DE102013206353B4 - IDENTIFY UNAUTHORIZED OR ERROR-CONFIGURED WIRELESS NETWORK ACCESS USING DISTRIBUTED END POINTS - Google Patents

IDENTIFY UNAUTHORIZED OR ERROR-CONFIGURED WIRELESS NETWORK ACCESS USING DISTRIBUTED END POINTS Download PDF

Info

Publication number
DE102013206353B4
DE102013206353B4 DE102013206353.9A DE102013206353A DE102013206353B4 DE 102013206353 B4 DE102013206353 B4 DE 102013206353B4 DE 102013206353 A DE102013206353 A DE 102013206353A DE 102013206353 B4 DE102013206353 B4 DE 102013206353B4
Authority
DE
Germany
Prior art keywords
wap
waps
localized
network
endpoints
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102013206353.9A
Other languages
German (de)
Other versions
DE102013206353A1 (en
Inventor
Terry Dwain Escamilla
Charles Steven Lingafelt
David Robert Safford
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US13/455,419 external-priority patent/US20130291063A1/en
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE102013206353A1 publication Critical patent/DE102013206353A1/en
Application granted granted Critical
Publication of DE102013206353B4 publication Critical patent/DE102013206353B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/04Arrangements for maintaining operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W64/00Locating users or terminals or network equipment for network management purposes, e.g. mobility management
    • H04W64/003Locating users or terminals or network equipment for network management purposes, e.g. mobility management locating network equipment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

System zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das System aufweist: eine Vielzahl von Netzendpunkten; eine Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, wobei die Agenten so ausgelegt sind, dass sie WAPs periodisch lokalisieren und lokalisierte WAPs an eine zentrale Entität berichten; und eine zentrale Entität, die funktionsmäßig in der Lage ist, Informationen in Bezug auf lokalisierte WAPs von der Vielzahl von Agenten zu empfangen, dass sie ermittelt, ob zumindest ein bestimmter der lokalisierten WAPs geprüft werden muss, und dass sie ein aktives Prüfen von lokalisierten WAPs einleitet, wenn festgestellt wird, dass der bestimmte der lokalisierten WAPs geprüft werden muss, wobei die zentrale Entität a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert, wobei die zentrale Entität aufweist: ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt; ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist; eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist, ein Steuermodul, das mit der Datenbank verbunden ist und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.A system for identifying at least one of unauthorized and misconfigured wireless network access points (WAPs) in a communications network, the system comprising: a plurality of network endpoints; a plurality of agents executing on the plurality of endpoints, the agents being arranged to periodically locate WAPs and report localized WAPs to a central entity; and a central entity operably capable of receiving information regarding localized WAPs from the plurality of agents, determining whether at least one particular one of the localized WAPs needs to be tested, and actively checking localized WAPs when it is determined that the particular one of the localized WAPs needs to be tested, the central entity a) collecting and analyzing passive data on localization operations, and active data on audit operations, and b) the plurality of agents based on the plurality of endpoints are executed based on these results, the central entity comprising: a receiving module adapted to receive information from one or more of the WAPs; a reporting and alert issuing module connected to the receiving module; a database connected to the receiving module and the reporting and alerting module, a control module connected to the database, and wherein the control module is operable to apply prescribed rules stored in the database to a configuration status of an observed WAP to determine if the observed WAP should be checked by the at least one of the plurality of network endpoints.

Description

Gebiet der ErfindungField of the invention

Die vorliegende Erfindung bezieht sich im Allgemeinen auf die Gebiete der Elektrotechnik, Elektronik und Computertechnik und mehr im Detail auf sichere drahtlose Datenübertragung. Die US 7 808 958 B1 und die US 7 336 670 B1 beschreiben Verfahren zur Detektion von missbräuchlich benutzbaren drahtlosen Netzzugängen.The present invention relates generally to the fields of electrical engineering, electronics, and computer engineering, and more particularly to secure wireless data transmission. The US Pat. No. 7,808,958 B1 and the US Pat. No. 7,336,670 B1 describe methods for the detection of abusive wireless network accesses.

Hintergrundbackground

Der drahtlose Netzbetrieb ist zu einem allgemein verwendeten Datenübertragungsmittel geworden. Unternehmen aller Größen richten Drahtlosnetze (z. B. unter Verwendung eines IEEE-802.11-Protokollstandards oder dergleichen) aus zahlreichen Gründen ein, beispielsweise um Verkabelungskosten zu verringern, eine Konnektivität in großen Büroräumen oder Lagerhallen bereitzustellen, aus Gründen der Zweckdienlichkeit für Mitarbeiter, um für Gäste aus Gefälligkeit einen Zugang bereitzustellen, um Fernzugriff auf Daten bereitzustellen usw., ohne jedoch darauf beschränkt zu sein. Da wichtige Geschäftsinformationen zunehmend mit drahtlosen Datenübertragungssystemen übertragen werden, werden die Schwachstellen solcher Systeme allerdings häufig genutzt, um Zugang zu wichtigen Geschäftsinformationen und -systemen zu erhalten.The wireless network operation has become a commonly used data transmission means. Businesses of all sizes set up wireless networks (eg, using an IEEE 802.11 protocol standard or the like) for a variety of reasons, for example, to reduce cabling costs, provide connectivity in large offices or warehouses, for reasons of worker convenience To provide guests with access to provide remote access to data, etc., without limitation. However, as important business information is increasingly transmitted using wireless communication systems, the vulnerabilities of such systems are often used to gain access to critical business information and systems.

Probleme in Bezug auf die Sicherheit in drahtlosen lokalen Netzen (WLANs, Wireless Local Area Networks), z. B. Datenübertragung unter Verwendung eines IEEE-802.11-Drahtlosübertragungsprotokolls (WiFi), sind hinlänglich bekannt. Insbesondere hat das Problem von „offenen” drahtlosen Netzzugängen (WAPs, Wireless Access Points), die hinsichtlich Zugriffssteuerung nicht korrekt konfiguriert wurden (z. B. außer missbräuchlich benutzbare Netzzugänge), breite Aufmerksamkeit gefunden, darunter das Wardriving, das das Suchen nach WiFi-Drahtlosnetzen durch eine Person in einem Fahrzeug während der Fahrt beinhaltet, und das Warchalking, das das Zeichnen von Symbolen an öffentlichen Orten beinhaltet, um ein offenes WiFi-Drahtlosnetz anzuzeigen. Als Reaktion darauf wurden zahlreiche Drahtlos-Sicherheitssysteme entwickelt, die offene oder fehlerhaft konfigurierte WAPs erkennen und identifizieren wie beispielsweise unter anderem der Wireless Security Auditor (WSA) und der Distributed Wireless Security Auditor (DWSA) der IBM Corporation, Kismet-Produkte, Airmagnet, Wireless Control System (WCS) von Cisco. Trotz aktueller Bemühungen, den Zugriff durch WAPs zu steuern, sind die herkömmlichen Ansätze weiterhin mit beträchtlichen Problemen verbunden.Wireless Local Area Network (WLAN) Security Issues, eg. Data transmission using an IEEE 802.11 wireless transmission protocol (WiFi) is well known. In particular, the problem of "open" Wireless Access Points (WAPs) that have not been properly configured for access control (eg, except for abusive network access) has received widespread attention, including wardriving, which involves searching for WiFi. Includes wireless networks by a person in a vehicle while driving, and warchalking, which involves drawing symbols in public places to indicate an open WiFi wireless network. In response, numerous wireless security systems have been developed to detect and identify open or misconfigured WAPs, including the Wireless Security Auditor (WSA) and the Distributed Wireless Security Auditor (DWSA) of IBM Corporation, Kismet Products, Airmagnet, Wireless Cisco Control System (WCS). Despite current efforts to control access through WAPs, traditional approaches continue to present significant challenges.

KurzdarstellungSummary

Vorteilhafterweise stellen Aspekte der vorliegenden Erfindung einen Mechanismus zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz (z. B. ein Unternehmens-Intranet) mit mehreren Endpunkten bereit. Um dies zu erreichen, platzieren veranschaulichende Ausführungsformen der Erfindung vorteilhafterweise einen Agenten an mehreren Endpunkten und veranlassen dann zumindest einen Teilsatz der Endpunkte auf der Grundlage der von den Endpunkten empfangenen Informationen und der Anwendung von vorgeschriebenen Kriterien (z. B. Geschäftsregeln) dazu, gewisse Aktionen durchzuführen, z. B. aktives Prüfen, um Informationen zu erzeugen, die ausreichend sind, um fehlerhaft konfigurierte und/oder unangemessene WAPs im Netz zu identifizieren.Advantageously, aspects of the present invention provide a mechanism for identifying unauthorized or misconfigured wireless network access (WAPs) in a communications network (e.g., a corporate intranet) having multiple endpoints. To accomplish this, illustrative embodiments of the invention advantageously place an agent at multiple endpoints and then initiate certain actions, at least a subset of the endpoints, based on the information received from the endpoints and the application of prescribed criteria (e.g., business rules) perform, for. B. Active checking to generate information sufficient to identify misconfigured and / or inappropriate WAPs in the network.

Gemäß einer Ausführungsform der Erfindung enthält ein System zum Identifizieren von nichtberechtigten und/oder fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz eine Vielzahl von Netzendpunkten und eine Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden. Die Agenten sind so ausgelegt, dass sie WAPs periodisch lokalisieren und lokalisierte WAPs an eine zentrale Entität berichten. Das System enthält darüber hinaus eine zentrale Entität, die funktionsmäßig in der Lage ist, Informationen in Bezug auf lokalisierte WAPs von den Agenten zu empfangen, dass sie ermittelt, ob zumindest ein bestimmter der lokalisierten WAPs geprüft werden muss, und dass sie ein aktives Prüfen von lokalisierten WAPs einleitet, wenn festgestellt wird, dass der bestimmte der lokalisierten WAPs geprüft werden muss.According to one embodiment of the invention, a system for identifying unauthorized and / or misconfigured wireless network access (WAPs) in a communications network includes a plurality of network endpoints and a plurality of agents executing on the plurality of endpoints. The agents are designed to periodically locate WAPs and report localized WAPs to a central entity. The system also includes a central entity that is operable to receive information regarding localized WAPs from the agents, that determines whether at least one particular one of the localized WAPs needs to be audited, and that it actively checks for localized WAPs initiates when it determines that the particular one of the localized WAPs needs to be tested.

Gemäß einer weiteren Ausführungsform der Erfindung beinhaltet ein Verfahren zum Identifizieren von nichtberechtigten und/oder fehlerhaft konfigurierten WAPs in einem Datenübertragungsnetz die Schritte: ein auf einem Endpunkt im Datenübertragungsnetz ausgeführter Agent lokalisiert einen oder mehrere WAPs im Datenübertragungsnetz; der Agent berichtet zumindest einen lokalisierten WAP an eine zentrale Entität; und die zentrale Entität führt Schritte des Anwendens von vorgeschriebenen Geschäftsregeln aus, um zu ermitteln, ob der zumindest eine lokalisierte WAP geprüft werden muss, und des Einleitens einer aktiven Prüfung des zumindest einen lokalisierten WAP aus, wenn festgestellt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist.According to a further embodiment of the invention, a method for identifying unauthorized and / or erroneous involves configured WAPs in a communications network, include the steps of: an agent running on an endpoint in the communications network locating one or more WAPs in the communications network; the agent reports at least one localized WAP to a central entity; and the central entity executing steps of applying prescribed business rules to determine if the at least one localized WAP needs to be audited and initiating an active audit of the at least one located WAP if it is determined that the at least one localized WAP must be checked to determine if the localized WAP is unauthorized and / or configured incorrectly.

Gemäß einer noch weiteren Ausführungsform der Erfindung enthält eine Vorrichtung zum Identifizieren von nichtberechtigten und/oder fehlerhaft konfigurierten WAPs in einem Datenübertragungsnetz zumindest einen Prozessor. Der Prozessor ist funktionsmäßig in der Lage: (i) einen Agenten zu aktivieren, so dass dieser auf zumindest einen Endpunkt im Datenübertragungsnetz ausgeführt wird, wobei der Agent so ausgelegt ist, dass er einen oder mehrere WAPs im Datenübertragungsnetz lokalisiert; (ii) Informationen in Bezug auf zumindest einen lokalisierten WAP vom Agenten empfängt; (iii) vorgeschriebene Kriterien anwendet, um zu ermitteln, ob der lokalisierte WAP geprüft werden muss; und (iv) das aktive Prüfen des lokalisierten WAP einleitet, wenn festgestellt wird, dass der lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist.According to yet another embodiment of the invention, an apparatus for identifying unauthorized and / or misconfigured WAPs in a communications network includes at least one processor. The processor is operable to: (i) activate an agent to run on at least one endpoint in the communications network, the agent being arranged to locate one or more WAPs in the communications network; (ii) receive information regarding at least one localized WAP from the agent; (iii) apply mandatory criteria to determine whether the localized WAP needs to be audited; and (iv) initiating active checking of the localized WAP if it is determined that the localized WAP needs to be tested to determine if the localized WAP is unauthorized and / or misconfigured.

Wie hier verwendet, beinhaltet das „Vereinfachen” einer Aktion das Durchführen der Aktion, das Erleichtern der Aktion, das Erleichtern des Durchführens der Aktion oder das Veranlassen, dass die Aktion durchgeführt wird. Somit könnten Anweisungen, die auf einem Prozessor ausgeführt werden, beispielsweise eine Aktion vereinfachen, die durch die auf einem fernen Prozessor ausgeführten Anweisungen durchgeführt wird, und zwar durch Senden von entsprechenden Daten oder Befehlen, um zu veranlassen, dass die Aktion durchgeführt wird, oder um das Durchführen der Aktion zu erleichtern, ohne jedoch darauf beschränkt zu sein. Um jegliche Zweifel auszuschließen: Wenn ein Akteur eine Aktion anderweitig als durch Durchführen der Aktion vereinfacht, wird die Aktion nichtsdestotrotz von einer Entität oder einer Kombination aus Entitäten durchgeführt.As used herein, "facilitating" an action includes performing the action, facilitating the action, facilitating the performance of the action, or causing the action to be performed. Thus, for example, instructions executed on a processor could simplify an action performed by the instructions executed on a remote processor by sending appropriate data or instructions to cause the action to be performed or facilitating, but not limited to, performing the action. To eliminate any doubt, if an actor simplifies an action other than by performing the action, the action is nonetheless performed by an entity or a combination of entities.

