispielsweise
anhand einer voreingestellten Präferenz
festgelegt oder ein Benutzer befragt, zu welchem Netzwerk und über welche
Schnittstelle das netzwerkfähige
Gerät eine
Verbindung aufbauen bzw. aufrechterhalten soll.
-
Entsprechend
werden bei dem erfindungsgemäßen Verfahren
zunächst
alle netzwerkfähigen Schnittstellen
ermittelt. Anschließend
wird eine Schnittstelle aktiviert, während alle anderen Schnittstellen
deaktiviert oder blockiert werden. Auch bei dem erfindungsgemäßen Verfahren
kann eine Auswahl der Schnittstelle durch eine voreingestellte und gespeicherte
Präferenz
oder durch Befragen des Benutzers erfolgen.
-
Durch
die erfindungsgemäße Vorrichtung
mit dem Schnittstellenkontrollmodul und dem entsprechenden Verfahren
werden mit einem hohen Sicherheitsrisiko verbundene Doppel- oder
Mehrfachverbindungen eines netzfähigen
Geräts
zu mehreren Netzwerken wirkungsvoll und sicher verhindert. Dies geschieht
im Wesentlichen automatisiert durch das Schnittstellenkontrollmodul
bzw. das erfindungsgemäße Verfahren
und somit sehr benutzerfreundlich und benutzerunabhängig. Insbesondere
muss sich ein Benutzer nicht mehr um eine sehr umständliche Einrichtung,
Pflege und Anwendung von so genannten Hardwareprofilen kümmern, um
Doppel- und Mehrfachverbindungen zu unterbinden.
-
Eine
vorteilhafte Ausgestaltung der erfindungsgemäßen Vorrichtung für ein netzwerkfähiges Gerät besteht
darin, dass Mittel zur Erfassung der Aktivität einer Schnittstelle vorgesehen
sind. Die Mittel überwachen
die Aktivität
von Schnittstellen während
des Betriebs des netzwerkfähigen
Geräts
und melden einen eventuellen Netzwerkverbindungsaufbau an das Schnittstellenkontrollmodul.
Das Schnittstellenkontrollmodul lässt daraufhin nur eine aktive Schnittstelle
zu und deaktiviert oder blockiert alle anderen Schnittstellen. Durch
die Mittel zur Erfassung der Aktivität von Schnittstellen werden
insbesondere während
des Betriebs des netzwerkfähigen
Geräts neu
hinzukommende Netzwerkverbindungen automatisch und benutzerfreundlich ebenfalls
berücksichtigt.
Diese Ausgestaltung eignet sich daher besonders für mobile
netzwerkfähige
Geräte,
da je nach Einsatzort neue Verbindungsmöglichkeiten auftreten können. Aber
auch bei stationären
Geräten
wird durch das Erfassen von neu installierten Schnittstellen vorteilhaft
die Sicherheit erhöht.
Ferner ist eine Auswahl der optimalen Netzwerkverbindung möglich.
-
Bei
einer bevorzugten Ausbildung der erfindungsgemäßen Vorrichtung für ein netzwerkfähiges Gerät sind Schnittstellen
zur Kommunikation mittels Internetprotokoll (IP) ausgebildet, wobei
dem netzwerkfähigen
Gerät nur
eine einzige IP-Adresse zugeordnet werden kann. Bei dem üblicherweise
verwendeten TCP/IP-Internetprotokoll wird jedem Endgerät eine weltweit
eindeutige IP-Adresse zugeordnet. Die zugeordnete IP-Adresse kennzeichnet
auch das Zugangsnetzwerk des netzfähigen Geräts. So verfügt das netzwerkfähige Gerät bei einer
Mehrfachverbindung zu verschiedenen Netzwerken über mehrere IP-Adressen. Indem
die erfindungsgemäße Vorrichtung
nur eine IP-Adresse zulässt
bzw. dem netzwerkfähigen
Gerät zuordnet,
werden auf einfache und effektive Weise Doppel- oder Mehrfachverbindungen zu
mehreren Netzwerken verhindert. Das netzwerkfähige Gerät ist nur über das durch die ausgewählte IP-Adresse
gekennzeichnete Netzwerk erreichbar.
