DE102009016382A1 - Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken - Google Patents

Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken Download PDF

Info

Publication number
DE102009016382A1
DE102009016382A1 DE102009016382A DE102009016382A DE102009016382A1 DE 102009016382 A1 DE102009016382 A1 DE 102009016382A1 DE 102009016382 A DE102009016382 A DE 102009016382A DE 102009016382 A DE102009016382 A DE 102009016382A DE 102009016382 A1 DE102009016382 A1 DE 102009016382A1
Authority
DE
Germany
Prior art keywords
port
ports
port forwarding
address
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102009016382A
Other languages
English (en)
Inventor
Lubomir Kostadinov
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kostadinov Lubomir Dipl-Ing
Original Assignee
Kostadinov Lubomir Dipl-Ing
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kostadinov Lubomir Dipl-Ing filed Critical Kostadinov Lubomir Dipl-Ing
Priority to DE102009016382A priority Critical patent/DE102009016382A1/de
Publication of DE102009016382A1 publication Critical patent/DE102009016382A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2517Translation of Internet protocol [IP] addresses using port numbers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • H04L61/2589NAT traversal over a relay server, e.g. traversal using relay for network address translation [TURN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung (31) und ein Verfahren, die eine Kommunikation zwischen Klienten (11, 12) im externen Netzwerk (10) und Geräten und Ressourcen (32, 33) im internen Netzwerk (30) ermöglichen, wobei die Sicherheit des internen Netzwerks gegen unbefugten Zugriff aus dem externen Netzwerk bei gleichzeitig reduziertem Konfigurationsaufwand für die Schnittstelle (20) zwischen beiden Netzwerken gewährleistet wird. Es wird auch eine direkte Adressierbarkeit der Teilnehmer des internen Netzwerks aus dem externen Netzwerk ermöglicht.