Ein/e oder mehrere Ausführungsformen der Erfindung oder Elemente davon kann bzw. können in Form eines Computerprogrammprodukts umgesetzt werden, beispielsweise in Form eines computerlesbaren Speichermediums mit einem durch einen Computer nutzbaren Programmcode zum Durchführen der angegebenen Verfahrensschritte. Darüber hinaus kann bzw. können ein/e oder mehrere Ausführungsformen der Erfindung oder Elemente davon in Form eines Systems (oder einer Vorrichtung) umgesetzt werden, das bzw. die einen Speicher und zumindest einen Prozessor enthält, der mit dem Speicher verbunden und funktionsmäßig in der Lage ist, er beispielhafte Verfahrensschritte auszuführen. Außerdem kann bzw. können ein/e oder mehrere Ausführungsformen der Erfindung oder Elemente davon in Form eines Mittels zum Durchführen eines oder mehrerer der hier beschriebenen Verfahrensschritte umgesetzt sein; wobei das Mittel beinhalten kann: (i) Hardware-Modul(e), (ii) Software-Modul(e), das bzw. die in einem computerlesbaren Speichermedium (oder mehreren solchen Medien) gespeichert und auf einem Hardware-Prozessor umgesetzt ist bzw. sind, oder (iii) eine Kombination aus (i) und (ii); wobei eines von (i) bis (iii) die spezifischen, hier angeführten Techniken umsetzt.One or more embodiments of the invention or elements thereof may be implemented in the form of a computer program product, for example in the form of a computer readable storage medium having computer usable program code for performing the specified method steps. Moreover, one or more embodiments of the invention or elements thereof may be implemented in the form of a system (or device) that includes a memory and at least one processor connected to and operatively connected to the memory Able to perform exemplary method steps. Additionally, one or more embodiments of the invention or elements thereof may be implemented in the form of a means for performing one or more of the method steps described herein; wherein the means may include: (i) hardware module (s), (ii) software module (s) stored in a computer-readable storage medium (or a plurality of such media) and implemented on a hardware processor; , or (iii) a combination of (i) and (ii); wherein one of (i) to (iii) implements the specific techniques set forth herein.

Techniken der vorliegenden Erfindung können wesentliche vorteilhafte technische Effekte bereitstellen. Beispielsweise können Ausführungsformen unter anderem einen oder mehrere der folgenden Vorteile bereitstellen:

  • • Verringern der Wahrscheinlichkeit, dass ein Datenübertragungsnetz durch nichtberechtigte Benutzer gefährdet wird, wodurch die Wahrscheinlichkeit von Datenverlust, fehlerhaften Daten oder verfälschten Daten verringert wird;
  • • Verringern der Wahrscheinlichkeit einer Infektion der Client-Infrastruktur durch einen Virus und/oder Malware;
  • • Sicherstellen der Einhaltung von Client-spezifischen oder behördlichen Sicherheitskonfigurationsstandards in Bezug auf WAPs;
  • • Schutz der Mitarbeiter in einem Unternehmens-Intranet davor, sich mit nichtberechtigten oder missbräuchlich benutzbaren WAPs zu verbinden, die versuchen, die Identität eines gültigen Client-WAP vorzutäuschen.
Techniques of the present invention can provide significant advantageous technical effects. For example, embodiments may provide, inter alia, one or more of the following advantages:
  • • Reduce the likelihood that unauthorized users will compromise a data communications network, thereby reducing the likelihood of data loss, bad data or corrupted data;
  • • reducing the likelihood of infection of the client infrastructure by a virus and / or malware;
  • • Ensure compliance with client-specific or regulatory security configuration standards for WAPs;
  • • Protecting employees on a corporate intranet from connecting to unauthorized or abusive WAPs trying to fake the identity of a valid client WAP.

Somit können nichtberechtigte oder fehlerhaft konfigurierte WAPs mithilfe der Techniken gemäß Aspekten der Erfindung vorteilhaft erkannt werden, ohne dass eine Datenbank von „zulässigen” Netzzugängen geführt werden muss, die einer laufenden Aktualisierung bedarf.Thus, unauthorized or misconfigured WAPs may be advantageously recognized using techniques in accordance with aspects of the invention without having to maintain a database of "allowed" network accesses that require a live update.

Diese und andere Merkmale und Vorteile der vorliegenden Erfindung gehen aus der folgenden ausführlichen Beschreibung von veranschaulichenden Ausführungsformen davon hervor, die im Zusammenhang mit den beiliegenden Zeichnungen zu lesen ist.These and other features and advantages of the present invention will be apparent from the following detailed description of illustrative embodiments thereof, taken in conjunction with the accompanying drawings.

Kurzbeschreibung der ZeichnungenBrief description of the drawings

Die folgenden Zeichnungen sind lediglich beispielhaft und nicht einschränkend, wobei gleiche Bezugszeichen (wenn verwendet) entsprechende Elemente in den gesamten mehreren Ansichten anzeigen, und wobei:The following drawings are merely illustrative and not restrictive, wherein like reference numerals (when used) indicate corresponding elements throughout the several views, and wherein:

1 ein Blockschaubild ist, das zumindest einen Teil eines beispielhaften Systems 100 gemäß einer Ausführungsform der Erfindung zeigt; 1 a block diagram is that at least part of an exemplary system 100 according to an embodiment of the invention;

2 ein Ablaufplan ist, der zumindest einen Teil eines beispielhaften Verfahrens zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs in einem System (z. B. Datenübertragungsnetz) gemäß einer Ausführungsform der Erfindung zeigt; und 2 5 is a flowchart depicting at least part of an example method for identifying unauthorized or misconfigured WAPs in a system (eg, communication network) in accordance with an embodiment of the invention; and

3 ein Blockschaltbild ist, das zumindest einen Teil eines beispielhaften Systems gemäß Ausführungsformen der Erfindung zeigt, das zum Ausführen von Software geeignet ist. 3 FIG. 4 is a block diagram showing at least a portion of an example system suitable for executing software according to embodiments of the invention. FIG.

Es ist klar, dass Elemente in den Figuren im Sinne von Einfachheit und Klarheit dargestellt sind. Übliche, aber hinlänglich verstandene Elemente, die bei einer kommerziell durchführbaren Ausführungsform nützlich oder erforderlich sein können, sind eventuell nicht gezeigt, um eine weniger eingeschränkte Sicht der dargestellten Ausführungsformen zu erleichtern. It is clear that elements in the figures are presented in terms of simplicity and clarity. Conventional but well-understood elements that may be useful or necessary in a commercially feasible embodiment may not be shown to facilitate a less limited view of the illustrated embodiments.

Ausführliche Beschreibung bevorzugter AusführungsformenDetailed description of preferred embodiments

Aspekte der vorliegenden Erfindung werden hier im Kontext einer veranschaulichenden Vorrichtung und veranschaulichender Verfahren zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz (z. B. einem Unternehmens-Intranet) mit mehreren Endpunkten beschrieben. Um dies zu erreichen, platzieren veranschaulichende Ausführungsformen der Erfindung vorteilhafterweise einen Agenten an mehreren Endpunkten und veranlassen dann zumindest einen Teilsatz der Endpunkte auf der Grundlage der von den Endpunkten empfangenen Informationen und der Anwendung von vorgeschriebenen Kriterien (z. B. Geschäftsregeln) dazu, gewisse Aktionen durchzuführen, z. B. aktives Prüfen, um Informationen zu erzeugen, die ausreichend sind, um fehlerhaft konfigurierte und/oder ungeeignete WAPs im Netz zu identifizieren. Somit führen Techniken gemäß veranschaulichenden Ausführungsformen der Erfindung vorteilhaft das Überwachen und Prüfen von WAPs durch, um nichtberechtigte oder fehlerhaft konfigurierte WAPs zu identifizieren.Aspects of the present invention are described herein in the context of an illustrative device and illustrative methods for identifying unauthorized or misconfigured wireless network access (WAPs) in a data transmission network (e.g., a corporate intranet) having multiple endpoints. To accomplish this, illustrative embodiments of the invention advantageously place an agent at multiple endpoints and then initiate certain actions, at least a subset of the endpoints, based on the information received from the endpoints and the application of prescribed criteria (e.g., business rules) perform, for. For example, actively checking to generate information sufficient to identify misconfigured and / or inappropriate WAPs in the network. Thus, techniques in accordance with illustrative embodiments of the invention advantageously perform monitoring and testing of WAPs to identify unauthorized or misconfigured WAPs.

Es ist jedoch klar, dass die Erfindung nicht auf die spezifische Vorrichtung und/oder die spezifischen Verfahren beschränkt ist, die hier zur Veranschaulichung gezeigt und beschrieben ist bzw. sind. Stattdessen sind Ausführungsformen der Erfindung allgemein auf Techniken zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs in einem Datenübertragungsnetz in einer Art und Weise gerichtet, die die normalen oder Drahtlos-Netzoperationen des Client nicht beeinträchtigt. Ferner wird für den Fachmann ersichtlich sein, dass angesichts der Lehren hierin zahlreiche Änderungen an den gezeigten Ausführungsformen vorgenommen werden können, die in den Umfang der vorliegenden Erfindung fallen. Das heißt, dass Einschränkungen in Bezug auf spezifische, hier beschriebene Ausführungsformen nicht beabsichtigt sind oder in als möglich betrachtet werden sollten.It is to be understood, however, that the invention is not limited to the specific apparatus and / or the specific methods shown and described herein for purposes of illustration. Instead, embodiments of the invention are generally directed to techniques for identifying unauthorized or misconfigured WAPs in a communications network in a manner that does not interfere with the client's normal or wireless network operations. Furthermore, it will be apparent to those skilled in the art that, in light of the teachings herein, numerous changes can be made to the embodiments shown that fall within the scope of the present invention. That is, limitations with respect to specific embodiments described herein are not intended or should be considered as possible.

1 ist ein Blockschaubild, das zumindest einen Teil eines beispielhaften Systems 100 gemäß einer Ausführungsform der Erfindung zeigt. Das System 100 beinhaltet eine Vielzahl von Endpunkten, Endpunkt (A) 102 bis Endpunkt (N) 104, eine Vielzahl von drahtlosen Netzzugängen, WAP 1 106, WAP 2 108, WAP 3 110 und WAP 4 112, und eine zentrale Entität 114. Ein Übertragungsweg zwischen der zentralen Entität 114 und den jeweiligen Endpunkten 102 bis 104 besteht für gewöhnlich innerhalb eines Intranet 116 oder eines alternativen Datenübertragungsmittels. Zumindest ein Teil der WAPs (z. B. WAPs 108, 110 und 112) liegt innerhalb des Intranet 116, während ein oder mehrere WAPs (z. B. WAP 106) außerhalb des Intranet liegen können. Das Intranet 116 steht vorzugsweise beispielsweise für ein Unternehmens-Intranet. 1 Figure 12 is a block diagram that is at least part of an exemplary system 100 according to an embodiment of the invention. The system 100 includes a variety of endpoints, endpoint (A) 102 to end point (N) 104 , a variety of wireless network access, WAP 1 106 , WAP 2 108 , WAP 3 110 and WAP 4 112 , and a central entity 114 , A transmission path between the central entity 114 and the respective endpoints 102 to 104 usually exists within an intranet 116 or an alternative means of data transmission. At least part of the WAPs (eg WAPs 108 . 110 and 112 ) is inside the intranet 116 while one or more WAPs (eg WAP 106 ) can be outside the intranet. The intranet 116 is preferably for example a corporate intranet.

Jeder von zumindest einem Teilsatz der Endpunkte 102 bis 104 enthält einen Erkennungsagenten oder ein Erkennungsmodul 103a bis 103n und Drahtloskomponenten 105a bis 105n. Jede der Drahtloskomponenten 105a bis 105n kann einen Drahtlos-Transceiver oder eine alternative Drahtlosschnittstelle (z. B. eine Karte für drahtlosen Netzzugang (Wireless Network Access Card)) für eine Datenübertragung mit entsprechenden WAPs im System 100 enthalten. Beispielsweise tauschen Drahtloskomponenten 105a Daten mit WAPs 106, 108 und 110 aus, und Drahtloskomponenten 105n tauschen Daten mit WAPs 110 und 112 aus.Each of at least a subset of the endpoints 102 to 104 contains a recognition agent or a recognition module 103a to 103n and wireless components 105a to 105n , Each of the wireless components 105a to 105n may be a wireless transceiver or an alternative wireless interface (eg, a wireless network access card) for data transmission with corresponding WAPs in the system 100 contain. For example, wireless components are swapping 105a Data with WAPs 106 . 108 and 110 out, and wireless components 105n exchange data with WAPs 110 and 112 out.