-
In
einer vorteilhaften Ausgestaltung der erfindungsgemäßen Vorrichtung
für ein
netzwerkfähiges Gerät ist wenigstens
eine Schnittstelle als Funkschnittstelle, insbesondere für ein Mobilfunknetz, Bluetooth
und/oder WLAN, ausgebildet. Die Schnittstelle für ein Mobilfunknetz kann beispielsweise
nach dem GSM-, HSCSD-, GPRS-, EDGE-, CDMA- oder UMTS-Standard oder
einem Standard der 4. Generation ausgebildet sein. Funkschnittstellen
werden insbesondere von mobilen netzwerkfähigen Geräten verwendet und können nach
einer entsprechenden Konfiguration eine Verbindung zu einem Netzwerk selbstständig und
ohne weiters Zutun eines Benutzers aufbauen, sobald dies möglich ist.
Durch das Einbeziehen von Funkschnittstellen wird mit der erfindungsgemäßen Vorrichtung
vor allem die Sicherheit und Bedienungsfreundlichkeit bei mobilen
Geräten
und sich selbstständig
aufbauenden Funkverbindungen bedeutend erhöht.
-
In
einer weiteren bevorzugten Ausgestaltung der Erfindung für ein netzwerkfähiges Gerät ist wenigstens
eine Schnittstelle als Kabelschnittstelle, insbesondere für ein LAN
oder als ISDN-Schnittstelle nach dem ISDN-(Integrated Services Digital
Network)Standard, ausgebildet. Kabelschnittstellen werden wegen
ihrer zuverlässigen,
schnellen und sicheren Funktionsweise vorzugsweise für LANs,
beispielsweise in Firmen, oder als Schnittstelle zu einem Festnetz,
beispielsweise nach dem analogen POT-(Plain Old Telephone), dem
ISDN- oder dem DSL-(Digital Subscriber Line)Standard verwendet. Durch
Einbeziehen von Kabelschnittstellen wird mit der erfindungsgemäßen Vorrichtung
die Sicherheit und Anwenderfreundlichkeit von netzwerkfähigen Geräten mit
Kabelanschluss, beispielsweise an ein LAN (z. B. einer Firma) oder
ein Festnetz (z. B. privat zuhause) verbessert. Insbesondere werden
mobile Geräte,
welche sowohl in einer Firma als auch zuhause verwendet werden,
effektiv und benutzerfreundlich vor Sicherheitslücken durch Doppel- oder Mehrfachverbindungen
geschützt.
-
Weiterhin
ist in einer Ausgestaltung der erfindungsgemäßen Vorrichtung für ein netzwerkfähiges Gerät vorteilhaft
wenigstens eine Schnittstelle als RAS-Schnittstelle, vorzugsweise
als UMTS-RAS-Schnittstelle ausgebildet. Über eine RAS-Schnittstelle
wird ein Fernzugriff (RAS: Remote Access Service) auf ein Netzwerk,
beispielsweise ein Firmen-LAN ermöglicht. Ein Fernzugriff wird
häufig beim
mobilen Arbeiten (z. B. bei einem Kunden vor Ort) oder beim Heimarbeiten
verwendet, um auf Daten und Anwendungen eines Firmennetzwerks zugreifen
zu können.
Gleichzeitige Verbindungen zu anderen Netzwerken während einer
RAS-Verbindung führen
zu erheblichen Sicherheitslücken.
Diese werden mit dem Einschließen
von RAS-Schnittstellen in die erfindungsgemäße Vorrichtung sehr wirksam
und anwenderfreundlich verhindert.
-
Bei
einer bevorzugten Ausbildung der erfindungsgemäßen Vorrichtung ist das Schnittstellenkontrollmodul
zum Aktivieren bzw. Deaktivieren einzelner Schnittstellen in dem
netzwerkfähigen
Gerät angeordnet.
Somit ist das Schnittstellenkontrollmodul an jedem Ort und zu jeder
Zeit unmittelbar einsatzbereit und hat einen direkten und daher
schnellen und sicheren Zugriff auf alle Schnittstellen des netzwerkfähigen Geräts. Dadurch
wird eine permanente und zuverlässige
Aktivierung oder Deaktivierung der Schnittstellen zur Verhinderung
von Doppel- oder Mehrfachverbindungen ermöglicht.