Description

  • Die vorliegende Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren, die eine sichere Kommunikation zwischen Klienten im externen Netzwerk und Geräten und Ressourcen im internen Netzwerk ermöglichen, insbesondere eine Kommunikation, die aus dem externen Netzwerk initiiert werden kann.
  • 1 zeigt ein Netzwerk, das durch den Router (20) in internes und externes Netzwerk unterteilt ist. Üblicherweise sind solche Router mit einer so genannten NAT Einheit (21) (Network Address Translation) ausgestattet. Das ermöglicht das gesamte interne Netzwerk (30) mit nur einer IP (Internet Protocol) Adresse mit dem externen Netzwerk (10) zu verbinden. Diese Konstellation ist typisch für die Verbindung eines Heimnetzwerks über DSL-Router mit dem Internet.
  • Das NAT-Verfahren ermöglicht eine Kommunikation, die aus dem internen Netzwerk initiiert wird und Kommunikationsversuche blockiert, die aus dem externen Netzwerk stammen. Der Vorteil dieses Verfahrens, das interne Netzwerk vor Zugriffen von außen zu schützen, verwandelt sich im Nachteil, wenn es um das Ziel geht, Klienten aus dem Internet die Möglichkeit zu geben, Geräte im Heimnetzwerk zu steuern oder auf andere Ressourcen zuzugreifen.
  • Zur Umgehung dieses Nachteils gibt es derzeit verschiedene Standardlösungen, die in die meisten DSL-Router implementiert sind. Eine dieser Lösungen ist die so genannte Portweiterleitung (engl. Port Forwarding). Bei dieser Lösung werden bestimmte Ports für Zugriffe von außen dauerhaft geöffnet, um so die Geräte im inneren Netzwerk erreichbar zu machen. Nachteilig dabei ist neben dem erheblichen Konfigurationsaufwand und der fehlenden Möglichkeit, die vergebenen Adressen aus dem externen Netzwerk nachzuvollziehen (der Benutzer muss sich die Ports merken, die er vorher vergeben hat) die Tatsache, dass alle Geräte im inneren Netzwerk von außen sichtbar und auch einzeln angreifbar sind.
  • Eine weitere Möglichkeit, Zugriffe von außen zu ermöglichen, ist das so genannte „Port-Triggering”. Dieses Verfahren ähnelt der oben beschriebenen Portweiterleitung bis auf den Unterschied, dass die Ports nur dann geöffnet werden, wenn eine bestimmte Applikation im internen Netzwerk aktiv ist, was letztendlich dazu führt, dass um eine dauerhafte Erreichbarkeit zu ermöglichen, die entsprechende Applikation ständig laufen muss, damit die Ports geöffnet bleiben, wodurch das interne Netzwerk auch permanent Gefahren ausgesetzt ist.
  • Des Weiteren werden verschiedene Lösungen, die als Tunneling bezeichnet werden (z. B. SSH-Tunnel, VPN-Tunnel) eingesetzt, wobei auf der Client- und Serverseite eine spezielle Software (z. B. VPN-Client und -Server) vorhanden sein muss, was neben der mangelnden Kompatibilität zwischen den Softwarelösungen verschiedener Hersteller eine ganze Reihe von Endgeräten und Betriebssystemen ausschließt, für die es keine passende Software gibt bzw. keine Nachrüstung vorgesehen ist.
  • Der Erfindung Liegt daher die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung bereitzustellen, die autorisierten Klienten aus dem externen Netzwerk den geschützten Zugriff auf Geräte und Ressourcen im Heimnetzwerk ohne Einsatz von spezieller Software und ohne Inanspruchnahme externer Server oder Dienste sowie die Nachrüstung bestehender Netzwerkinfrastrukturen mit den oben beschriebenen Funktionalitäten ermöglichen.
  • Die Erfindung löst die gestellten Aufgaben durch den Einsatz einer zentralen Verwaltungsvorrichtung (31), die auf verschiedene Art und Weise ins innere Netzwerk implementiert werden kann, entweder stellt sie ein eigenständiges Netzwerkgerät (31) (1) dar oder sie kann in den Router (20) oder in andere Teilnehmer des inneren Netzwerks eingebaut werden.
  • Ein Ausführungsbeispiel der Erfindung ist in 1 dargestellt und wird im Folgenden näher beschrieben.
  • Die Aufgabe des Routers (20) besteht darin, alle ankommenden Pakete zur Vorrichtung (31), die eine Stellvertreterrolle für das gesamte innere Netzwerk übernimmt, weiterzuleiten. Die Vorrichtung (31) übernimmt alle Aufgaben, die mit Klient- und Geräteverwaltung, Portweiterleitung und Paketfiltrierung verbunden sind. Die Probleme, die mit der herkömmlichen Portweiterleitung entstehen, werden durch Vorschalten eines Paketfilters und einer dynamischen Steuerung des Paketfilters und der Portweiterleitung anhand des Klient- und Gerätestatus gelöst. Somit werden die Ports, die mit den Geräten im inneren Netzwerk korrespondieren, nur in Richtung der angemeldeten Klienten für die Zeit der Kommunikations-Session geöffnet.
  • 2 stellt die Hauptelemente der zentralen Verwaltungsvorrichtung (31) dar. Hinsichtlich des Verfahrens zur sicheren Kommunikation wird mindestens ein Port für Verwaltungsaufgaben bereitgestellt. Die Pakete, die für die restlichen Ports bestimmt sind, werden durch den Paketfilter (52) geleitet. Die Sessions-Steuerungseinheit (51) realisiert die Client-Identifikation und konfiguriert anhand der in der Benutzerverwaltung (54) und der Geräteverwaltung (55) gespeicherten Daten den Paketfilter und die Portweiterleitung (53) und stellt Namen-Adressen-Transformationslisten Listen für den Client-Assistenten (56) bereit, der einen Zugriff auf die Geräte im inneren Netzwerk ohne genaue Kenntnis ihrer Ports und Adressen anhand von Namen ermöglicht.
  • Nachfolgend wird das erfindungsgemäße Verfahren zur sicheren Kommunikation – bezeichnet als konditionale Portweiterleitung – beschrieben, wobei 3 ein Flussdiagramm mit den entsprechenden Verfahrensschritten darstellt. Der Unterschied dieses Verfahrens zur herkömmlichen Portweiterleitung besteht darin, dass die konditionale Portweiterleitung von einer oder mehreren zusätzlichen Bedingungen abhängig ist, die z. B. aus den Klientrechten, dem Gerätestatus, dem Netzwerkzustand u. a. resultieren können. Der entscheidende Vorteil des erfindungsgemäßen Verfahrens liegt jedoch in der erhöhten Sicherheit des inneren Netzwerks.
  • Um die Verfahrensschritte zu veranschaulichen, wird angenommen, dass im internen Netzwerk zwei Geräte, für die der Client Zugriffsrechte besitzt, vorhanden sind.
  • Beispielkonstellation 1 :
    • Gerät1 (32) mit IP-Adresse 192.168.0.10 und Ports: 80,4001
    • Gerät2 (33) mit IP-Adresse 192.168.0.11 und Ports: 80,5001,5002
    • Verwaltungsvorrichtung (31) mit IP-Adresse 192.168.0.5 und Verwaltungsport 80
    • Router (20) mit öffentlicher IP-Adresse 87.172.171.10
    • Client (11) mit öffentlicher IP-Adresse 141.57.176.12
  • Nach einem Start in Schritt S1 werden anhand der gespeicherten Informationen in der Benutzerverwaltung (54) die Identität des Clients, seine Rechte und seine IP-Adresse festgestellt.
  • Bei vorliegender Berechtigung in Schritt S2 wird der Paketfilter (52) neu konfiguriert und die IP-Adresse des Clients wird als erlaubte Paketquelle eingetragen.
  • In Schritt S3 wird die Portweiterleitung so konfiguriert, dass bestimmte Eingangsports auf die Geräte im internen Netzwerk zeigen, die für den Client erlaubt sind.
    • 192.168.0.5:5000 → 192.168.0.10:80
    • 192.168.0.5:5001 → 192.168.0.10:4001
    • 192.168.0.5:5002 → 192.168.0.11:80
    • 192.168.0.5:5003 → 192.168.0.11:5001
    • 192.168.0.5:5004 → 192.168.0.11:5002
  • In Schritt S4 wird anhand der Gerätenamen, der ausgewählten Eingangsports und der öffentlichen IP-Adresse des internen Netzwerks (Router 20) eine Namen-Adressen-Transformationsliste erstellt.
    • [Gerät1] → 87.172.171.10:5000
    • [Gerät2] → 87.172.171.10:5002
  • Das Durchleiten des Datenverkehrs in Schritt S5, zwischen Client (11) und Gerät1 (32) sieht wie folgt aus:
    • 141.57.176.12:XX → 87.172.171.10:5000 → 192.168.0.5:5000 → 192.168.0.10:80
  • Das Durchleiten des Datenverkehrs in Schritt S5, zwischen Client (11) und Gerät2 (33) sieht wie folgt aus:
    • 141.57.176.12:XX → 87.172.171.10:5002 → 192.168.0.5:5002 → 192.168.0.11:80
  • Das Verfahren endet in Schritt S6, wo nach Ablauf der Kommunikations-Session die Verwaltungsvorrichtung (31) in den ursprünglichen Zustand versetzt wird.
  • Die oben beschriebene Lösung ist als ein eigenständiges Netzwerkgerät (31) (1) realisiert. Die Erfindung ist jedoch nicht nur darauf beschränkt, sondern kann auch in den Router (20) oder in andere Teilnehmer des inneren Netzwerks implementiert werden.