Die zentrale Entität 114 weist eine zentrale Empfangsentität oder ein zentrales Empfangsmodul 118, eine Berichterstattungs- oder Warnungsausgabeentität oder ein Berichterstattungs- und Warnungsausgabemodul 120, die bzw. das mit der zentralen Empfangsentität 118 verbunden ist, eine Datenbank 122 oder ein alternatives Speicherelement, die bzw. das mit der zentralen Empfangsentität 118 und dem Berichterstattungs- und Warnungsausgabemodul 120 verbunden ist, und eine zentrale Steuerentität oder ein zentrales Steuermodul 124 auf, die bzw. das mit der Datenbank 122 verbunden ist. Die zentrale Entität 114 sammelt und analysiert die passiven Daten (z. B. zu „Lokalisierungs”-Operationen) und die aktiven Daten (z. B. zu „Prüf”-Operationen) und steuert die Endpunktagenten auf der Grundlage derer Ergebnisse. Mehr im Detail ist die zentrale Entität 114 im Wesentlichen ein Server (oder eine Sammlung von Servern), der über die zentrale Empfangsentität 118, das Berichterstattungs- und Warnungsausgabemodul 120, die Datenbank 122 und/oder die zentrale Steuerentität 124 funktionsmäßig in der Lage ist, die Endpunkt-Erkennungsagenten 103a bis 103n (z. B. über die zentrale Steuerentität (124) so zu steuern, dass sie vorgeschriebene Informationen (z. B. Geschäftsregeln usw). in der Datenbank 122 speichern, dass sie Nachrichten empfangen, die einen bestimmten WAP unter Beobachtung und das Intranet 116 durchqueren (z. B. über die zentrale Empfangsentität 118), und dass sie einen vorgeschriebenen Zustand in Abhängigkeit der einen oder mehreren empfangenen Nachrichten (z. B. über das Berichterstattungs- und Warnungsausgabemodul 120) berichten (d. h. eine Warnung über diesen ausgeben). Die in der Datenbank 122 gespeicherten Daten können beispielsweise alle empfangenen Berichte der Endpunktagenten (z. B. Bezeichnung und Adresse von lokalisierten WAPs) und Prüfpakete beinhalten. Diese Daten werden verwendet, um zu ermitteln, ob ein bestimmter WAP fehlerhaft konfiguriert oder nichtberechtigt ist, allerdings werden diese Ergebnisse nicht notwendigerweise in der Datenbank selbst gespeichert.The central entity 114 has a central receiving entity or a central receiving module 118 , a reporting or alert issuing entity or a reporting and alert issuing module 120 , the one with the central receiving entity 118 connected, a database 122 or an alternative storage element associated with the central receiving entity 118 and the reporting and warning output module 120 and a central control entity or central control module 124 on top of that with the database 122 connected is. The central entity 114 collects and analyzes the passive data (eg, on "localization" operations) and the active data (eg, on "audit" operations) and controls the endpoint agents based on their results. More in detail is the central entity 114 essentially a server (or a collection of servers) that has the central receiving entity 118 , the reporting and warning output module 120 , database 122 and / or the central control entity 124 is functionally capable of the endpoint detection agents 103a to 103n (eg via the central control entity ( 124 ) so that they have prescribed information (eg business rules, etc.). in the database 122 Save that they receive messages that have a specific WAP under observation and the intranet 116 traverse (eg via the central receiving entity 118 ) and that it has a prescribed state depending on the one or more received messages (eg, via the reporting and alert issuing module 120 ) report (ie give a warning about this). The in the database 122 For example, stored data may include all endpoint agent received reports (eg, name and address of localized WAPs) and audit packets. This data is used to determine if a particular WAP is misconfigured or unauthorized, but these results are not necessarily stored in the database itself.

Es ist klar, dass sich der Ausdruck „lokalisiert”, wie beispielsweise in Verbindung mit WAPs verwendet (z. B. ein lokalisierterWAP), allgemein auf einen WAP beziehen soll, der erkannt, aufgespürt oder identifiziert ist, und nicht auf eine physische Position/einen physischen Standort des WAP. Gleichermaßen soll sich der Ausdruck „lokalisieren”, wie in Zusammenhang mit WAPs verwendet (z. B. Lokalisieren eines WAP), allgemein auf die Handlung des Erkennens, Aufspürens oder Identifizierens eines WAP und nicht auf die Handlung des Ermittelns einer physischen Position/eines physischen Standorts des WAP beziehen. In vielen Fällen wird ein WAP beispielsweise virtuell (d. h. als Abstraktion) in Bezug auf dessen Netzwerkadresse oder alternative Kennung „lokalisiert”. Somit sollen die Ausdrücke „lokalisiert” oder „lokalisieren”, wie hier verwendet, allgemein einen virtuellen oder physischen Standort einer Entität, auf die sich die Ausdrücke beziehen, mit einschließen.It will be understood that the term "localized" as used in connection with WAPs (e.g., a localized WAP) is intended to refer generally to a WAP that is recognized, discovered, or identified rather than a physical location. a physical location of the WAP. Similarly, as used in connection with WAPs (eg, localizing a WAP), the term "locate" is generally intended to refer to the act of detecting, tracking, or identifying a WAP and not to the act of determining a physical position / physical Refer to the location of the WAP. For example, in many cases, a WAP is "located" virtually (i.e., as an abstraction) with respect to its network address or alternate identifier. Thus, as used herein, the terms "located" or "locate" should generally include a virtual or physical location of an entity to which the expressions refer.

Der Erkennungsagent oder das Erkennungsmodul 103a bis 103n, der bzw. das auf den Endpunkten 102 bis 104 ausgeführt wird, kann so konfiguriert sein, dass er bzw. es eine oder mehrere entsprechende WAPs im Datenübertragungsnetz während vorgeschriebener Zeitintervalle lokalisiert, beispielsweise im Rahmen des Durchführens einer Aufspürungsoperation. Bei einigen Ausführungsformen sind die vorgeschriebenen Zeitintervalle, in denen die Agenten in der Lage sind, einen oder mehrere WAPs lokalisieren, periodisch.The detection agent or the detection module 103a to 103n , the one on the endpoints 102 to 104 may be configured to locate one or more corresponding WAPs in the communication network during prescribed time intervals, for example, in the context of performing a discovery operation. In some embodiments, the prescribed time intervals in which the agents are able to locate one or more WAPs are periodic.

Gemäß einer veranschaulichenden Ausführungsform sind die Endpunkte 102 bis 104 unter der Steuerung der zentralen Steuerentität 124 funktionsmäßig in der Lage, die WAPs 106, 108, 110, 112 periodisch zu überwachen (d. h. „abzuhören”). In Bezug auf WAP 106, der sich in dieser Veranschaulichung außerhalb des Intranet 116 befindet, lokalisiert der am Endpunkt 102 ausgeführte Erkennungsagent 103a den WAP 106, und die zentrale Entität 114 kann diesen Agenten auf der Grundlage von vorgeschriebenen Richtlinien anweisen, diesen WAP aktiv zu prüfen. Da der WAP 106 nicht mit dem Intranet 116 verbunden ist, wird die Prüfung nicht an die zentrale Empfangsentität 118 bereitgestellt, wodurch ein Nachweis dafür geliefert wird, dass dieser WAP nicht mit dem Intranet verbunden ist.According to an illustrative embodiment, the endpoints are 102 to 104 under the control of the central control entity 124 functionally capable of the WAPs 106 . 108 . 110 . 112 periodically (ie "listening in"). In terms of WAP 106 which in this illustration is outside the intranet 116 located, located at the endpoint 102 running detection agent 103a the WAP 106 , and the central entity 114 can instruct this agent to actively check this WAP based on mandatory policies. Because the WAP 106 not with the intranet 116 connected, the exam will not be sent to the central receiving entity 118 providing evidence that this WAP is not connected to the intranet.

Ein Bericht über einen beobachteten WAP wird an die zentrale Steuerentität 124 gesendet, die mehr als einen Bericht empfangen kann, wobei mehrere Berichte (unterschiedlicher Endpunkte) den gleichen WAP identifizieren. Die zentrale Steuerentität 124 wendet dann vorgeschriebene Regeln (z. B. Geschäftsregeln) an, die in der Datenbank 122 gespeichert sein können, um einen Konfigurationsstatus des beobachteten WAP zu bestimmen, so dass ermittelt wird, ob der WAP von einem Endpunkt geprüft werden sollte. Solche auf den beobachteten WAP angewandte Regeln können beispielsweise das Ermitteln, ob der WAP fehlerhaft konfiguriert (d. h. „offen”) ist, ob der WAP den Service Set Identifier (SSID) des Unternehmens überträgt, ob mehr als eine vorgeschriebene Schwellenanzahl von Endpunkten vorhanden sind, die den gleichen WAP identifizieren, ob ein Standort der identifizierenden Endpunkte innerhalb eines vorgeschriebenen physischen Standorts liegt, ob eine Stärke des WAP-Funksignals einen vorgeschriebenen Schwellenwert über- bzw. unterschreitet oder eine Kombination aus einer oder mehreren dieser Regeln und/oder anderer Regeln beinhalten, ohne jedoch darauf beschränkt zu sein.A report on an observed WAP becomes the central control entity 124 which can receive more than one report, with multiple reports (different endpoints) identifying the same WAP. The central control entity 124 then applies prescribed rules (such as business rules) to the database 122 may be stored to determine a configuration status of the observed WAP to determine if the WAP should be scanned by an endpoint. For example, such rules applied to the observed WAP may determine whether the WAP is misconfigured (ie, "open"), whether the WAP transmits the company's Service Set Identifier (SSID), if there are more than a prescribed threshold number of endpoints, identifying the same WAP, whether a location of the identifying endpoints is within a prescribed physical location, whether a strength of the WAP radio signal is exceeding a prescribed threshold, or including a combination of one or more of these rules and / or other rules, but not limited thereto.

Wenn festgestellt wird, dass ein bestimmter WAP von einem Endpunkt geprüft werden sollte, wählt die zentrale Steuerentität 124 zumindest einen Teilsatz (z. B. einen oder mehrere) der Endpunkte 102 bis 104 aus, um eine aktive Prüfung des WAP durchzuführen. Die Auswahl des einen oder der mehreren Endpunkte hängt von einer oder mehreren der vorgeschriebenen (in der Datenbank 122 gespeicherten) Regeln ab. Beispielsweise kann die zentrale Steuerentität 124 eine Auswahl eines Endpunkts auf der Grundlage einer Stärke des von Endpunkten empfangenen WAP-Funksignals treffen (z. B. ein Endpunkt mit dem stärksten Funksignal vom WAP kann ausgewählt werden). Alternativ oder zusätzlich kann ein Endpunkt ausgewählt werden, dessen Karte für drahtlose Vernetzung am häufigsten aktiv ist, oder eine Kombination dieser oder anderer Regeln kann herangezogen werden.If it is determined that a particular WAP should be tested by an endpoint, the central control entity selects 124 at least one subset (eg one or more) of the endpoints 102 to 104 to perform an active WAP check. The selection of one or more endpoints depends on one or more of the prescribed (in the database 122 stored) rules. For example, the central control entity 124 make a selection of an endpoint based on a strength of the WAP radio signal received from endpoints (eg, an endpoint with the strongest radio signal from the WAP can be selected). Alternatively or additionally, an endpoint whose wireless networking map is most active may be selected, or a combination of these or other rules may be used.

Bei einer Ausführungsform kann bzw. können sich der eine oder die mehreren ausgewählten Endpunkte im Rahmen des Durchführens einer aktiven Prüfung des WAP und des dem WAP entsprechenden Netzes mit dem WAP verknüpfen (d. h. eine Verbindung mit dem WAP herstellen) und dann einen oder mehrere Anforderungen senden, z. B. ein Dynamic Host Configuration Protocol-(DHCP)-Pingsignal, um Ressourcen zu vernetzen und die Antwort vom WAP (z. B. IP-Adresse, Standardroute usw.) zu beobachten. Wenn sich ein Drahtlos-Client mit einem WAP verbindet, antwortet der WAP mit Netzinformationen, die beispielsweise einen Bereich gültiger Netzwerkadressen, eine zugeordnete IP-Adresse des Client innerhalb dieses Bereichs und die Standardroute (d. h. eine Standard-IP-Adresse zum Senden aller externen Pakete) beinhalten kann. Dies sind die Informationen, die der Client mindestens benötigt, um Daten im Netz zu übertragen.In one embodiment, the one or more selected endpoints may associate with the WAP (ie, connect to the WAP) as part of performing an active check of the WAP and the network corresponding to the WAP, and then send one or more requests , z. For example, a Dynamic Host Configuration Protocol (DHCP) ping signal is used to network resources and to monitor the response from the WAP (eg, IP address, default route, etc.). When a wireless client connects to a WAP, the WAP responds with network information including, for example, a range of valid network addresses, an associated IP address of the client within that range, and the default route (ie, a default IP address for the client) Sending all external packets). This is the minimum information that the client needs to transfer data over the network.

Bei einer weiteren Ausführungsform kann der Endpunkt den WAP prüfen, indem er versucht, eine Nachricht an die zentrale Empfangsentität 118 (die sich im Unternehmens-Intranet 116 befindet) zu senden. Diese Aktion bestätigt, dass der WAP mit dem Unternehmens-Intranet verbunden ist, und darüber hinaus können bestimmte Informationen erhalten werden, z. B. der Netzwerkpfad vom Endpunkt-Client an die zentrale Empfangsentität 118, die IP-Adresse des WAP, das Routing zwischen dem Endpunkt und der zentralen Empfangsentität usw. Sowohl an der zentralen Steuerentität 124 als auch an der zentralen Empfangsentität 118 wird ein Alarm erzeugt (z. B. vom Berichterstattungs- und Warnungsausgabemodul 120), wenn festgestellt wird, dass der WAP fehlerhaft konfiguriert ist oder im Intranet 116 nicht zugelassen sein sollte. Auch wenn eine Verbindung zwischen der zentralen Steuerentität 124 und dem Berichterstattungs- und Warnungsausgabemodul 120 nicht explizit gezeigt ist, ist klar, dass die Interaktion zwischen den beiden funktionellen Modulen infrage kommt. Beispielsweise ist das Berichterstattungs- und Warnungsausgabemodul 120 bei einigen Ausführungsformen als administrative Schnittstelle betreibbar, und das Berichterstattungs- und Warnungsausgabemodul 120 kann auf der Grundlage der beobachteten Daten in der Datenbank Anweisungen an die zentrale Steuerentität 124 senden, so dass diese ihre Steuerung der Endpunkte ändert.In another embodiment, the endpoint may examine the WAP by attempting to send a message to the central receiving entity 118 (located on the corporate intranet 116 is to be sent). This action confirms that the WAP is connected to the corporate intranet and, in addition, certain information may be obtained, e.g. For example, the network path from the endpoint client to the central receive entity 118 , the IP address of the WAP, the routing between the endpoint and the central receive entity, etc. Both at the central control entity 124 as well as at the central reception entity 118 an alarm is generated (eg from the reporting and alert output module 120 ) if it detects that the WAP is configured incorrectly or on the intranet 116 should not be allowed. Even if a connection between the central control entity 124 and the reporting and warning output module 120 is not explicitly shown, it is clear that the interaction between the two functional modules comes into question. For example, the reporting and alert output module 120 in some embodiments, as the administrative interface, and the reporting and warning output module 120 On the basis of the observed data in the database, instructions can be sent to the central control entity 124 so that it changes its control of the endpoints.