-
In
einer anderen Ausbildung der erfindungsgemäßen Vorrichtung ist das Schnittstellenkontrollmodul
zum Aktivieren bzw. Deaktivieren einzelner Schnittstellen vorteilhaft
in einer externen Verarbeitungseinheit angeordnet. Die externe Verarbeitungseinheit
kann einerseits an oder in der Nähe
des netzwerkfähigen
Geräts
angeordnet werden und bei mobilen Geräten mitgeführt werden. Andererseits ist auch
eine Anordnung der externen Verarbeitungseinheit in einem Netzwerk,
beispielsweise einem Mobilfunknetz oder einem LAN möglich. Durch
die externe Anordnung des Schnittstellenkontrollmoduls wird ein unkompliziertes
und zügiges
Aufrüsten
von netzwerkfähigen
Geräten
mit dem Schnittstellenkontrollmodul, sowie eine einfache Wartung
bzw. Erneuerung des Schnittstellenkontrollmoduls erreicht. Eine Anordnung
in einem Netzwerk erleichtert zudem eine Einstellung und Verwaltung
von vorgegebenen Schnittstellen für verschiedene Netzwerke durch
einen Administrator.
-
Eine
vorteilhafte Ausformung der erfindungsgemäßen Vorrichtung für ein netzwerkfähiges Gerät sieht
Mittel für
das Schnittstellenkontrollmodul zum Aktivieren bzw. Deaktivieren
einzelner Schnittstellen in Abhängigkeit
von einem Ort bzw. einer Zeit vor. Je nach Ort oder Zeitpunkt können verschiedene
Verbindungen zu unterschiedlichen Netzwerken möglich sein. Mit Hilfe der Mittel
wird in Abhängigkeit
von einem Ort bzw. einer Zeit jeweils eine vorgegebene Schnittstelle
zum Aufbau einer Verbindung zu einem Netzwerk bevorzugt. So wird
für einen
Benutzer automatisch eine optimale und sichere Verbindung zu einem
Netzwerk hergestellt.
-
Gemäß einer
bevorzugten Ausgestaltung der erfindungsgemäßen Vorrichtung für ein netzwerkfähiges Gerät wird das
Schnittstellenkontrollmodul zum Aktivieren bzw. Deaktivieren einzelner Schnittstellen
von einer externen Einheit gesteuert. Die externe Einheit kann beispielsweise
in einem Netzwerk vorgesehen sein und erleichtert so eine Einflussnahme
des Netzwerks oder eines Administrators des Netzwerks auf eine Auswahl
einer Schnittstelle für
eine Verbindung wesentlich. Auch wird bei einer bestehenden Verbindung über eine
Schnittstelle eine Deaktivierung aller anderen Schnittstellen zur Erhöhung der
Sicherheit durch das Netzwerk oder einen Administrator des Netzwerks
sehr einfach ermöglicht.
-
Bei
einer bevorzugten Variante des erfindungsgemäßen Verfahrens für ein netzwerkfähiges Gerät werden
die Schnittstellen in Abhängigkeit
von einem Ort bzw. einer Zeit aktiviert bzw. deaktiviert. Dadurch
wird an einem bestimmten Ort und/oder zu einer bestimmten Zeit immer
nur eine bevorzugte Verbindung zu einem Netzwerk sehr anwenderfreundlich
und sicher automatisch aufgebaut.
-
Ferner
wird in einer bevorzugten Ausgestaltung des erfindungsgemäßen Verfahrens
für ein netzwerkfähiges Gerät dem netwerkfähigen Gerät nur eine
IP-Adresse zugeordnet. Wie bei der entsprechenden erfindungsgemäßen Vorrichtung
werden so auf unkomplizierte und wirkungsvolle Weise Doppel- oder
Mehrfachverbindungen zu mehreren Netzwerken verhindert, da das netzwerkfähige Gerät nur über die
ausgewählte
IP-Adresse und das ebenfalls durch die IP-Adresse festgelegte Netzwerk
erreichbar ist.
-
Weitere
Ausgestaltungen und Vorteile ergeben sich aus dem Gegenstand der
Unteransprüche, sowie
der Zeichnung mit der dazugehörigen
Beschreibung.
-
Ein
Ausführungsbeispiel
der Erfindung ist nachstehend unter Bezugnahme auf die zugehörige Zeichnung
näher erläutert.
