DE102009016382A1 - Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken - Google Patents
Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken Download PDFInfo
- Publication number
- DE102009016382A1 DE102009016382A1 DE102009016382A DE102009016382A DE102009016382A1 DE 102009016382 A1 DE102009016382 A1 DE 102009016382A1 DE 102009016382 A DE102009016382 A DE 102009016382A DE 102009016382 A DE102009016382 A DE 102009016382A DE 102009016382 A1 DE102009016382 A1 DE 102009016382A1
- Authority
- DE
- Germany
- Prior art keywords
- port
- ports
- port forwarding
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2589—NAT traversal over a relay server, e.g. traversal using relay for network address translation [TURN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Die Erfindung betrifft eine Vorrichtung (31) und ein Verfahren, die eine Kommunikation zwischen Klienten (11, 12) im externen Netzwerk (10) und Geräten und Ressourcen (32, 33) im internen Netzwerk (30) ermöglichen, wobei die Sicherheit des internen Netzwerks gegen unbefugten Zugriff aus dem externen Netzwerk bei gleichzeitig reduziertem Konfigurationsaufwand für die Schnittstelle (20) zwischen beiden Netzwerken gewährleistet wird. Es wird auch eine direkte Adressierbarkeit der Teilnehmer des internen Netzwerks aus dem externen Netzwerk ermöglicht.
Description
- Die vorliegende Erfindung bezieht sich auf eine Vorrichtung und ein Verfahren, die eine sichere Kommunikation zwischen Klienten im externen Netzwerk und Geräten und Ressourcen im internen Netzwerk ermöglichen, insbesondere eine Kommunikation, die aus dem externen Netzwerk initiiert werden kann.
-
1 zeigt ein Netzwerk, das durch den Router (20 ) in internes und externes Netzwerk unterteilt ist. Üblicherweise sind solche Router mit einer so genannten NAT Einheit (21 ) (Network Address Translation) ausgestattet. Das ermöglicht das gesamte interne Netzwerk (30 ) mit nur einer IP (Internet Protocol) Adresse mit dem externen Netzwerk (10 ) zu verbinden. Diese Konstellation ist typisch für die Verbindung eines Heimnetzwerks über DSL-Router mit dem Internet. - Das NAT-Verfahren ermöglicht eine Kommunikation, die aus dem internen Netzwerk initiiert wird und Kommunikationsversuche blockiert, die aus dem externen Netzwerk stammen. Der Vorteil dieses Verfahrens, das interne Netzwerk vor Zugriffen von außen zu schützen, verwandelt sich im Nachteil, wenn es um das Ziel geht, Klienten aus dem Internet die Möglichkeit zu geben, Geräte im Heimnetzwerk zu steuern oder auf andere Ressourcen zuzugreifen.
- Zur Umgehung dieses Nachteils gibt es derzeit verschiedene Standardlösungen, die in die meisten DSL-Router implementiert sind. Eine dieser Lösungen ist die so genannte Portweiterleitung (engl. Port Forwarding). Bei dieser Lösung werden bestimmte Ports für Zugriffe von außen dauerhaft geöffnet, um so die Geräte im inneren Netzwerk erreichbar zu machen. Nachteilig dabei ist neben dem erheblichen Konfigurationsaufwand und der fehlenden Möglichkeit, die vergebenen Adressen aus dem externen Netzwerk nachzuvollziehen (der Benutzer muss sich die Ports merken, die er vorher vergeben hat) die Tatsache, dass alle Geräte im inneren Netzwerk von außen sichtbar und auch einzeln angreifbar sind.
- Eine weitere Möglichkeit, Zugriffe von außen zu ermöglichen, ist das so genannte „Port-Triggering”. Dieses Verfahren ähnelt der oben beschriebenen Portweiterleitung bis auf den Unterschied, dass die Ports nur dann geöffnet werden, wenn eine bestimmte Applikation im internen Netzwerk aktiv ist, was letztendlich dazu führt, dass um eine dauerhafte Erreichbarkeit zu ermöglichen, die entsprechende Applikation ständig laufen muss, damit die Ports geöffnet bleiben, wodurch das interne Netzwerk auch permanent Gefahren ausgesetzt ist.
- Des Weiteren werden verschiedene Lösungen, die als Tunneling bezeichnet werden (z. B. SSH-Tunnel, VPN-Tunnel) eingesetzt, wobei auf der Client- und Serverseite eine spezielle Software (z. B. VPN-Client und -Server) vorhanden sein muss, was neben der mangelnden Kompatibilität zwischen den Softwarelösungen verschiedener Hersteller eine ganze Reihe von Endgeräten und Betriebssystemen ausschließt, für die es keine passende Software gibt bzw. keine Nachrüstung vorgesehen ist.