2 ist ein Ablaufplan, der zumindest einen Teil eines beispielhaften Verfahrens 200 zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs in einem System (z. B. Datenübertragungsnetz) gemäß einer Ausführungsform der Erfindung zeigt. Wie aus 2 ersichtlich, ist das Verfahren 200 in drei Funktionskomponenten unterteilt: eine Client-Komponente 202, wobei zumindest ein Teil davon in einem Client-Modul oder -Endpunkt durchgeführt werden kann, eine zentrale Steuerkomponente 204, wobei zumindest ein Teil davon im zentralen Steuermodul (z. B. die zentrale Steuerentität 124 in 1) durchgeführt werden kann, und eine zentrale Empfangskomponente 206, wobei zumindest ein Teil davon im zentralen Empfangsmodul (z. B. in der zentralen Empfangsentität 118 in 1) durchgeführt werden kann. Jede der Funktionskomponenten kann unter Verwendung von einem oder mehreren Agenten umgesetzt sein. Diese Komponenten/Agenten können beim Durchführen des gesamten Verfahrens 200 zum identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs miteinander interagieren (z. B. Daten dazwischen weiterleiten). 2 is a flowchart that is at least part of an example method 200 for identifying unauthorized or misconfigured WAPs in a system (e.g., communication network) in accordance with an embodiment of the invention. How out 2 Obviously, this is the procedure 200 divided into three functional components: a client component 202 wherein at least a portion thereof may be performed in a client module or endpoint, a centralized control component 204 , wherein at least a part thereof in the central control module (eg the central control entity 124 in 1 ) and a central receiving component 206 , wherein at least a part thereof in the central receiving module (eg in the central receiving entity 118 in 1 ) can be carried out. Each of the functional components may be implemented using one or more agents. These components / agents can perform the entire process 200 Identify unauthorized or misconfigured WAPs interacting with each other (for example, passing data between them).

Wie hier verwendet, soll der Ausdruck „Agent” allgemein als Software-Programm, das im Auftrag eines Benutzers agiert, oder als anderes Programm in einem Auftragsverhältnis definiert sein. Somit bezieht sich ein Agent auf eine Software-Abstraktion, eine Idee oder ein Konzept ähnlich objektorientierter Programmierbegriffen wie Verfahren, Funktionen und Objekte. Das Konzept eines Agenten stellt eine praktische und leistungsfähige Methode zum Beschreiben einer komplexen Software-Entität bereit, die mit einem bestimmten Grad an Autonomie agieren kann, um Aufgaben im Auftrag ihres Host zu erfüllen. Im Gegensatz zu Objekten, die in Bezug auf Verfahren und Attribute definiert werden, wird ein Agent im Allgemeinen hinsichtlich seines Verhaltens definiert (z. B. das Verhalten eines Agenten kann sein, keine Aktion vorzunehmen, WAPs zu lokalisieren und spezifische WAPs zu prüfen).As used herein, the term "agent" is intended to be broadly defined as a software program acting on behalf of a user or as another program in an order relationship. Thus, an agent refers to a software abstraction, idea, or concept similar to object-oriented programming terms such as methods, functions, and objects. The concept of an agent provides a convenient and powerful way to describe a complex software entity that can operate with a degree of autonomy to perform tasks on behalf of its host. Unlike objects defined in terms of procedures and attributes, an agent is generally defined in terms of behavior (eg, an agent's behavior may be to take no action, localize WAPs, and examine specific WAPs).

Unter Bezugnahme auf 2 wird eine erste Client-Methodik, die in zumindest einem Endpunkt (z. B. Endpunkte 102 bis 104 in 1) oder anderem Client-Modul ausgeführt werden kann, in Schritt 207 aktiviert, wobei der Endpunkt/Client funktionsmäßig in der Lage ist, WAPs in Schritt 208 zu überwachen (d. h. abzuhören). Der Endpunkt/Client überträgt Informationen (z. B. Berichte), die beobachteten WAPs entsprechen, in Schritt 210 periodisch an die zentrale Steuerentität. In Schritt 212 überprüft der Endpunkt/Client, ob die erste Client-Methodik in Schritt 214 enden sollte. Wenn festgestellt wird, dass die erste Client-Methodik nicht enden sollte, ist der Endpunkt/Client funktionsmäßig in der Lage, weiterhin WAPs in Schritt 208 abzuhören.With reference to 2 will be a first client methodology that is included in at least one endpoint (eg endpoints 102 to 104 in 1 ) or another client module can be run in step 207 Enabled, where the endpoint / client is capable of performing WAPs in step 208 to monitor (ie to intercept). The endpoint / client transmits information (eg, reports) corresponding to observed WAPs in step 210 periodically to the central control entity. In step 212 The endpoint / client verifies that the first client methodology is in step 214 should end. If it is determined that the first client methodology should not end, the endpoint / client is functionally able to continue WAPs in step 208 listen.

Bei einer zweiten Client-Methodik, die in Schritt 216 aktiviert wird und in zumindest einem Endpunkt (z. B. Endpunkte 102 bis 104 in 1) oder anderem Client-Modul ausgeführt werden kann, ist der Endpunkt/Client funktionsmäßig in der Lage, in Schritt 218 auf einen Befehl von einer zentralen Steuerentität (z. B. zentrale Steuerentität 124 in 1) zu warten, der den Endpunkt anweist, mit dem aktiven Prüfen eines beobachteten WAP zu beginnen. In Schritt 220 ist der Endpunkt/Client bei Empfang des Befehls funktionsmäßig in der Lage, ein aktives Prüfen des beobachteten WAP und des entsprechenden, dem beobachteten WAP zugeordneten Netz durchzuführen und einen WAP-Prüfbericht zu erzeugen, der Ergebnisse des aktiven Prüfens beinhaltet. In Schritt 222 werden die Ergebnisse des aktiven Prüfens, die in dem in Schritt 220 erzeugten WAP-Prüfbericht enthalten sind, vom Endpunkt/Client zur weiteren Bearbeitung an die zentrale Steuerentität gesendet. In Schritt 224 ist der Endpunkt/Client funktionsmäßig in der Lage, eine korrelierte Nachricht über den beobachteten WAP an eine zentrale Empfangsentität (z. B. zentrale Empfangsentität 118 in 1) zu senden. Die vom Endpunkt gesendete korrelierte Nachricht beinhaltet vorzugsweise den in Schritt 220 erzeugten WAP-Prüfbericht. Der Endpunkt/Client ermittelt danach in Schritt 226, ob die zweite Client-Methodik in Schritt 228 zu beenden ist. Wenn festgestellt wird, dass die zweite Client-Methodik nicht beendet werden sollte, ist der Endpunkt/Client funktionsmäßig in der Lage, in Schritt 218 weiterhin auf einen Befehl von einer zentralen Steuerentität zu warten.In a second client methodology, in step 216 is activated and in at least one endpoint (eg endpoints 102 to 104 in 1 ) or other client module, the endpoint / client is capable of functioning in step 218 to a command from a central control entity (eg central control entity 124 in 1 ), which instructs the endpoint to begin actively checking an observed WAP. In step 220 when the command is received, the endpoint / client is operable to actively check the observed WAP and the corresponding network associated with the monitored WAP and generate a WAP verification report that includes active checking results. In step 222 will be the results of the active testing that in the in step 220 generated by the endpoint / client are sent to the central control entity for further processing. In step 224 For example, the endpoint / client is operatively capable of passing a correlated message over the observed WAP to a central receiving entity (e.g., central receiving entity 118 in 1 ) to send. The correlated message sent from the endpoint preferably includes the one in step 220 generated WAP test report. The endpoint / client then determines in step 226 , if she second client methodology in step 228 to end. If it is determined that the second client methodology should not be terminated, the endpoint / client is operationally capable of performing in step 218 continue to wait for a command from a central control entity.

Bei einer ersten zentralen Steuermethodik, die in Schritt 230 aktiviert wird und in einer zentralen Steuerentität (z. B. zentrale Steuerentität 124 in 1) oder anderen Steuereinheit ausgeführt werden kann, ist die zentrale Steuerentität in Schritt 232 funktionsmäßig in der Lage, von einem oder mehreren Endpunkten/Clients in Schritt 210 gesendete Informationen (z. B. Berichte) zu empfangen, die beobachteten WAPs entsprechen. In Schritt 234 ist die zentrale Steuerentität funktionsmäßig in der Lage, einen bestimmten der empfangenen WAP-Berichte auszuwählen und vorgeschriebene Regeln (z. B. Geschäftsrichtlinien) anzuwenden, um in Schritt 236 zu ermitteln, ob ein bestimmter beobachteter WAP aktiv zu prüfen ist. Wenn in Schritt 236 festgestellt wird, dass der beobachtete WAP aktiv zu prüfen ist, wählt die zentrale Steuerentität einen oder mehrere Endpunkte in Schritt 238 aus, um ein aktives Prüfen des WAP zu aktivieren. In Schritt 240 wird ein Befehl an jeden der ausgewählten Endpunkte gesendet, ein aktives Prüfen des WAP durchzuführen. Die erste zentrale Steuermethodik geht dann zu Schritt 232, in dem die Methodik wiederholt wird. Wenn in Schritt 236 festgestellt wird, dass der beobachtete WAP nicht aktiv zu prüfen ist, geht die erste zentrale Steuermethodik zu Schritt 232, in dem die Methodik wiederholt wird.In a first central control methodology, in step 230 is activated and in a central control entity (eg central control entity 124 in 1 ) or other control unit is the central control entity in step 232 functionally able to step by one or more endpoints / clients 210 to receive sent information (such as reports) that correspond to observed WAPs. In step 234 the central control entity is functionally able to select a particular one of the received WAP reports and to apply prescribed rules (eg business policies) in step 236 To determine if a particular WAP being monitored should be actively tested. When in step 236 it is determined that the observed WAP is to be actively tested, the central control entity selects one or more endpoints in step 238 to enable active checking of the WAP. In step 240 A command is sent to each of the selected endpoints to actively check the WAP. The first central control methodology then goes to step 232 in which the methodology is repeated. When in step 236 If it is determined that the observed WAP is not to be actively tested, the first centralized control methodology comes into step 232 in which the methodology is repeated.

Bei einer zweiten zentralen Steuermethodik, die in Schritt 242 aktiviert und in einer zentralen Steuerentität (z. B. zentrale Steuerentität 124 in 1) oder anderen Steuereinheit ausgeführt wird, ist die zentrale Steuerentität in Schritt 244 funktionsmäßig in der Lage, die von einem oder mehreren Endpunkten in Schritt 222 gesendeten Ergebnisse des aktiven Prüfens des beobachteten WAP zu empfangen. Auf der Grundlage der Informationen im WAP-Prüfbericht ist die zentrale Steuerentität in Schritt 246 funktionsmäßig in der Lage zu ermitteln, ob der geprüfte WAP nichtberechtigt oder fehlerhaft konfiguriert ist. Wenn der geprüfte WAP weder nichtberechtigt noch fehlerhaft konfiguriert ist, kehrt die zweite zentrale Steuermethodik zu Schritt 244 zurück, um mit dem Empfangen von zusätzlichen Ergebnissen des aktiven Prüfens von beobachteten WAPs zu beginnen. Wenn in Schritt 246 ermittelt wird, dass der geprüfte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist, ist die zentrale Steuerentität alternativ in der Lage, eine Warnung oder einen anderen Hinweis in Schritt 248 auszugeben (z. B. auszusenden), die bzw. der über den nichtberechtigten und/oder fehlerhaft konfigurierten Status des WAP informiert. Die zweite zentrale Steuermethodik kehrt dann zu Schritt 244 zurück, um mit dem Empfangen von zusätzlichen Ergebnissen des aktiven Prüfens von beobachteten WAPs zu beginnen.In a second central control methodology, in step 242 activated and in a central control entity (eg central control entity 124 in 1 ) or other control unit is the central control entity in step 244 functionally able to step by one or more endpoints 222 received results of active testing of the observed WAP. Based on the information in the WAP audit report, the central control entity is in step 246 functionally capable of determining if the WAP under test is unauthorized or improperly configured. If the audited WAP is neither unauthorized nor misconfigured, the second central control methodology will return to step 244 to begin receiving additional results of active testing of observed WAPs. When in step 246 determining that the audited WAP is unauthorized and / or misconfigured, the central control entity is alternatively able to provide a warning or other indication in step 248 output (eg send out) that informs about the unauthorized and / or incorrectly configured status of the WAP. The second central control methodology then returns to step 244 to begin receiving additional results of active testing of observed WAPs.