-
Kurze Beschreibung der Zeichnung
-
1 zeigt
in einer schematischen Prinzipskizze ein Ausführungsbeispiel der erfindungsgemäßen Vorrichtung
und des erfindungsgemäßen Verfahrens
für ein
netzwerkfähiges
Gerät.
-
Bevorzugtes Ausführungsbeispiel
-
In 1 wird
mit 10 ein netzwerkfähiges
Gerät bezeichnet.
Das netzwerkfähige
Gerät 10 kann beispielsweise
ein stationärer
Rechner (z. B. PC), ein mobiler Rechner (z. B. Notebook, PDA), ein
Mobilfunkendgerät
(z. B. Smartphone, Handy, Notebook mit Mobilfunkmodul), ein ad-hoc-Gerat
für ad-hoc-Netzwerke
oder ein elektronisches Gerät
mit einer Netzwerkeinheit zum Einbinden in ein Netzwerk sein. Wesentliches
Merkmal des netzwerkfähigen
Geräts 10 ist,
das es eine Verbindung zu einem Netzwerk eingehen und Daten über diese
Verbindung empfangen und/oder senden kann.
-
Dazu
verfügt
das netzwerkfähige
Gerät 10 über eine
Bluetooth-Schnittstelle 12 und eine WLAN-Schnittstelle 14,
um beispielsweise eine kabellose Verbindung 16, 18 zu
einem LAN 20 aufzubauen. Das LAN 20 enthält alle
Bestandteile, die für ein
LAN erforderlich sind. Dem Fachmann sind verschiedene LANs mit den
entsprechenden Bestandteilen geläufig.
Der Einfachheit halber wird das LAN 20 deshalb nur durch
eine Wolke mit darin enthaltenen Computer 22 stilisiert
dargestellt.
-
Weiterhin
enthält
das netzwerkfähige
Gerät 10 ein
interne oder ankoppelbare Mobilfunk-Schnittstelle 24 (z. B. eine
PCMCIA-Karte mit Sende- und Empfangsmodul oder ein über eine
Schnittstelle mit dem netzwerkfähigen
Gerät 10 verbundenes
Mobilfunkendgerät)
zum Herstellen einer Funkverbindung 26 zu einem Mobilfunknetz 28,
beispielsweise nach dem GSM-, HSCSD-, GPRS-, EDGE-, CDMA- oder UMTS-Standard
oder einem Standard der 4. Generation. Da solche Mobilfunknetze
dem Fachmann bekannt sind, wird das Mobilfunknetz 28 der
Einfachheit halber auch nur durch eine Wolke mit einem darin enthaltenen
Funkmast 30 stilisiert dargestellt.
-
Ferner
beinhaltet das netzwerkfähige
Gerät 10 eine
LAN-Schnittstelle 32, um mit Hilfe eines LAN-Kabels 34 eine
leitungsgebundene Verbindung zu dem LAN 20 zu ermöglichen,
und eine Festnetz-Schnittstelle 36, um über ein Telefonnetzkabel 38 eine
Verbindung zu einem Festnetz 40 aufzubauen. Die Festnetz-Schnittstelle 36 ist
beispielsweise als internes oder externes Modem ausgebildet. Das Festnetz 40 enthält alle
Bestandteile, die für
ein Festnetz, beispielsweise nach dem Analog-, ISDN- oder DSL-Standard erforderlich
sind. Solche Festnetze sind dem Fachmann ebenfalls bekannt, deshalb
wird das Festnetz 40 der Einfachheit halber nur durch eine Wolke
mit darin enthaltene Telegrafenmasten 42 stilisiert dargestellt. Über das
Festnetz 40 ist auch eine DSL-Verbindung über die
LAN-Schnittstelle 32 oder die WLAN-Schnittstelle 14 des
netzwerkfähigen
Geräts 10 und
einen nicht aufgezeigten Rooter möglich.
-
Zusätzlich oder
alternativ können
auch andere, in 1 nicht dargestellte Schnittstellen,
wie z. B. serielle, parallele, USB-(Universal Serial Bus) oder Infrarot-Schnittstellen,
in dem netzwerkfähigen
Gerät 10 zum
Verbinden mit einem Netzwerk vorgesehen sein. Auch kann das netzwerkfähige Gerät 10 zusätzlich oder
alternativ Verbindungen zu in 1 nicht dargestellten
Netzwerken, beispielsweise einem ad-hoc Netzwerk, einem WLAN, einem
WAN, einem Intranet oder einem VPN (Virtual Private Network) herstellen.