- Der Erfindung Liegt daher die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung bereitzustellen, die autorisierten Klienten aus dem externen Netzwerk den geschützten Zugriff auf Geräte und Ressourcen im Heimnetzwerk ohne Einsatz von spezieller Software und ohne Inanspruchnahme externer Server oder Dienste sowie die Nachrüstung bestehender Netzwerkinfrastrukturen mit den oben beschriebenen Funktionalitäten ermöglichen.
- Die Erfindung löst die gestellten Aufgaben durch den Einsatz einer zentralen Verwaltungsvorrichtung (
31 ), die auf verschiedene Art und Weise ins innere Netzwerk implementiert werden kann, entweder stellt sie ein eigenständiges Netzwerkgerät (31 ) (1 ) dar oder sie kann in den Router (20 ) oder in andere Teilnehmer des inneren Netzwerks eingebaut werden. - Ein Ausführungsbeispiel der Erfindung ist in
1 dargestellt und wird im Folgenden näher beschrieben. - Die Aufgabe des Routers (
20 ) besteht darin, alle ankommenden Pakete zur Vorrichtung (31 ), die eine Stellvertreterrolle für das gesamte innere Netzwerk übernimmt, weiterzuleiten. Die Vorrichtung (31 ) übernimmt alle Aufgaben, die mit Klient- und Geräteverwaltung, Portweiterleitung und Paketfiltrierung verbunden sind. Die Probleme, die mit der herkömmlichen Portweiterleitung entstehen, werden durch Vorschalten eines Paketfilters und einer dynamischen Steuerung des Paketfilters und der Portweiterleitung anhand des Klient- und Gerätestatus gelöst. Somit werden die Ports, die mit den Geräten im inneren Netzwerk korrespondieren, nur in Richtung der angemeldeten Klienten für die Zeit der Kommunikations-Session geöffnet. -
2 stellt die Hauptelemente der zentralen Verwaltungsvorrichtung (31 ) dar. Hinsichtlich des Verfahrens zur sicheren Kommunikation wird mindestens ein Port für Verwaltungsaufgaben bereitgestellt. Die Pakete, die für die restlichen Ports bestimmt sind, werden durch den Paketfilter (52 ) geleitet. Die Sessions-Steuerungseinheit (51 ) realisiert die Client-Identifikation und konfiguriert anhand der in der Benutzerverwaltung (54 ) und der Geräteverwaltung (55 ) gespeicherten Daten den Paketfilter und die Portweiterleitung (53 ) und stellt Namen-Adressen-Transformationslisten Listen für den Client-Assistenten (56 ) bereit, der einen Zugriff auf die Geräte im inneren Netzwerk ohne genaue Kenntnis ihrer Ports und Adressen anhand von Namen ermöglicht. - Nachfolgend wird das erfindungsgemäße Verfahren zur sicheren Kommunikation – bezeichnet als konditionale Portweiterleitung – beschrieben, wobei
3 ein Flussdiagramm mit den entsprechenden Verfahrensschritten darstellt. Der Unterschied dieses Verfahrens zur herkömmlichen Portweiterleitung besteht darin, dass die konditionale Portweiterleitung von einer oder mehreren zusätzlichen Bedingungen abhängig ist, die z. B. aus den Klientrechten, dem Gerätestatus, dem Netzwerkzustand u. a. resultieren können. Der entscheidende Vorteil des erfindungsgemäßen Verfahrens liegt jedoch in der erhöhten Sicherheit des inneren Netzwerks. - Um die Verfahrensschritte zu veranschaulichen, wird angenommen, dass im internen Netzwerk zwei Geräte, für die der Client Zugriffsrechte besitzt, vorhanden sind.
- Beispielkonstellation
1 : -
- Gerät1
(
32 ) mit IP-Adresse 192.168.0.10 und Ports: 80,4001 - Gerät2
(
33 ) mit IP-Adresse 192.168.0.11 und Ports: 80,5001,5002 - Verwaltungsvorrichtung (
31 ) mit IP-Adresse 192.168.0.5 und Verwaltungsport80 - Router (
20 ) mit öffentlicher IP-Adresse 87.172.171.10 - Client (
11 ) mit öffentlicher IP-Adresse 141.57.176.12 - Nach einem Start in Schritt S1 werden anhand der gespeicherten Informationen in der Benutzerverwaltung (
54 ) die Identität des Clients, seine Rechte und seine IP-Adresse festgestellt. - Bei vorliegender Berechtigung in Schritt S2 wird der Paketfilter (
52 ) neu konfiguriert und die IP-Adresse des Clients wird als erlaubte Paketquelle eingetragen. - In Schritt S3 wird die Portweiterleitung so konfiguriert, dass bestimmte Eingangsports auf die Geräte im internen Netzwerk zeigen, die für den Client erlaubt sind.