Bei einer zentralen Empfangsmethodik, die in Schritt 250 aktiviert wird und in einerzentralen Empfangsentität (z. B. zentrale Empfangsentität 118 in 1) oder anderen Schnittstelle/Steuereinheit ausgeführt werden kann, ist die zentrale Empfangsentität in Schritt 252 funktionsmäßig in der Lage, Datenübertragungen von einem oder mehreren Endpunkten zu überwachen, die über ein Intranet (z. B. Intranet 116 in 1) oder anderes Netz empfangen werden können. Die in Schritt 252 überwachten Datenübertragungen beinhalten vorzugsweise beispielsweise den WAP-Prüfbericht, der in Schritt 220 von einem oder mehreren Endpunkten erzeugt wurde. In Schritt 254 ist die zentrale Empfangsentität funktionsmäßig in der Lage zu ermitteln, ob eine solche Datenübertragung von einem Endpunkt empfangen wurde. Wenn keine Datenübertragung von einem Endpunkt empfangen wurde, kehrt die zentrale Empfangsmethodik zu Schritt 252 zurück, wobei die zentrale Empfangsentität das Überwachen von Datenübertragungen von einem oder mehreren Endpunkten fortsetzt. Die Schritte 252 und 254 bilden im Wesentlichen eine Wiederholungsschleife, die bei Empfang einer Datenübertragung von einem Endpunkt verlassen wird.In a central reception methodology, in step 250 is activated and in a central receiving entity (eg central receiving entity 118 in 1 ) or other interface / control unit is the central receiving entity in step 252 functionally capable of monitoring data transmissions from one or more endpoints that are transmitted over an intranet (eg Intranet 116 in 1 ) or other network. The in step 252 For example, monitored data transmissions preferably include, for example, the WAP audit report generated in step 220 was generated by one or more endpoints. In step 254 the central receiving entity is functionally capable of determining whether such data transmission has been received from an endpoint. If no data transmission has been received from an endpoint, the central reception methodology returns to step 252 the central receive entity continues to monitor data transfers from one or more endpoints. The steps 252 and 254 essentially form a repeat loop that is exited upon receipt of a data transfer from an endpoint.

Wenn in Schritt 254 festgestellt wird, dass eine Datenübertragung von einem Endpunkt empfangen wurde, ist die zentrale Empfangsentität in Schritt 256 funktionsmäßig in der Lage, die empfangene Datenübertragung mit einem darin enthaltenen Endpunkt-WAP-Bericht (z. B. WAP-Prüfbericht) zu korrelieren. Bei einigen Ausführungsformen gibt es zumindest zwei zugehörige „Prüf”-Nachrichten: eine erste Nachricht, die durch die gestrichelte Linie von Schritt 222 dargestellt ist und hier als „Prüfbericht” bezeichnet wird, die einige der Ergebnisse aus dem aktiven Prüfen des WAP beinhaltet, darunter eine Dynamic Host Configuration Protocol-(DHCP)-Adresse und eine Standardroute; und eine zweite Nachricht, die durch die gestrichelte Linie von Schritt 224 dargestellt ist und hier als „Prüfpaket” bezeichnet wird. Ein Unterschied zwischen den beiden Prüfnachrichten besteht darin, dass der „Prüfbericht” auf einer bekannten Verbindung eines Endpunkts mit dem Intranet gesendet wird, während sich das „Probenpaket” auf der Verbindung des WAP mit dem Intranet (falls vorhanden) bewegen soll.When in step 254 it is determined that a data transmission has been received from an endpoint, the central receiving entity is in step 256 functionally capable of correlating the received data transfer with an endpoint WAP report contained therein (e.g., WAP audit report). In some embodiments, there are at least two associated "check" messages: a first message indicated by the dashed line of step 222 and is referred to herein as a "test report" that includes some of the results of actively examining the WAP, including a Dynamic Host Configuration Protocol (DHCP) address and a default route; and a second message through the dashed line of step 224 is shown here and referred to as "test package". A difference between the two test messages is that the "test report" is sent on a known connection of an endpoint to the intranet, while the "sample packet" is to move on the connection of the WAP to the intranet (if any).

Unter weiterer Bezugnahme auf 2 ist die zentrale Empfangsentität in Schritt 258 funktionsmäßig in der Lage, Netzattribute, die dem geprüften WAP entsprechen, in Abhängigkeit der Informationen zu ermitteln die in der vom Endpunkt empfangenen Datenübertragung enthalten sind. In Schritt 260 ermittelt die zentrale Empfangsmethodik, ob der WAP nichtberechtigt oder fehlerhaft konfiguriert ist. Wenn der geprüfte WAP weder nichtberechtigt noch fehlerhaft konfiguriert ist, kehrt die zentrale Empfangsmethodik zu Schritt 252 zurück, um Datenübertragungen von den Endpunkten weiterhin zu überwachen. Wenn in Schritt 260 festgestellt wird, dass der WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist, gibt die zentrale Empfangsmethodik alternativ eine Warnung oder einen anderen Hinweis in Schritt 262 aus (z. B. sendet aus), die bzw. der über den nichtberechtigten und/oder fehlerhaft konfigurierten Status des WAP informiert. Die zentrale Empfangsmethodik kehrt dann zu Schritt 252 zurück, um das Überwachen von Datenübertragungen von den Endpunkten fortzusetzen.With further reference to 2 is the central receiving entity in step 258 functionally capable of determining network attributes corresponding to the checked WAP depending on the information contained in the data transmission received from the endpoint. In step 260 The central reception method determines whether the WAP is unauthorized or incorrectly configured. If If the checked WAP is neither unauthorized nor configured incorrectly, the central receiving methodology returns to step 252 back to continue monitoring data transfers from the endpoints. When in step 260 it is determined that the WAP is unauthorized and / or configured incorrectly, the central receiving methodology alternatively issues a warning or other indication in step 262 off (eg sends out) that informs about the unauthorized and / or incorrectly configured status of the WAP. The central reception methodology then returns to step 252 back to continue monitoring data transfers from the endpoints.

Techniken der vorliegenden Erfindung können wesentliche vorteilhafte technische Effekte bereitstellen. Ausführungsformen der Erfindung können einen oder mehrere der folgenden Vorteilte bereitstellen, darunter: Verringern der Wahrscheinlichkeit, dass ein Datenübertragungsnetz durch nichtberechtigte Benutzer gefährdet wird, wodurch die Wahrscheinlichkeit von Datenverlust, fehlerhaften Daten oder verfälschte Daten verringert wird; Verringerung der Wahrscheinlichkeit einer Infektion der Client-Infrastruktur durch einen Virus und/oder Malware; Sicherstellen der Einhaltung von Client-spezifischen oder behördlichen Sicherheitskonfigurationsstandards in Bezug auf WAPs; und Schutz der Mitarbeiter in einem Unternehmens-Intranet oder einem anderem Datenübertragungsnetz davor, sich mit nichtberechtigten oder missbräuchlich benutzbaren WAPs zu verbinden, die versuchen, die Identität eines gültigen Client-WAP vorzutäuschen, ohne jedoch auf die vorgenannten beschränkt zu sein.Techniques of the present invention can provide significant advantageous technical effects. Embodiments of the invention may provide one or more of the following advantages, including: reducing the likelihood that a data transmission network will be compromised by unauthorized users, thereby reducing the likelihood of data loss, erroneous data, or corrupted data; Reducing the likelihood of infection of the client infrastructure by a virus and / or malware; Ensuring compliance with client-specific or regulatory security configuration standards in relation to WAPs; and protecting employees in a corporate intranet or other communications network from connecting to unauthorized or abusive WAPs attempting to impersonate a valid client WAP, but without being limited to the foregoing.

Details zu beispielhaftem System und HerstellungsgegenstandDetails of exemplary system and object of manufacture

Wie der Fachmann verstehen wird, können Aspekte der vorliegenden Erfindung in Form eines Systems, eines Verfahrens oder eines Computerprogrammprodukts umgesetzt sein. Demgemäß können Aspekte der vorliegenden Erfindung die Form einer ausschließlich aus Hardware bestehenden Ausführungsform, einer ausschließlich aus Software bestehenden Ausführungsform (Firmware, residente Software, Mikrocode usw. mit eingeschlossen) oder einer Ausführungsform annehmen, die Software- und Hardware-Aspekte kombiniert, die hier allesamt allgemein als „Schaltung”, „Modul” oder „System” bezeichnet werden können. Ferner können Aspekte der vorliegenden Erfindung die Form eines Computerprogrammprodukts annehmen, das als ein oder mehrere computerlesbare Medien umgesetzt ist, die einen computerlesbaren Programmcode aufweisen.As those skilled in the art will appreciate, aspects of the present invention may be implemented in the form of a system, method, or computer program product. Accordingly, aspects of the present invention may take the form of an all-hardware embodiment, an all-software embodiment (firmware, resident software, microcode, etc.) or an embodiment combining software and hardware aspects, all of which herein commonly referred to as a "circuit", "module" or "system". Further, aspects of the present invention may take the form of a computer program product implemented as one or more computer-readable media having computer-readable program code.

Eine oder mehrere Ausführungsformen der Erfindung oder Elemente davon können in Form einer Vorrichtung umgesetzt werden, beispielsweise in Form eines Speichers und zumindest eines Prozessors, der mit dem Speicher verbunden und funktionsmäßig in der Lage ist, beispielhafte Verfahrensschritte auszuführen.One or more embodiments of the invention or elements thereof may be implemented in the form of a device, for example in the form of a memory and at least one processor connected to the memory and functionally capable of performing exemplary method steps.

3 ist ein Blockschaubild, das zumindest einen Teil eines beispielhaften Systems 300 gemäß Ausführungsformen der Erfindung zeigt, das zum Ausführen von Software in der Lage ist. Das System 300 kann beispielsweise einen Universalcomputer oder eine andere Datenverarbeitungseinheit oder Systeme von Datenverarbeitungseinheiten darstellen, der bzw. die – wenn gemäß Ausführungsformen der Erfindung programmiert – zu einer spezialisierten Einheit wird bzw. werden, die funktionsmäßig in der Lage ist, die Techniken der Erfindung auszuführen. Unter Bezugnahme auf 3 könnte eine solche Umsetzung beispielsweise einen Prozessor 302, einen Speicher 304 und eine Eingabe/Ausgabe-Schnittstelle verwenden, die beispielsweise durch eine Anzeige 306 und eine Tastatur 308 gebildet ist. 3 Figure 12 is a block diagram that is at least part of an exemplary system 300 in accordance with embodiments of the invention capable of executing software. The system 300 For example, it may represent a general-purpose computer or other computing device or systems of computing devices that, when programmed in accordance with embodiments of the invention, may become a specialized entity that is operable to perform the techniques of the invention. With reference to 3 For example, such an implementation could be a processor 302 , a store 304 and use an input / output interface provided, for example, by a display 306 and a keyboard 308 is formed.

Wie hier verwendet, soll der Ausdruck „Prozessor” eine beliebige Verarbeitungseinheit beinhalten, beispielsweise eine, die eine CPU (Zentraleinheit) enthält, und/oder andere Formen von Verarbeitungsschaltkreisen. Ferner kann sich der Ausdruck „Prozessor” auf mehr als einen einzelnen Prozessor beziehen. Der Ausdruck „Speicher” soll jeden Speicher miteinschließen, der einem Prozessor oder einer CPU zugehörig ist, beispielsweise ein RAM (Random Access Memory – Direktzugriffsspeicher), ein ROM (Read Only Memory – Nur-Lese-Speicher), eine Einheit mit festem Speicher (z. B. ein Festplattenlaufwerk), eine auswechselbare Speichereinheit (z. B. eine Diskette), ein Flash-Speicher und dergleichen. Darüber hinaus soll der Ausdruck „Eingabe/Ausgabe-Schnittstelle” wie hier verwendet beispielsweise einen oder mehrere Mechanismen zum Eingeben von Daten in die Verarbeitungseinheit (z. B. eine Maus) und einen oder mehrere Mechanismen zum Bereitstellen von Ergebnissen aus der Verarbeitungseinheit (z. B. ein Drucker) mit einschließen. Der Prozessor 302, der Speicher 304 und eine Eingabe/Ausgabe-Schnittstelle, z. B. eine Anzeige 306 und eine Tastatur 308, können beispielsweise über einen Bus 310 als Teil einer Datenverarbeitungseinheit 312 miteinander verbunden sein. Eine geeignete Verbindung, beispielsweise über den Bus 310, kann auch bereitgestellt werden mit: einer Netzschnittstelle 314, z. B. eine Netzkarte, die vorgesehen sein kann, um eine Schnittstelle mit einem Computernetz bereitzustellen, oder einer Medienschnittstelle 316, z. B. einer Diskette oder einem CD-ROM-Laufwerk, die vorgesehen sein kann, um eine Schnittstelle mit Medien 318 bereitzustellen.As used herein, the term "processor" is intended to include any processing unit, such as one containing a CPU (central processing unit), and / or other forms of processing circuitry. Further, the term "processor" may refer to more than a single processor. The term "memory" is intended to include any memory associated with a processor or CPU, such as random access memory (RAM), read only memory (ROM), fixed memory ( for example, a hard disk drive), a removable storage device (eg, a floppy disk), a flash memory, and the like. In addition, as used herein, the term "input / output interface" is intended to include, for example, one or more mechanisms for inputting data to the processing unit (eg, a mouse) and one or more mechanisms for providing results from the processing unit (e.g. A printer). The processor 302 , the memory 304 and an input / output interface, e.g. B. an advertisement 306 and a keyboard 308 , for example, via a bus 310 as part of a data processing unit 312 be connected to each other. A suitable connection, for example via the bus 310 , can also be provided with: a network interface 314 , z. A network card, which may be provided to provide an interface with a computer network, or a media interface 316 , z. A floppy disk or a CD-ROM drive, which may be provided to interface with media 318 provide.

Demgemäß kann eine Computer-Software, die Anweisungen oder einen Code zum Ausführen der Methodiken der Erfindung wie hier beschrieben enthält, in einer oder mehreren der zugehörigen Speichereinheiten (z. B. ROM, feste oder auswechselbare Speicher) gespeichert werden, und wenn sie zur Verwendung bereit ist, teilweise oder zur Gänze geladen (z. B. in den RAM) und durch eine CPU umgesetzt werden. Eine solche Software könnte Firmware, residente Software, Mikrocode und dergleichen beinhalten, ohne jedoch auf diese beschränkt zu sein.Accordingly, computer software including instructions or code for carrying out the methodologies of the invention as described herein may be embodied in one or more of the appended claims Storage devices (eg, ROM, fixed or removable storage) are stored, and when ready for use, partially or fully loaded (eg, into RAM) and implemented by a CPU. Such software could include, but is not limited to, firmware, resident software, microcode, and the like.