-
Über die
Mobilfunk-Schnittstelle 24, die Funkverbindung 26,
das Mobilfunknetz 28 und eine Verbindung 44 kann
das netzwerkfähige
Gerät 10 mit dem
Internet 46 verbunden werden. Aufbau und Funktionsweise
des Internets 46 sind dem Fachmann bekannt. Das Internet 46 wird
daher nur als Wolke mit darin enthaltenen Computern 48 stilisiert dargestellt.
Andererseits ist eine Verbindung zum Internet 46 für das netzwerkfähige Gerät 10 auch über die
Festnetzschnittstelle 36, das Telefonnetzkabel 38,
das Festnetz 42 und eine Verbindung 50 möglich.
-
Das
LAN 20 verfügt über eine
Verbindung 52 zum Festnetz 40. Über das
Festnetz 40 können
Geräte
im LAN 20 über
das Festnetz 40 und die Verbindung 50 mit Geräten im Internet 46 oder über eine Verbindung 54 mit
Geräten,
welche über
das Mobilfunknetz 28 erreichbar sind, kommunizieren. Beispielsweise
ist so auch eine Verbindung zwischen dem netzwerkfähigen Gerät 10 und
dem LAN 20 über die
Festnetz-Schnittstelle 36 und das Festnetz 40 oder über die
Mobilfunk-Schnittstelle 24 und das Mobilfunknetz 28 möglich. Alternativ
oder zusätzlich
ist auch eine direkte, hier nicht dargestellte Funkverbindung zwischen
dem LAN 20 und dem Mobilfunknetz 28 denkbar.
-
Das
netzwerkfähige
Gerät 10 enthält weiterhin
eine Bedienungseinheit 56 und eine Anzeige 58 als
Benutzerschnittstelle zum Bedienen des netzwerkfähigen Geräts 10 durch einen
Benutzer. Außerdem
ist in dem netzwerkfähigen
Gerät 10 ein
Speicherplatz 60 für
IP-Adressen 62 vorgesehen, welche dem netzwerkfähigen Gerät 10 z.
B. von dem LAN 20, dem Festnetz 40 oder dem Mobilfunknetz 28 bei einer
bestehenden Verbindung zugeteilt werden. Durch einen in dem netzwerkfähigen Gerät 10 enthaltenen
RAS (Remote Access Service) mit entsprechender RAS-Schnittstelle 64 ist über eine
der Schnittstellen 12, 14, 24, 32, 36,
vorzugsweise über die
Mobilfunk-Schnittstelle 24 nach dem UMTS-Standard, eine
RAS-Verbindung zum LAN 20, d. h. ein Fernzugriff von dem
netzwerkfähigen
Gerät 10 auf Daten
und Anwendungen des LAN 20, möglich.
-
Das
netzwerkfähige
Gerät 10 weist
ferner eine Vorrichtung 70 zur Verhinderung von Doppel- oder
Mehrfachverbindungen auf. Dazu enthält die Vorrichtung 70 ein
Schnittstellenkontrollmodul 72 zum Aktivieren oder Deaktivieren
jeder im netzwerkfähigen
Gerät 10 enthaltenen
Schnittstelle. Zusätzlich
beinhaltet die Vorrichtung 70 Erfassungsmittel 74 zum
Erfassen der Aktivität
jeder Schnittstelle, Mittel 76 für das Schnittstellenkontrollmodul 72 zum
ort- oder zeitabhängigen
Aktivieren oder Deaktivieren jeder Schnittstelle und eine Präferenzliste 82 von
bevorzugten oder einander ausschließenden Verbindungen.
-
Das
Schnittstellenkontrollmodul 72 ist zusätzlich von einer externen Einheit 78 steuerbar,
welche in diesem Ausführungsbeispiel
dem LAN 10 zugeordnet ist. Alternativ kann die externe
Einheit 78 auch im Mobilfunknetz 28, dem Festnetz 40 oder
einem stationären
oder mobilen Gerät
mit Verbindung zum netzwerkfähigen
Gerät 10,
wie etwa einem Rechner, vorgesehen sein. In einer alternativen Ausführung ist
ein Schnittstellenkontrollmodul 72a in einer externen Verarbeitungseinheit 80 enthalten.