Claims (8)

  1. Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken – bezeichnet als konditionale Portweiterleitung, das folgende Schritte umfasst: • Client-Identifikation (S1) • Portfilter-Konfiguration (S2) • Portweiterleitungs-Konfiguration (S3) • Namen-Adressen-Transformationslisten-Bereitstellung (S4) • Durchleiten des Datenverkehrs gemäß der in S2 und S3 aufgestellten Regeln (S5) • Zurücksetzen der Konfiguration des Portfilters und der Portweiterleitungseinheit nach Ablauf der Kommunikations-Session (S6)
  2. Verfahren nach Patentanspruch 1. dadurch gekennzeichnet, dass mindestens ein Port für die Schritte S1 und 84 bereitgestellt werden muss. Die restlichen Ports können – bedingt durch Schritt S1 – zum Durchleiten des Datenverkehrs zwischen Klienten im externen Netzwerk und Geräten und Ressourcen im internen Netzwerk benutzt werden.
  3. Verfahren nach Patentanspruch 1 und 2. dadurch gekennzeichnet, dass die Ports, die in Schritt S5 einbezogen sind, im Endeffekt nur in Richtung der autorisierten Klienten geöffnet werden.
  4. Verfahren nach Patentanspruch 1 bis 3. dadurch gekennzeichnet, dass die Namen-Adressen-Transformationsliste in Schritt S4 eine Hyperlink-Liste darstellt, wobei die Links auf die öffentliche IP-Adresse des internen Netzwerks gerichtet sind.
  5. Verfahren nach Patentanspruch 1 bis 4. dadurch gekennzeichnet, dass die Namen-Adressen-Transformationsliste in Schritt S4 eine Umwandlung zwischen den Namen der Geräte im internen Netzwerk und den Ports der zentralen Verwaltungsvorrichtung (31), die in Schritt S3 zur Weiterleitung des Datenverkehrs konfiguriert sind, ermöglicht.
  6. Vorrichtung zur sicheren Kommunikation zwischen externen und internen Netzwerken mit: einem Paketfilter (52) zum Schutz des internen Netzwerks; einer Portweiterleitungseinheit (53) zur Umwandlung von Adressen und Ports; einer Benutzerverwaltung (54), die Informationen zur Client-Identifikation enthält; einer Geräteverwaltung (55), die Adressen und verwendete Ports der Geräte im inneren Netzwerk enthält; einer Sessions-Steuerungseinheit (51) zur Identifizierung der Klienten aus dem externen Netzwerk und zur Steuerung des Paketfilters und der Portweiterleitungseinheit.
  7. Vorrichtung nach Patentanspruch 6. dadurch gekennzeichnet, dass sie eine konditionale Transformation zwischen der eigenen Adresse und den dazugehörigen Ports und den Adressen und Ports der Geräte im inneren Netzwerk ermöglicht.
  8. Vorrichtung nach Patentanspruch 6 und 7. dadurch gekennzeichnet, dass sie eine Namen-Adressen-Transformationsliste bereitstellt, die eine Umwandlung zwischen den Namen der Geräte im internen Netzwerk und der eigenen Ports, die auf entsprechende Geräte gerichtet sind, ermöglicht.
DE102009016382A 2009-04-04 2009-04-04 Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken Ceased DE102009016382A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009016382A DE102009016382A1 (de) 2009-04-04 2009-04-04 Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009016382A DE102009016382A1 (de) 2009-04-04 2009-04-04 Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken

Publications (1)

Publication Number Publication Date
DE102009016382A1 true DE102009016382A1 (de) 2010-10-07

Family

ID=42675051

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009016382A Ceased DE102009016382A1 (de) 2009-04-04 2009-04-04 Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken

Country Status (1)

Country Link
DE (1) DE102009016382A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6202156B1 (en) * 1997-09-12 2001-03-13 Sun Microsystems, Inc. Remote access-controlled communication
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US20050108430A1 (en) * 2003-10-23 2005-05-19 Cisco Technology, Inc. Methods and devices for sharing content on a network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6202156B1 (en) * 1997-09-12 2001-03-13 Sun Microsystems, Inc. Remote access-controlled communication
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US20050108430A1 (en) * 2003-10-23 2005-05-19 Cisco Technology, Inc. Methods and devices for sharing content on a network

Similar Documents

Publication Publication Date Title
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE69827351T2 (de) Mehrfach-virtuelle Wegsucher
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
EP2442527B1 (de) Verfahren und Vorrichtung zum Aufbau einer VPN-Verbindung zwischen zwei Netzwerken
EP2400708B1 (de) Netzwerk-Schutzeinrichtung
DE102010045256B4 (de) Verfahren zum Betreiben eines Firewallgerätes in Automatisierungsnetzwerken
DE10084739B4 (de) Anordnung und Verfahren in einem geschalteten Telekommunikationssystem
DE102019210224A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
DE102009016382A1 (de) Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken
WO2006076752A1 (de) Computersicherheitssystem
EP1699181A1 (de) Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
EP2493122B1 (de) IPv6 Quellenadressextrapolation
DE10138865C2 (de) Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken
EP1393499A2 (de) Verfahren und anordnung zur standortunabhängigen überwachung (interception) von sprach- und/oder datennetzverbindungen durch bedarfsträger (law enforcement agencies)
LU101164B1 (de) Vorrichtung mit Netzwerkkomponente mit wenigstens zwei auswählbaren Betriebsmodi
EP1748619B1 (de) Verfahren zum Aufbau einer direkten, netzübergreifenden und abhörsicheren Kommunikationsverbindung
EP1559241B1 (de) Verfahren und vorrichtung zum austausch von daten mittels einer tunnelverbindung
EP3644570B1 (de) Firewall für gebäudenetzwerke, ein entsprechendes system und verfahren sowie ein computerlesbares medium
EP3439259B1 (de) Härten eines kommunikationsgerätes
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
WO2020065476A1 (de) System und verfahren für einen zugriff auf daten in einem internen bereich
EP2945333B1 (de) Übermittlungsverfahren für IP-Netze mittels VLAN-Tag
DE102019107351A1 (de) Vorrichtung mit Netzwerkkomponente mit wenigstens zwei auswählbaren Betriebsmodi
DE102004025056A1 (de) Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8122 Nonbinding interest in granting licences declared
8131 Rejection
R003 Refusal decision now final

Effective date: 20110225