Ein Datenverarbeitungssystem, das sich zum Speichern und/oder Ausführen eines Programmcodes eignet, enthält zumindest einen Prozessor 302, der direkt oder indirekt über einen Systembus 310 mit Speicherelementen 304 verbunden ist. Die Speicherelemente können einen lokalen Speicher, der während tatsächlicher Umsetzungen des Programmcodes verwendet wird, einen Massenspeicher und Cachespeicher beinhalten, die eine vorübergehende Speicherung zumindest eines Teils des Programmcodes bereitstellen, um die Häufigkeit zu verringern, mit der der Code während der Umsetzung aus einem Massenspeicher abgerufen werden muss.A data processing system suitable for storing and / or executing a program code includes at least one processor 302 that is directly or indirectly via a system bus 310 with memory elements 304 connected is. The memory elements may include a local memory used during actual implementations of the program code, a mass storage, and cache memory that provide temporary storage of at least a portion of the program code to reduce the frequency with which the code is retrieved from a mass storage during translation must become.

Eingabe/Ausgabe- bzw. E/A-Einheiten (beispielsweise Tastaturen 308, Anzeigen 306, Zeigereinheiten und dergleichen, ohne jedoch auf diese beschränkt zu sein) können entweder direkt (z. B. über den Bus 310) oder über Zwischen-E/A-Steuereinheiten (der besseren Klarheit wegen nicht gezeigt) mit dem System verbunden werden.Input / output or I / O units (for example, keyboards 308 , Show 306 , Pointing devices and the like, but without being limited to these) can either be directly (eg via the bus 310 ) or via intermediate I / O controllers (not shown for clarity) to the system.

Netzadapter, z. B. die Netzschnittstelle 314, können auch mit dem System verbunden sein, damit das Datenverarbeitungssystem über private oder öffentliche Zwischennetze mit anderen Datenverarbeitungssystemen oder fernen Druckern oder Speichereinheiten verbunden werden kann. Modems, Kabelmodems und Ethernet-Karten sind nur einige der derzeit verfügbaren Typen von Netzadaptern.AC adapter, z. B. the network interface 314 , may also be connected to the system so that the data processing system can be connected via private or public intermediate networks to other data processing systems or remote printers or storage units. Modems, cable modems, and Ethernet cards are just some of the types of network adapters currently available.

Ferner sind eine Telefonkarte 430, die mit dem Bus verbunden ist, und eine Schnittstelle mit einem Telefonnetz hat, und eine Drahtlosschnittstelle 432 mit eingeschlossen, die mit dem Bus verbunden ist und eine Schnittstelle mit einem lokalen und/oder mobilen Drahtlosnetz hat.Furthermore, a phone card 430 which is connected to the bus and has an interface with a telephone network, and a wireless interface 432 which is connected to the bus and interfaces with a local and / or mobile wireless network.

Die Datenverarbeitungseinheit 312 steht für eine Einheit, z. B. einen Endpunkt, einen Personal Digital Assistant, ein Smart-Phone oder ein Tablet; die Datenverarbeitungseinheit 312 steht darüber hinaus für einen Server in einem Datenübertragungsnetz oder dergleichen. Einige Ausführungsformen verwenden in einem Netz mehrere Server. Die mehreren Server können über ein lokales Computernetz (z. B. Ethernet) über Netzschnittstellen 314 verbunden sein. Die Aufgaben können unter Servern aufgeteilt werden; beispielsweise können einige Server Telefonzugriff über Karten 430 bereitstellen; einige Server führen ein „Number Crunching” (Zahlenrechnung) für die Spracherkennung aus usw. Wenn Techniken auf einer mobilen Einheit ausgeführt werden, kann die gesamte Verarbeitung oder ein Teil davon extern ausgeführt werden. Beispielsweise können Signale drahtlos über die Drahtlosschnittstelle 432 an einen leistungsstarken externen Server gesendet werden, wobei eventuell zunächst eine gewisse lokale Vorverarbeitung erfolgt.The data processing unit 312 stands for a unit, z. An endpoint, personal digital assistant, smart phone or tablet; the data processing unit 312 moreover stands for a server in a data transmission network or the like. Some embodiments use multiple servers in a network. The multiple servers can communicate over network interfaces over a local computer network (eg, Ethernet) 314 be connected. The tasks can be divided among servers; For example, some servers may have phone access through cards 430 provide; some servers perform number crunching for speech recognition, and so on. When techniques are run on a mobile device, all or part of the processing can be done externally. For example, signals may be wireless over the wireless interface 432 sent to a high-performance external server, possibly with a certain amount of local preprocessing.

Wie hier unter Einbeziehen der Ansprüche verwendet, beinhaltet ein „Server” ein physisches Datenverarbeitungssystem (z. B. Datenverarbeitungseinheit 312, wie in 3 gezeigt), das ein Server-Programm ausführt. Es ist klar, dass ein solcher physischer Server gegebenenfalls eine Anzeige und eine Tastatur enthalten kann. Darüber hinaus muss nicht jeder Server oder jede Einheit notwendigerweise jedes in 3 gezeigte Merkmal aufweisen.As used herein incorporating the claims, a "server" includes a physical data processing system (eg, computing device 312 , as in 3 shown) running a server program. It will be appreciated that such a physical server may optionally include a display and a keyboard. In addition, not every server or unit necessarily has any in it 3 have shown feature.

Wie angemerkt, können Aspekte der vorliegenden Erfindung die Form eines Computerprogrammprodukts annehmen, das durch ein oder mehrere computerlesbare Medien umgesetzt ist, die einen computerlesbaren Programmcode beinhalten. Es kann eine beliebige Kombination aus einem oder mehreren computerlesbaren Medien verwendet werden. Das computerlesbare Medium kann ein computerlesbares Signalmedium oder ein computerlesbares Speichermedium sein. Ein computerlesbares Speichermedium kann beispielsweise ein/e elektronische/s, magnetische/s, optische/s, elektromagnetische/s, Infrarot- oder Halbleitersystem, -vorrichtung oder -einheit oder eine geeignete Kombination des Vorstehenden sein, ohne jedoch darauf beschränkt zu sein. Ein Medienblock 318 ist ein nichteinschränkendes Beispiel. Spezifischere Beispiele (nichterschöpfende Liste) für das computerlesbare Speichermedium sind unter anderem: eine elektrische Verbindung mit einem oder mehreren Leitungen, eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM, Random Access Memory), ein Nur-Lese-Speicher (ROM, Read Only Memory, ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM (Erasable Programmable Read Only Memory) oder Flash-Speicher), ein Lichtwellenleiter, ein tragbarer Compact Disk-Nur-Lese-Speicher (CD-ROM, Compact Disc-Read Only Memory), eine optische Speichereinheit, eine magnetische Speichereinheit oder eine geeignete Kombination des Vorstehenden. Im Kontext dieses Dokuments kann ein computerlesbares Speichermedium jedes konkrete Medium sein, das ein Programm zur Verwendung durch ein/e Anweisungsausführungssystem, -vorrichtung oder -einheit oder in Verbindung damit enthalten oder speichern kann.As noted, aspects of the present invention may take the form of a computer program product implemented by one or more computer readable media including computer readable program code. Any combination of one or more computer-readable media may be used. The computer readable medium may be a computer readable signal medium or a computer readable storage medium. A computer-readable storage medium may be, for example, but not limited to, an electronic, magnetic, optical, electromagnetic, infrared, or semiconductor system, device, or device, or any suitable combination of the foregoing. A media block 318 is a non-limiting example. More specific examples (non-exhaustive list) for the computer-readable storage medium include: an electrical connection to one or more lines, a portable computer diskette, a hard disk, Random Access Memory (RAM), Read Only Memory (ROM) Only Memory, Erasable Programmable Read Only Memory (EPROM) or Flash Memory), optical fiber, Compact Disc Read Only Memory (CD-ROM) In the context of this document, a computer readable storage medium may be any tangible medium containing a program for use by or in conjunction with an instruction execution system, apparatus or unit or save.

Der in einem computerlesbaren Medium enthaltene Programmcode kann mithilfe eines geeigneten Mediums übertragen werden, beispielsweise drahtlos, leitungsgebunden, Lichtwellenleiterkabel, HF usw. oder eine Kombination des Vorstehenden, ohne jedoch darauf beschränkt zu sein.The program code contained in a computer-readable medium can be transmitted by means of a suitable medium, for example wirelessly, cable-bound, Fiber optic cable, RF, etc., or a combination of the foregoing, but not limited thereto.

Ein Computerprogrammcode zum Ausführen von Operationen für Aspekte der vorliegenden Erfindung kann in irgendeiner Kombination aus einer oder mehreren Programmiersprachen geschrieben sein, beispielsweise objektorientierte Programmiersprachen wie Java, Smalltalk, C++ oder dergleichen und herkömmliche prozedurale Programmiersprachen wie die „C”-Programmiersprache, FORTRAN oder ähnliche Programmiersprachen. Der Programmcode kann zur Gänze auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder zur Gänze auf dem entfernt angeordneten Computer oder -Server ausgeführt werden. Bei letzterem Szenario kann der entfernt angeordneten Computer über einen beliebigen Netzwerktyp, beispielsweise lokales Netz (LAN, Local Area Network) oder Weitverkehrsnetz (WAN, Wide Area Network), mit dem Computer des Benutzers verbunden sein oder die Verbindung zu einem externen Computer kann hergestellt werden (z. B. über einen Internet-Diensteanbieter über Internet).Computer program code for performing operations for aspects of the present invention may be written in any combination of one or more programming languages, such as object-oriented programming languages such as Java, Smalltalk, C ++ or the like and conventional procedural programming languages such as the "C" programming language, FORTRAN or similar programming languages , The program code may be executed entirely on the user's computer, partly on the user's computer, as a standalone software package, partly on the user's computer and partly on a remote computer, or entirely on the remote computer or server , In the latter scenario, the remote computer can be connected to the user's computer via any type of network, such as local area network (LAN) or wide area network (WAN), or the connection to an external computer can be established (eg via an internet service provider via internet).

Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf die Ablaufplandarstellungen und/oder Blockschaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es ist klar, dass jeder Block der Ablaufplandarstellungen und/oder Blockschaubilder und Kombinationen von Blöcken in den Ablaufplandarstellungen und/oder Blockschaubildern durch Computerprogrammanweisungen umgesetzt werden können. Diese Computerprogrammanweisungen können für einen Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu produzieren, so dass die Anweisungen, die über den Prozessor des Computers oder der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführt werden, ein Mittel für das Umsetzen der in dem einen oder den mehreren Ablaufplan- und/oder Blockschaubildblöcken angegebenen Funktionen/Aktionen zu erstellen.Aspects of the present invention are described herein with reference to flowchart illustrations and / or block diagrams of methods, apparatus (systems) and computer program products according to embodiments of the invention. It will be appreciated that each block of the schedule illustrations and / or block diagrams and combinations of blocks in the schedule illustrations and / or block diagrams may be implemented by computer program instructions. These computer program instructions may be provided to a processor of a general-purpose computer, a special purpose computer or other programmable data processing device to produce a machine such that the instructions that are executed via the processor of the computer or other programmable data processing device provide means for translating the computer create functions / actions specified in the one or more schedule and / or block diagram blocks.

Diese Computerprogrammanweisungen können auch in einem computerlesbaren Medium gespeichert werden, das einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder andere Einheiten anweisen kann, auf eine bestimmte Weise zu arbeiten, so dass die im computerlesbaren Medium gespeicherten Anweisungen einen Herstellungsgegenstand produzieren, der Anweisungen beinhaltet, die die in den einen oder mehreren Ablaufplan- und/oder Blockschaubildblöcken angegebene Funktion/Aktion umsetzen.These computer program instructions may also be stored in a computer-readable medium that may instruct a computer, other programmable computing device, or other device to operate in a particular manner so that the instructions stored in the computer-readable medium produce an article of manufacture that includes instructions that include the instructions implement the function / action specified in the one or more flowchart and / or block diagram blocks.

Die Computerprogrammanweisungen können auch in einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder andere Einheiten geladen werden, um zu bewirken, dass eine Reihe von Betriebsschritten im Computer, auf der anderen programmierbaren Vorrichtung oder auf anderen Einheiten durchgeführt wird, um ein computerausgeführtes Verfahren zu produzieren, so dass die Anweisungen, die auf dem Computer oder auf der anderen programmierbaren Vorrichtung ausgeführt werden, Verfahren zum Umsetzen der in dem einen oder den mehreren Ablaufplan- und/oder Blockschaubildblöcken angegebenen Funktionen/Aktionen bereitstellen.The computer program instructions may also be loaded into a computer, other programmable computing device, or other device to cause a series of operations to be performed in the computer, on the other programmable device, or on other devices to produce a computer-implemented process the instructions executed on the computer or on the other programmable device provide methods for implementing the functions / actions specified in the one or more flowchart and / or block diagram blocks.