Die externe Verarbeitungseinheit ist in 1 mit dem LAN 20 verbunden.
Alternativ ist aber auch eine Verbindung der externen Verarbeitungseinheit 80 mit dem
netzwerkfähigen
Gerät 10,
dem Mobilfunknetz 28, dem Festnetz 40 oder dem
Internet 46 möglich.
-
Das
netzwerkfähige
Gerät 10 ist
mit den Schnittstellen 12, 14, 24, 32, 36, 64 in
der Lage, gleichzeitig Verbindungen zu verschiedenen Netzwerken 20, 28, 40, 48 einzurichten,
wodurch erhebliche Sicherheitsrisiken entstehen können. Beispielsweise
kann von dem netzwerkfähigen
Gerät 10 über die
Mobilfunk-Schnittstelle 24 und das Mobilfunknetz 28 eine
Verbindung 26, 44 zum Internet bestehen. Bei Annäherung an
das LAN 20 wird gleichzeitig und ohne Zutun eines Benutzers
eine Verbindung zum LAN 20 über die WLAN-Schnittstelle 14 aufgebaut. Durch
diese Brückenverbindung
kann willentlich oder unbeabsichtigt schädlich Software in das LAN 20 gelangen.
Ein Angreifer aus dem Internet 46 erhält bei bestehendem Zugriff
auf das netzwerkfähige
Gerät 10 einen
Zugriff auf das LAN 20 und kann dieses ausspionieren oder
schädigen.
Bei einem anderen beispielhaften Szenario hat ein Benutzer des netzwerkfähigen Geräts 10 über die
RAS-Schnittstelle 64 und die
Mobilfunk-Schnittstelle 24 einen UMTS-RAS-Fernzugriff auf
das LAN 20, während
er zuhause über
die Festnetz-Schnittstelle 36 oder die WLAN-Schnittstelle 14 und
einen Rooter eine Verbindung 38, 50 zum Internet 46 herstellt.
Auch dadurch entsteht eine bedeutende Sicherheitslücke für das LAN 20.
-
Um
solche, die Sicherheit gefährdenden Doppel-
oder Mehrfachverbindungen des netzwerkfähigen Geräts 10 zu verhindern, überprüft die Vorrichtung 70 mit
den Erfassungsmitteln 74 permanent oder in bestimmten,
voreingestellten Intervallen die Aktivität aller Schnittstellen des
netzwerkfähigen
Geräts 10,
also insbesondere der Schnittstellen 12, 14, 24, 32, 36, 64.
Dazu kann beispielsweise der Speicherplatz 60 für zugewiesene
IP-Adressen 62 in regelmäßigen Abständen ausgelesen werden. Liegen mehr
als eine IP-Adresse 62 vor, so bestehen mehrere Verbindungen
gleichzeitig. Die entsprechenden aktiven Schnittstellen und Netzwerkverbindungen werden
von den Erfassungsmitteln 74 ermittelt.
-
Werden
momentan mehrere Verbindungen aufgebaut oder bestehen diese schon,
so befragt die Vorrichtung 70 entweder den Benutzer oder
eine Präferenzliste 82,
welche Verbindung bevorzugt wird. Anschließend wird die Schnittstelle
der bevorzugten Verbindung durch das Schnittstellenkontrollmodul 72 aktiviert
bzw. nicht deaktiviert, während
alle anderen Schnittstellen deaktiviert werden. Dies betrifft vor
allem die Schnittstellen 12, 14, 24, 32, 36, 64.
So wird nur eine Verbindung mit einer IP-Adresse zugelassen. Die
Vorrichtung 10 verhindert wirkungsvoll und benutzerfreundlich
Doppel- oder Mehrfachverbindungen.
Zudem wird jeweils die optimale Verbindung hergestellt.
-
Mit
Hilfe der Mittel 76 zum ort- oder zeitabhängigen Aktivieren
oder Deaktivieren einzelner Schnittstellen werden zusätzlich nur
bestimmte Verbindungen an einem Ort bzw. zu einer Zeit zugelassen.
Dazu kann auch eine ort- oder zeitabhängige Präferenzliste 82 vorgesehen
sein. Das netzwerkfähige
Gerät 10 baut
so benutzerfreundlich bzw. benutzerunabhängig jeweils nur eine optimale
Verbindung zu einem Netzwerk, insbesondere einem der Netzwerke 20, 28, 40 46 auf.