- 192.168.0.5:5000 → 192.168.0.10:80
- 192.168.0.5:5001 → 192.168.0.10:4001
- 192.168.0.5:5002 → 192.168.0.11:80
- 192.168.0.5:5003 → 192.168.0.11:5001
- 192.168.0.5:5004 → 192.168.0.11:5002
- In Schritt S4 wird anhand der Gerätenamen, der ausgewählten Eingangsports und der öffentlichen IP-Adresse des internen Netzwerks (Router
20 ) eine Namen-Adressen-Transformationsliste erstellt. - [Gerät1] → 87.172.171.10:5000
- [Gerät2] → 87.172.171.10:5002
- Das Durchleiten des Datenverkehrs in Schritt S5, zwischen Client (
11 ) und Gerät1 (32 ) sieht wie folgt aus: - 141.57.176.12:XX → 87.172.171.10:5000 → 192.168.0.5:5000 → 192.168.0.10:80
- Das Durchleiten des Datenverkehrs in Schritt S5, zwischen Client (
11 ) und Gerät2 (33 ) sieht wie folgt aus: - 141.57.176.12:XX → 87.172.171.10:5002 → 192.168.0.5:5002 → 192.168.0.11:80
- Das Verfahren endet in Schritt S6, wo nach Ablauf der Kommunikations-Session die Verwaltungsvorrichtung (
31 ) in den ursprünglichen Zustand versetzt wird. - Die oben beschriebene Lösung ist als ein eigenständiges Netzwerkgerät (
31 ) (1 ) realisiert. Die Erfindung ist jedoch nicht nur darauf beschränkt, sondern kann auch in den Router (20 ) oder in andere Teilnehmer des inneren Netzwerks implementiert werden.
Claims (8)
- Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken – bezeichnet als konditionale Portweiterleitung, das folgende Schritte umfasst: • Client-Identifikation (S1) • Portfilter-Konfiguration (S2) • Portweiterleitungs-Konfiguration (S3) • Namen-Adressen-Transformationslisten-Bereitstellung (S4) • Durchleiten des Datenverkehrs gemäß der in S2 und S3 aufgestellten Regeln (S5) • Zurücksetzen der Konfiguration des Portfilters und der Portweiterleitungseinheit nach Ablauf der Kommunikations-Session (S6)
- Verfahren nach Patentanspruch 1. dadurch gekennzeichnet, dass mindestens ein Port für die Schritte S1 und 84 bereitgestellt werden muss. Die restlichen Ports können – bedingt durch Schritt S1 – zum Durchleiten des Datenverkehrs zwischen Klienten im externen Netzwerk und Geräten und Ressourcen im internen Netzwerk benutzt werden.
- Verfahren nach Patentanspruch 1 und 2. dadurch gekennzeichnet, dass die Ports, die in Schritt S5 einbezogen sind, im Endeffekt nur in Richtung der autorisierten Klienten geöffnet werden.
- Verfahren nach Patentanspruch 1 bis 3. dadurch gekennzeichnet, dass die Namen-Adressen-Transformationsliste in Schritt S4 eine Hyperlink-Liste darstellt, wobei die Links auf die öffentliche IP-Adresse des internen Netzwerks gerichtet sind.
- Verfahren nach Patentanspruch 1 bis 4. dadurch gekennzeichnet, dass die Namen-Adressen-Transformationsliste in Schritt S4 eine Umwandlung zwischen den Namen der Geräte im internen Netzwerk und den Ports der zentralen Verwaltungsvorrichtung (
31 ), die in Schritt S3 zur Weiterleitung des Datenverkehrs konfiguriert sind, ermöglicht. - Vorrichtung zur sicheren Kommunikation zwischen externen und internen Netzwerken mit: einem Paketfilter (
52 ) zum Schutz des internen Netzwerks; einer Portweiterleitungseinheit (53 ) zur Umwandlung von Adressen und Ports; einer Benutzerverwaltung (54 ), die Informationen zur Client-Identifikation enthält; einer Geräteverwaltung (55 ), die Adressen und verwendete Ports der Geräte im inneren Netzwerk enthält; einer Sessions-Steuerungseinheit (51 ) zur Identifizierung der Klienten aus dem externen Netzwerk und zur Steuerung des Paketfilters und der Portweiterleitungseinheit. - Vorrichtung nach Patentanspruch 6. dadurch gekennzeichnet, dass sie eine konditionale Transformation zwischen der eigenen Adresse und den dazugehörigen Ports und den Adressen und Ports der Geräte im inneren Netzwerk ermöglicht.