Der Ablaufplan und/oder die Blockschaubilder in den Figuren zeigen die Architektur, die Funktionalität und den Betrieb möglicher Umsetzungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedener Ausführungsformen der vorliegenden Erfindung. In dieser Hinsicht kann jeder Block des Ablaufplans oder der Blockschaubilder ein Modul, ein Segment oder einen Teil eines Codes darstellen, das bzw. der eine oder mehrere ausführbare Anweisungen für die Umsetzung der einen oder mehreren angegebenen logischen Funktionen aufweist. Es sei darüber hinaus angemerkt, dass die in den Blöcken ausgewiesenen Funktionen bei einigen alternativen Umsetzungen in einer anderen Reihenfolge als in den Figuren gezeigt auftreten können. Beispielsweise können zwei aufeinanderfolgen Blöcke tatsächlich im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können je nach Funktionalität manchmal in umgekehrter Reihenfolge ausgeführt werden. Es sei ferner angemerkt, dass jeder Block der Blockschaubilder und/oder der Ablaufplandarstellung und Kombinationen von Blöcken in den Blockschaubildern und/oder in der Ablaufplandarstellung durch spezifische Systeme auf der Grundlage von Hardware umgesetzt sein können, die die angegebenen Funktionen oder Aktionen oder Kombinationen von spezifischen Hardware- und Computeranweisungen durchführen.The flowchart and / or block diagrams in the figures illustrate the architecture, functionality and operation of possible implementations of systems, methods and computer program products according to various embodiments of the present invention. In this regard, each block of the flowchart or block diagrams may represent a module, segment, or portion of code that includes one or more executable instructions for the implementation of the one or more specified logical functions. It should also be noted that the functions identified in the blocks may occur in some alternate implementations in a different order than shown in the figures. For example, two consecutive blocks may in fact be executed substantially concurrently, or the blocks may sometimes be executed in reverse order, depending on functionality. It should also be noted that each block of the block diagrams and / or the flowchart representation and combinations of blocks in the block diagrams and / or in the flowchart representation may be implemented by specific hardware based systems having the stated functions or actions or combinations of specific ones Perform hardware and computer instructions.

Es ist klar, dass jedes der hier beschriebenen Verfahren einen zusätzlichen Schritt des Bereitstellens eines Systems beinhalten kann, das eindeutige Software-Module aufweist, die auf einem computerlesbaren Speichermedium umgesetzt sind; die Module können beispielsweise ein oder alle der in den Blockschaubildern gezeigten und/oder hier beschriebenen Elemente enthalten. Die Verfahrensschritte können danach unter Verwendung der eindeutigen Software-Module und/oder Teilmodule des Systems wie oben beschrieben durchgeführt werden, die auf einem oder mehreren Hardware-Prozessoren 302 ausgeführt werden. Darüber hinaus kann ein Computerprogrammprodukt ein computerlesbares Speichermedium mit einem Code beinhalten, das so ausgelegt ist, dass es umgesetzt wird, um einen oder mehrere hier beschriebene Verfahrensschritte durchzuführen, darunter das Bereitstellen des Systems mit den eindeutigen Software-Modulen.It should be understood that each of the methods described herein may include an additional step of providing a system having unique software modules implemented on a computer-readable storage medium; For example, the modules may include any or all of the elements shown and / or described in the block diagrams. The method steps may thereafter be performed using the unique software modules and / or sub-modules of the system as described above that are based on one or more hardware processors 302 be executed. In addition, a computer program product may include a computer readable storage medium having a code adapted to be implemented to perform one or more of the method steps described herein, including providing the system with the unique software modules.

Jedenfalls ist klar, dass die hier gezeigten Komponenten in verschiedenen Formen von Hardware, Software oder Kombinationen davon umgesetzt werden können; beispielsweise mit anwendungsspezifischen integrierten Schaltung(en) (Application Specific Integrated Circuits, ASICs), funktionellen Schaltkreisen, ein oder mehreren entsprechend programmierten digitalen Universalcomputern mit zugehörigem Speicher und dergleichen. Angesichts der Lehren der hier bereitgestellten Erfindung ist ein Fachmann in der Lage, andere Umsetzungen der Komponenten der Erfindung zu erwägen.Anyway, it is clear that the components shown here can be implemented in various forms of hardware, software or combinations thereof; for example, with Application Specific Integrated Circuits (ASICs), functional circuits, one or more appropriately programmed universal digital computers with associated memory, and the like. In view of the teachings of the invention provided herein, one skilled in the art will be able to contemplate other implementations of the components of the invention.

Die hier verwendete Terminologie dient lediglich zum Beschreiben bestimmter Ausführungsformen und soll die Erfindung nicht einschränken. Wie hier verwendet, sollen die Singularformen von Artikeln wie „ein” und „der” auch die Pluralformen mit einschließen, außer wenn der Kontext es eindeutig anders vorgibt. Es sei ferner verstanden, dass die Ausdrücke „aufweisen” und/oder „aufweisend”, wie in dieser Schrift verwendet, das Vorhandensein von angegebenen Merkmalen, ganzen Zahlen, Schritten, Operationen, Elementen und/oder Komponenten festlegen, das Vorhandensein oder das Hinzufügen von einem/r oder mehreren anderen Merkmalen, ganzen Zahlen, Schritten, Operationen, Elementen, Komponenten und/oder Gruppen davon jedoch nicht ausschließen.The terminology used herein is merely for describing particular embodiments and is not intended to limit the invention. As used herein, the singular forms of articles such as "a" and "the" are also intended to include the plural forms unless the context clearly dictates otherwise. It should also be understood that the terms "comprising" and / or "having" as used herein refer to the presence of specified features, integers, steps, operations, elements and / or components, the presence or addition of however, do not preclude one or more other features, integers, steps, operations, elements, components, and / or groups thereof.

Die entsprechenden Strukturen, Materialien, Aktionen und sämtliche Mittel oder Schritt-plus-Funktion-Elemente in den folgenden Ansprüchen sollen jedwede Struktur, jedwedes Material oder jedwede Aktion für das Durchführen der Funktion in Kombination mit anderen beanspruchten Elementen wie spezifisch beansprucht beinhalten. Die Beschreibung der vorliegenden Erfindung ist zum Zwecke der Veranschaulichung und Beschreibung dargeboten, soll jedoch nicht als ausschöpfend oder die Erfindung in der offenbarten Form einschränkend verstanden werden. Für den Fachmann sind viele Änderungen und Variationen ersichtlich, ohne sich vom Umfang und Geist der Erfindung zu entfernen. Die Ausführungsform wurde gewählt und beschrieben, um die Grundgedanken der Erfindung und die praktische Anwendung bestmöglich zu erläutern und um anderen Fachleuten zu ermöglichen, die Erfindung in verschiedenen Ausführungsformen mit verschiedenen Änderungen, wie sie sich für die bestimmte angedachte Verwendung eignen, zu verstehen.The corresponding structures, materials, acts and all means or step-plus-function elements in the following claims are intended to include any structure, material or action for performing the function in combination with other claimed elements as specifically claimed. The description of the present invention has been presented for purposes of illustration and description, but is not intended to be exhaustive or to limit the invention to the form disclosed. Many changes and variations will be apparent to those skilled in the art without departing from the scope and spirit of the invention. The embodiment has been chosen and described in order to best explain the principles of the invention and the practical application, and to enable others skilled in the art to understand the invention in various embodiments with various changes as appropriate to the particular use contemplated.

Claims (20)

System zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das System aufweist: eine Vielzahl von Netzendpunkten; eine Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, wobei die Agenten so ausgelegt sind, dass sie WAPs periodisch lokalisieren und lokalisierte WAPs an eine zentrale Entität berichten; und eine zentrale Entität, die funktionsmäßig in der Lage ist, Informationen in Bezug auf lokalisierte WAPs von der Vielzahl von Agenten zu empfangen, dass sie ermittelt, ob zumindest ein bestimmter der lokalisierten WAPs geprüft werden muss, und dass sie ein aktives Prüfen von lokalisierten WAPs einleitet, wenn festgestellt wird, dass der bestimmte der lokalisierten WAPs geprüft werden muss, wobei die zentrale Entität a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert, wobei die zentrale Entität aufweist: ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt; ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist; eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist, ein Steuermodul, das mit der Datenbank verbunden ist und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.A system for identifying at least one of unauthorized and misconfigured wireless network access (WAPs) in a communications network, the system comprising: a plurality of network endpoints; a plurality of agents executing on the plurality of endpoints, the agents being arranged to periodically locate WAPs and report localized WAPs to a central entity; and a central entity functionally capable of receiving information regarding localized WAPs from the plurality of agents, determining whether at least one particular one of the localized WAPs needs to be audited, and initiating active checking of localized WAPs if it is determined that the particular one of the localized WAPs needs to be tested, being the central entity a) passive data on localization operations, and active data on test operations, collects and analyzes and b) controlling the plurality of agents executing on the plurality of endpoints based on these results, wherein the central entity comprises: a receiving module adapted to receive information from one or more of the WAPs; a reporting and alert issuing module connected to the receiving module; a database associated with the receiving module and the reporting and alert issuing module, a control module connected to the database and wherein the control module is operable to apply prescribed rules stored in the database to determine a configuration status of an observed WAP to determine whether the observed WAP should be tested by the at least one of the plurality of network endpoints. System nach Anspruch 1, wobei das aktive Prüfen von lokalisierten WAPs durch einen Agenten durchgeführt wird, der auf einem entsprechenden Endpunkt ausgeführt wird.The system of claim 1, wherein the active checking of localized WAPs is performed by an agent running on a corresponding endpoint. System nach Anspruch 1, wobei die zentrale Entität funktionsmäßig in der Lage ist, ein oder mehrere vorgeschriebenen Geschäftskriterien anzuwenden, um zu ermitteln, ob der zumindest eine der lokalisierten WAPs geprüft werden muss.The system of claim 1, wherein the central entity is operable to apply one or more prescribed business criteria to determine if the at least one of the located WAPs needs to be tested. System nach Anspruch 1, wobei zumindest ein Teilsatz der Agenten funktionsmäßig in der Lage ist, einen oder mehrere WAPs im Datenübertragungsnetz während vorgeschriebener Zeitintervalle zu lokalisieren.The system of claim 1, wherein at least a subset of the agents is operable to have one or more WAPs in the Data transmission network to locate during prescribed time intervals. System nach Anspruch 4, wobei die vorgeschriebenen Zeitintervalle, in denen der Teilsatz der Agenten funktionsmäßig in der Lage ist, einen oder mehrere WAPs zu lokalisieren, periodisch sind.The system of claim 4, wherein the prescribed time intervals in which the subset of agents is operable to locate one or more WAPs are periodic. System nach Anspruch 1, wobei die zentrale Entität funktionsmäßig in der Lage ist, über das Empfangsmodul und/oder das Berichterstattungs- und Warnungsausgabemodul und/oder die Datenbank und/oder das Steuermodul zumindest einen der Vielzahl von Agenten so zu steuern, dass er vorgeschriebene Informationen in der Datenbank speichert, um zu ermitteln, ob der zumindest eine der lokalisierten WAPs geprüft werden muss, dass er eine oder mehrere Nachrichten empfängt, die einen bestimmten WAP unter Beobachtung und das Datenübertragungsnetz durchqueren, und dass sie einen vorgeschriebenen Zustand des bestimmten WAP in Abhängigkeit der empfangenen Nachrichten berichtet.The system of claim 1, wherein the central entity is operable to control at least one of the plurality of agents via the receiving module and / or the reporting and alerting output module and / or the database and / or the control module to provide prescribed information in the database to determine whether the at least one of the localized WAPs needs to be checked to receive one or more messages that are under surveillance by a particular WAP and through the communications network, and to have a prescribed state of the particular WAP reported received messages. System nach Anspruch 1, wobei zumindest ein Teilsatz der Vielzahl von Netzendpunkten unter der Steuerung des Steuermoduls funktionsmäßig in der Lage ist, einen oder mehrere entsprechende WAPs periodisch zu überwachen.The system of claim 1, wherein at least a subset of the plurality of network endpoints under the control of the control module is operable to periodically monitor one or more corresponding WAPs. System nach Anspruch 1, wobei ein ausgewählter Endpunkt im Rahmen des Durchführens einer aktiven Prüfung eines bestimmten WAP und eines Netzes, das dem bestimmten WAP entspricht, funktionsmäßig in der Lage ist, eine Verbindung mit dem bestimmten WAP herzustellen, um zumindest eine Anforderung an Netzressourcen zu senden und eine Antwort von dem bestimmten WAP auf die zumindest eine Anforderung zu beobachten.The system of claim 1, wherein a selected endpoint is operable to establish a connection with the particular WAP to perform at least one request to network resources as part of performing an active audit of a particular WAP and a network corresponding to the particular WAP and observe a response from the particular WAP to the at least one request. System nach Anspruch 8, wobei die zumindest eine Anforderung ein Dynamic Host Configuration Protocol-Pingsignal aufweist.The system of claim 8, wherein the at least one request comprises a Dynamic Host Configuration Protocol ping signal. Computerprogrammprodukt zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium aufweist, das einen computerlesbaren Programmcode beinhaltet, wobei der computerlesbare Programmcode aufweist: einen computerlesbaren Programmcode, der so konfiguriert ist, dass er einen auf einem Endpunkt im Datenübertragungsnetz ausgeführten Agenten dazu veranlasst, einen oder mehrere WAPs im Datenübertragungsnetz zu lokalisieren; einen computerlesbaren Programmcode, der so konfiguriert ist, dass er den Agenten dazu veranlasst, zumindest einen lokalisierten WAP an eine zentrale Entität zu berichten; einen computerlesbaren Programmcode, der so konfiguriert ist, dass er die zentrale Entität dazu veranlasst, Schritte des Anwendens von vorgeschriebenen Kriterien, um zu ermitteln, ob der zumindest eine lokalisierte WAP geprüft werden muss, und des Einleitens einer aktiven Prüfung des zumindest einen lokalisierten WAP durchzuführen, wenn ermittelt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist, wobei die zentrale Entität a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert, wobei die zentrale Entität aufweist: ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt; ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist; eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist, ein Steuermodul, das mit der Datenbank verbunden ist und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.A computer program product for identifying at least one of unauthorized and misconfigured wireless network access (WAPs) in a communications network, the computer program product comprising a computer readable storage medium containing computer readable program code, the computer readable program code comprising: computer readable program code configured to: it causes an agent running on an endpoint in the communications network to locate one or more WAPs in the communications network; computer readable program code configured to cause the agent to report at least one localized WAP to a central entity; computer readable program code configured to cause the central entity to perform steps of applying prescribed criteria to determine if the at least one localized WAP needs to be tested and initiating an active check of the at least one localized WAP if it is determined that the at least one localized WAP needs to be examined to determine if the localized WAP is unauthorized and / or misconfigured, the central entity a) Passive data on localization operations, and active data on audit operations, collects and analyzes and b) controls the plurality of agents executing on the plurality of endpoints based on these results, the central entity comprising: a receiving module adapted to receive information from one or more of the WAPs; a reporting and alert issuing module connected to the receiving module; a database connected to the receiving module and the reporting and alerting module, a control module connected to the database, and wherein the control module is operable to apply prescribed rules stored in the database to a configuration status of an observed WAP to determine if the observed WAP should be checked by the at least one of the plurality of network endpoints. Vorrichtung zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei die Vorrichtung aufweist: zumindest einen Prozessor, wobei der zumindest eine Prozessor so betreibbar ist, dass er: (i) einen Agenten aktiviert, so dass dieser auf zumindest einen Endpunkt im Datenübertragungsnetz ausgeführt wird, wobei der Agent so ausgelegt ist, dass er einen oder mehrere WAPs im Datenübertragungsnetz lokalisiert; (ii) Informationen in Bezug auf zumindest einen lokalisierten WAP vom Agenten empfängt; (iii) vorgeschriebene Kriterien anwendet, um zu ermitteln, ob der lokalisierte WAP geprüft werden muss; und (iv) das aktive Prüfen des lokalisierten WAP einleitet, wenn ermittelt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist, wobei die zentrale Entität a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert, wobei die zentrale Entität aufweist: ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt; ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist; eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist, ein Steuermodul, das mit der Datenbank verbunden ist und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.An apparatus for identifying at least one of unauthorized and misconfigured wireless network accesses (WAPs) in a communications network, the apparatus comprising: at least one processor, wherein the at least one processor is operable to: (i) activate an agent to run on at least one endpoint in the communications network, the agent being adapted to receive one or more WAPs in the communications network located; (ii) receive information regarding at least one localized WAP from the agent; (iii) apply mandatory criteria to determine whether the localized WAP needs to be audited; and (iv) initiating active checking of the localized WAP if it is determined that the at least one localized WAP needs to be tested to determine if the localized WAP is unauthorized and / or misconfigured; being the central entity a) passive data on localization operations, and active data on test operations, collects and analyzes and b) controlling the plurality of agents executing on the plurality of endpoints based on these results, wherein the central entity comprises: a receiving module adapted to receive information from one or more of the WAPs; a reporting and alert issuing module connected to the receiving module; a database associated with the receiving module and the reporting and alert issuing module, a control module connected to the database and wherein the control module is operable to apply prescribed rules stored in the database to determine a configuration status of an observed WAP to determine whether the observed WAP should be tested by the at least one of the plurality of network endpoints. Verfahren zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das Verfahren die Schritte aufweist: ein auf einem Endpunkt im Datenübertragungsnetz ausgeführter Agent lokalisiert einen oder mehrere WAPs im Datenübertragungsnetz; der Agent berichtet zumindest einen lokalisierten WAP an eine zentrale Entität; und die zentrale Entität führt Schritte des Anwendens von vorgeschriebenen Kriterien, um zu ermitteln, ob der zumindest eine lokalisierte WAP geprüft werden muss, und des Einleitens einer aktiven Prüfung des zumindest einen lokalisierten WAP aus, wenn ermittelt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP zumindest nichtberechtigt und/oder fehlerhaft konfiguriert ist, wobei die zentrale Entität a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert, wobei die zentrale Entität aufweist: ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt; ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist; eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist, ein Steuermodul, das mit der Datenbank verbunden ist und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.A method for identifying at least one of unauthorized and misconfigured wireless network access (WAPs) in a communications network, the method comprising the steps of: an agent running on an endpoint in the communications network locates one or more WAPs in the communications network; the agent reports at least one localized WAP to a central entity; and the central entity performs steps of applying prescribed criteria to determine if the at least one localized WAP needs to be audited and initiating an active audit of the at least one localized WAP if it is determined that the at least one localized WAP is being audited to determine if the localized WAP is at least unauthorized and / or misconfigured, being the central entity a) passive data on localization operations, and active data on test operations, collects and analyzes and b) controlling the plurality of agents executing on the plurality of endpoints based on these results, wherein the central entity comprises: a receiving module adapted to receive information from one or more of the WAPs; a reporting and alert issuing module connected to the receiving module; a database associated with the receiving module and the reporting and alert issuing module, a control module connected to the database and wherein the control module is operable to apply prescribed rules stored in the database to determine a configuration status of an observed WAP to determine whether the observed WAP should be tested by the at least one of the plurality of network endpoints. Verfahren nach Anspruch 12, wobei der zumindest eine Agent im Datenübertragungsnetz so ausgelegt ist, dass er das aktive Prüfen des lokalisierten WAP durchführt.The method of claim 12, wherein the at least one agent in the communications network is adapted to perform the active checking of the localized WAP. Verfahren nach Anspruch 12, ferner aufweisend das Auswählen zumindest eines Endpunkts im Datenübertragungsnetz, um das aktive Prüfen durchzuführen, und das Anweisen des Endpunkts, so dass dieser ein aktives Prüfen des lokalisierten WAP durchführt.The method of claim 12, further comprising selecting at least one endpoint in the communications network to perform the active checking, and instructing the endpoint to actively check the localized WAP. Verfahren nach Anspruch 14, wobei das Auswählen eines Endpunkts, so dass dieser das aktive Prüfen durchführt, von der zentralen Entität in Abhängigkeit von einer oder mehreren vorgeschriebenen Geschäftsregeln durchgeführt wird.The method of claim 14, wherein selecting an endpoint to perform the active checking is performed by the central entity in response to one or more prescribed business rules. Verfahren nach Anspruch 12, ferner aufweisend das Erzeugen einer Warnung, wenn ermittelt wird, dass der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist.The method of claim 12, further comprising generating a warning when it is determined that the located WAP is unauthorized and / or misconfigured. Verfahren nach Anspruch 12, wobei der Agent so ausgelegt ist, dass er einen oder mehrere WAPs im Datenübertragungsnetz während vorgeschriebener Zeitintervalle lokalisiert.The method of claim 12, wherein the agent is adapted to locate one or more WAPs in the communications network during prescribed time intervals. Verfahren nach Anspruch 17, wobei die vorgeschriebenen Zeitintervalle periodisch sind.The method of claim 17, wherein the prescribed time intervals are periodic. Verfahren nach Anspruch 12, ferner aufweisend das Auswählen einer Vielzahl von Endpunkten im Datenübertragungsnetz, um ein aktives Prüfen eines bestimmten lokalisierten WAP einzuleiten.The method of claim 12, further comprising selecting a plurality of endpoints in the communications network to initiate active checking of a particular localized WAP. Verfahren nach Anspruch 12, wobei der Schritt des aktiven Prüfens des zumindest einen lokalisierten WAP das Herstellen einer Verbindung mit dem WAP, das Senden zumindest einer Anforderung an Netzressourcen und das Beobachten einer Antwort vom WAP auf die zumindest eine Anforderung aufweist.The method of claim 12, wherein the step of actively verifying the at least one located WAP comprises connecting to the WAP, sending at least one request to network resources, and monitoring a response from the WAP to the at least one request.
DE102013206353.9A 2012-04-25 2013-04-11 IDENTIFY UNAUTHORIZED OR ERROR-CONFIGURED WIRELESS NETWORK ACCESS USING DISTRIBUTED END POINTS Active DE102013206353B4 (en)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US13/455,419 2012-04-25
US13/455,419 US20130291063A1 (en) 2012-04-25 2012-04-25 Identification of Unauthorized or Misconfigured Wireless Access Point Using Distributed Endpoints
US13/459,383 2012-04-30
US13/459,383 US20130291067A1 (en) 2012-04-25 2012-04-30 Identification of Unauthorized or Misconfigured Wireless Access Point Using Distributed Endpoints

Publications (2)

Publication Number Publication Date
DE102013206353A1 DE102013206353A1 (en) 2013-10-31
DE102013206353B4 true DE102013206353B4 (en) 2018-01-25

Family

ID=49323406

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013206353.9A Active DE102013206353B4 (en) 2012-04-25 2013-04-11 IDENTIFY UNAUTHORIZED OR ERROR-CONFIGURED WIRELESS NETWORK ACCESS USING DISTRIBUTED END POINTS

Country Status (1)

Country Link
DE (1) DE102013206353B4 (en)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050060576A1 (en) * 2003-09-15 2005-03-17 Kime Gregory C. Method, apparatus and system for detection of and reaction to rogue access points
US20060068811A1 (en) * 2004-09-24 2006-03-30 Microsoft Corporation Collaboratively locating disconnected clients and rogue access points in a wireless network
US20070002762A1 (en) * 2005-06-29 2007-01-04 Fujitsu Limited Management policy evaluation system and recording medium storing management policy evaluation program
US20070058598A1 (en) * 2005-09-09 2007-03-15 Hon Hai Precision Industry Co., Ltd. Method and system for detecting rogue access points and device for identifying rogue access points
US7257107B2 (en) * 2003-07-15 2007-08-14 Highwall Technologies, Llc Device and method for detecting unauthorized, “rogue” wireless LAN access points
US7336670B1 (en) * 2003-06-30 2008-02-26 Airespace, Inc. Discovery of rogue access point location in wireless network environments
US7808958B1 (en) * 2006-09-28 2010-10-05 Symantec Corporation Rogue wireless access point detection
US20100333177A1 (en) * 2009-06-30 2010-12-30 Donley Daryl E System and method for identifying unauthorized endpoints
US20110083165A1 (en) * 2004-04-06 2011-04-07 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method and system for regulating, disrupting and preventing access to the wireless medium
US20120023552A1 (en) * 2009-07-31 2012-01-26 Jeremy Brown Method for detection of a rogue wireless access point

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7336670B1 (en) * 2003-06-30 2008-02-26 Airespace, Inc. Discovery of rogue access point location in wireless network environments
US7257107B2 (en) * 2003-07-15 2007-08-14 Highwall Technologies, Llc Device and method for detecting unauthorized, “rogue” wireless LAN access points
US20050060576A1 (en) * 2003-09-15 2005-03-17 Kime Gregory C. Method, apparatus and system for detection of and reaction to rogue access points
US20110083165A1 (en) * 2004-04-06 2011-04-07 Airtight Networks, Inc. (F/K/A Wibhu Technologies, Inc.) Method and system for regulating, disrupting and preventing access to the wireless medium
US20060068811A1 (en) * 2004-09-24 2006-03-30 Microsoft Corporation Collaboratively locating disconnected clients and rogue access points in a wireless network
US20070002762A1 (en) * 2005-06-29 2007-01-04 Fujitsu Limited Management policy evaluation system and recording medium storing management policy evaluation program
US20070058598A1 (en) * 2005-09-09 2007-03-15 Hon Hai Precision Industry Co., Ltd. Method and system for detecting rogue access points and device for identifying rogue access points
US7808958B1 (en) * 2006-09-28 2010-10-05 Symantec Corporation Rogue wireless access point detection
US20100333177A1 (en) * 2009-06-30 2010-12-30 Donley Daryl E System and method for identifying unauthorized endpoints
US20120023552A1 (en) * 2009-07-31 2012-01-26 Jeremy Brown Method for detection of a rogue wireless access point

Also Published As

Publication number Publication date
DE102013206353A1 (en) 2013-10-31

Similar Documents

Publication Publication Date Title
DE112013001446B4 (en) Detection of transparent units to intercept data transmissions in networks
DE112013000387B4 (en) Dynamic scanning of a web application using web traffic information
DE112013002674B4 (en) Advertise, discover and consume services through virtual access point interfaces
DE102014113582B4 (en) Apparatus, method and system for context-aware security control in a cloud environment
DE112012005216B4 (en) Physical mapping of wireless networks
DE112016004969T5 (en) GENERATE AND PUBLISH VALIDATED LOCATION INFORMATION
DE102013208923B4 (en) System for detecting the presence of a malicious domain name service provider by passive monitoring
DE112016001742T5 (en) Integrated community and role discovery in enterprise networks
DE202021103602U1 (en) Benchmark function for output nodes
DE202016008208U1 (en) Peer-assisted off-line delivery of notifications
DE112012003770B4 (en) Monitoring system, monitoring server, method and program for monitoring an unauthorized access point
DE112012004330T5 (en) Monitor and control multiple units
CN103200230A (en) Vulnerability scanning method based on movable agent
CN113424157A (en) Multi-dimensional periodic detection of IoT device behavior
DE112017007393T5 (en) SYSTEM AND METHOD FOR NETWORK DEVICE SAFETY AND TRUST VALUATION
DE202014010897U1 (en) Crowdsourcing system for detecting broken indoor WLAN location models
DE112017002832T5 (en) A client device and method for analyzing a predetermined group of parameters associated with radio coupling to a WLAN
DE102018115492A1 (en) Site evidence using near-field records and distributed ledger technology
DE112016001003T5 (en) EMULATION OF NAHFELDKOMMUNIKATIONS
DE102013201664B4 (en) Predictive caching in telecommunication towers using the passing of the identifier of high demand data items at a geographic level
DE102017111124A1 (en) Secure and intelligent login facility
DE102020112592A1 (en) Application behavioral fingerprints
DE112016004345T5 (en) TECHNOLOGIES FOR ANONYMOUS CONTEXT CONFIRMATION AND THREAT ANALYSIS
CN111131232A (en) Network access management method and device
DE102013206353B4 (en) IDENTIFY UNAUTHORIZED OR ERROR-CONFIGURED WIRELESS NETWORK ACCESS USING DISTRIBUTED END POINTS

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final