-
Mit
der externen Einheit 78 ist eine Steuerung oder Wartung
der Vorrichtung 10, des Schnittstellenkontrollmoduls 72 oder
der Erfassungsmittel 74 von außerhalb des netzwerkfähigen Geräts 10, beispielsweise
durch einen Administrator des LAN 20 möglich. Dabei kann auch das Überprüfungsintervall der
Erfassungsmittel 74 eingestellt oder die Präferenzliste 82 aktualisiert
werden. Somit wird durch die externe Einheit 78 die Verhinderung
von Doppel- oder Mehrfachverbindungen noch sicherer ausgeführt. In
einer alternativen Ausführung
ist das Schnittstellenkontrollmodul 72a in einer externen
Verarbeitungseinheit 80, z. B. im LAN 20 oder
im Mobilfunknetz 28, vorgesehen. Ein Administrator oder
Netzwerkbetreiber hat so einen besseren Zugriff auf das Schnittstellenkontrollmodul 72a,
wodurch eine noch größere Sicherheit
erzielt wird.
-
Entsprechend
werden bei dem Verfahren zunächst
alle Schnittstellen, insbesondere aus der Menge der Schnittstellen 12, 14, 24, 32, 36, 64 erfasst,
welche eine Verbindung zu einem Netzwerk, z. B. den Netzwerken 20, 28, 40, 46 aufbauen
können. Dazu
können
beispielsweise ebenfalls die im Speicherplatz 60 gespeicherten
IP-Adressen 62 permanent oder periodisch überwacht
werden. Sind zwei oder mehr IP-Adressen 62 in dem Speicherplatz 60 eingetragen,
so wird eine der zugehörigen
Schnittstellen als aktive Schnittstelle ausgewählt. Dazu kann wiederum der
Benutzer befragt oder die Präferenzliste 82 verwendet
werden. Alle übrigen
Schnittstellen werden anschließend
deaktiviert bzw. blockiert und somit nur eine IP-Adresse 62 zugelassen. Doppel-
oder Mehrfachverbindungen werden effektiv und benutzerfreundlich
vermieden und es wird immer eine optimale Verbindung eingerichtet.
Auch bei dem Verfahren ist eine ort- oder zeitabhängige Aktivierung oder
Deaktivierung von Schnittstellen, z. B. mit Hilfe der Mittel 76 möglich, um
das Verhindern von Doppel- oder Mehrfachverbindungen benutzerunabhängiger und
sicherer zu gestalten. Eine externe Steuerung des Verfahrens, und
eine Pflege der Präferenzliste 82 ist
ebenfalls möglich,
beispielsweise von dem LAN 20 oder dem Mobilfunknetz 28.
-
- 10
- netzwerkfähiges Gerät
- 12
- Bluetooth-Schnittstelle
- 14
- WLAN-Schnittstelle
- 16
- kabellose
Verbindung (Bluetooth)
- 18
- kabellose
Verbindung (WLAN)
- 20
- LAN
- 22
- stilisierte
Computer im LAN
- 24
- Mobilfunk-Schnittstelle
- 26
- Funkverbindung
- 28
- Mobilfunknetz
- 30
- Funkmast
- 32
- LAN-Schnittstelle
- 34
- LAN-Kabel
- 36
- Festnetz-Schnittstelle
- 38
- Telefonnetzkabel
- 40
- Festnetz
- 42
- Telegrafenmasten
- 44
- Verbindung
Mobilfunknetz-Internet
- 46
- Internet
- 48
- stilisierte
Computer im Internet
- 50
- Verbindung
Festnetz-Internet
- 52
- Verbindung
LAN-Festnetz
- 54
- Verbindung
Festnetz-Mobilfunknetz
- 56
- Bedienungseinheit
- 58
- Anzeige
- 60
- Speicherplatz
- 62
- IP-Adresse
- 64
- RAS-Schnittstelle
- 70
- Vorrichtung
- 72
- Schnittstellenkontrollmodul
- 74
- Erfassungsmittel
- 76
- Mittel
- 78
- externe
Einheit
- 80
- externe
Verarbeitungseinheit
- 82
- Präferenzliste