- Vorrichtung nach Patentanspruch 6 und 7. dadurch gekennzeichnet, dass sie eine Namen-Adressen-Transformationsliste bereitstellt, die eine Umwandlung zwischen den Namen der Geräte im internen Netzwerk und der eigenen Ports, die auf entsprechende Geräte gerichtet sind, ermöglicht.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009016382A DE102009016382A1 (de) | 2009-04-04 | 2009-04-04 | Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009016382A DE102009016382A1 (de) | 2009-04-04 | 2009-04-04 | Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102009016382A1 true DE102009016382A1 (de) | 2010-10-07 |
Family
ID=42675051
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102009016382A Ceased DE102009016382A1 (de) | 2009-04-04 | 2009-04-04 | Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102009016382A1 (de) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6202156B1 (en) * | 1997-09-12 | 2001-03-13 | Sun Microsystems, Inc. | Remote access-controlled communication |
US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
US20050108430A1 (en) * | 2003-10-23 | 2005-05-19 | Cisco Technology, Inc. | Methods and devices for sharing content on a network |
-
2009
- 2009-04-04 DE DE102009016382A patent/DE102009016382A1/de not_active Ceased
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6202156B1 (en) * | 1997-09-12 | 2001-03-13 | Sun Microsystems, Inc. | Remote access-controlled communication |
US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
US20050108430A1 (en) * | 2003-10-23 | 2005-05-19 | Cisco Technology, Inc. | Methods and devices for sharing content on a network |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69929268T2 (de) | Verfahren und System zur Überwachung und Steuerung der Netzzugriffe | |
DE69827351T2 (de) | Mehrfach-virtuelle Wegsucher | |
EP1417820B1 (de) | Verfahren und computersystem zur sicherung der kommunikation in netzwerken | |
EP2442527B1 (de) | Verfahren und Vorrichtung zum Aufbau einer VPN-Verbindung zwischen zwei Netzwerken | |
EP2400708B1 (de) | Netzwerk-Schutzeinrichtung | |
DE102010045256B4 (de) | Verfahren zum Betreiben eines Firewallgerätes in Automatisierungsnetzwerken | |
DE10084739B4 (de) | Anordnung und Verfahren in einem geschalteten Telekommunikationssystem | |
DE102019210224A1 (de) | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk | |
DE102009016382A1 (de) | Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken | |
WO2006076752A1 (de) | Computersicherheitssystem | |
EP1699181A1 (de) | Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes | |
DE60031004T2 (de) | Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz | |
EP2493122B1 (de) | IPv6 Quellenadressextrapolation | |
DE10138865C2 (de) | Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken | |
EP1393499A2 (de) | Verfahren und anordnung zur standortunabhängigen überwachung (interception) von sprach- und/oder datennetzverbindungen durch bedarfsträger (law enforcement agencies) | |
LU101164B1 (de) | Vorrichtung mit Netzwerkkomponente mit wenigstens zwei auswählbaren Betriebsmodi | |
EP1748619B1 (de) | Verfahren zum Aufbau einer direkten, netzübergreifenden und abhörsicheren Kommunikationsverbindung | |
EP1559241B1 (de) | Verfahren und vorrichtung zum austausch von daten mittels einer tunnelverbindung | |
EP3644570B1 (de) | Firewall für gebäudenetzwerke, ein entsprechendes system und verfahren sowie ein computerlesbares medium | |
EP3439259B1 (de) | Härten eines kommunikationsgerätes | |
EP1496665B1 (de) | Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz | |
WO2020065476A1 (de) | System und verfahren für einen zugriff auf daten in einem internen bereich | |
EP2945333B1 (de) | Übermittlungsverfahren für IP-Netze mittels VLAN-Tag | |
DE102019107351A1 (de) | Vorrichtung mit Netzwerkkomponente mit wenigstens zwei auswählbaren Betriebsmodi | |
DE102004025056A1 (de) | Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8122 | Nonbinding interest in granting licences declared | ||
8131 | Rejection | ||
R003 | Refusal decision now final |
Effective date: 20110225 |