DE102013209914A1 - Filtering a data packet by means of a network filter device - Google Patents

Filtering a data packet by means of a network filter device Download PDF

Info

Publication number
DE102013209914A1
DE102013209914A1 DE102013209914.2A DE102013209914A DE102013209914A1 DE 102013209914 A1 DE102013209914 A1 DE 102013209914A1 DE 102013209914 A DE102013209914 A DE 102013209914A DE 102013209914 A1 DE102013209914 A1 DE 102013209914A1
Authority
DE
Germany
Prior art keywords
filter
network
configurable
rule
filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102013209914.2A
Other languages
German (de)
Inventor
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102013209914.2A priority Critical patent/DE102013209914A1/en
Priority to PCT/EP2014/059486 priority patent/WO2014191179A1/en
Publication of DE102013209914A1 publication Critical patent/DE102013209914A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Abstract

Die Erfindung betrifft ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk und eine Netzwerkfiltereinrichtung hierfür, wobei mindestens ein Bestandteil des mindestens einen Datenpaketes blockiert wird, falls eine Gefährdung einer funktionalen Sicherheit und/ oder einer Angriffssicherheit des zweiten Netzwerkes erkannt wird. Es ist ein erster konfigurierbarer Bereich und mindestens ein zweiter konfigurierbarer Bereich vorgesehen und der erste konfigurierbare Bereich wird separat von dem mindestens einen zweiten konfigurierbaren Bereich konfiguriert wird.The invention relates to a method for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network and a network filter device for this purpose, at least one component of the at least one data packet being blocked if there is a risk to functional safety and / or a Security against attack of the second network is recognized. A first configurable area and at least one second configurable area are provided and the first configurable area is configured separately from the at least one second configurable area.

Description

Die Erfindung betrifft ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk und eine Netzwerkfiltereinrichtung hierfür. The invention relates to a method for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network and a network filter device therefor.

Netzwerkfiltereinrichtungen, sogenannte Security Gateways oder Firewalls, werden an Netzwerkgrenzen installiert, um eine kontrollierte Kopplung zwischen mehreren unterschiedlich kritischen Netzwerkbereichen zu realisieren. Kritisch kann insbesondere bedeuten, dass eine Anzahl an Anforderungen an Datenverkehr innerhalb des Netzwerkbereichs besteht, welche erfüllt sein muss. Ein kritischer Netzwerkbereich im Vergleich zu einem weniger kritischen Netzwerkbereich weist dann mehr oder strengere Anforderungen auf. Network filtering devices, so-called security gateways or firewalls, are installed at network boundaries in order to realize a controlled coupling between several differently critical network areas. In particular, critical may mean that there are a number of requests for traffic within the network area that must be met. A critical network area compared to a less critical network area will then have more or more stringent requirements.

Es gibt Filtereinrichtungen, durch welche eine Filterung des Netzwerkverkehrs erfolgt, sodass nur zulässiger Netzwerkverkehr durchgelassen wird. Die Zulässigkeit wird durch die Filterregeln festgelegt. Es ist auch bekannt, ein Security Gateway als sogenannt Personal Firewall auf einem Gerät zu integrieren. There are filtering devices that filter network traffic so that only allowed network traffic is allowed through. Admissibility is determined by the filter rules. It is also known to integrate a security gateway as a so-called personal firewall on a device.

In industriellen Automatisierungssystemen, wie beispielsweise der Bahn-Automatisierung, Fertigungs-Automatisierung oder Prozess-Automatisierung, bestehen kritische Automatisierungsbereiche. Diese kritischen Automatisierungsbereiche weisen hohe Anforderungen an festlegbare Funktionen auf. Beispielsweise muss ein Prozessschritt mit einer hohen Zuverlässigkeit mit vorgegebenen Parametern durchgeführt werden. Damit soll die funktionale Sicherheit, auch Safety genannt, sichergestellt werden. In industrial automation systems, such as web automation, production automation or process automation, critical automation areas exist. These critical automation areas have high requirements for definable functions. For example, a process step with a high reliability must be performed with predetermined parameters. This is to ensure functional safety, also called safety.

Es ist bekannt, bei Safety-Komponenten die Gerätekonfiguration logisch zu versiegeln. Dabei kann zwischen einer regulären Konfiguration und einer Safety-Konfiguration unterschieden werden. Die beiden Konfigurationen sind über Passwörter administrierbar (s. hierzu "Sicherheitsgerichtetes Steuerrelais Safety, Handbuch", A. Dielmann und B. Papst, Januar 2013 ). It is known to logically seal the device configuration of safety components. A distinction can be made between a regular configuration and a safety configuration. The two configurations can be administered via passwords (see "Safety-Related Safety Relay Safety, Handbook", A. Dielmann and B. Papst, January 2013 ).

Ferner sind für Safety-Anwendungen Safety-Protokolle bekannt. Dabei werden Safety-Statusdaten übertragen. Mit Hilfe von Safety-Protokollen wird ermöglicht, eine Netzwerkinfrastruktur gemeinsam für Safety bezogene Kommunikation und allgemeine Kommunikation zu benutzen. Solche Safety-Protokolle sind jedoch nicht gegen absichtliche Angriffe oder Manipulationen geschützt. Daher sind sie nur in einer geschlossenen Netzwerkumgebung anwendbar. Furthermore, safety protocols are known for safety applications. Safety status data is transferred. With the aid of safety protocols, it is possible to jointly use a network infrastructure for safety-related communication and general communication. However, such safety protocols are not protected against intentional attacks or manipulation. Therefore, they are only applicable in a closed network environment.

Die Sicherheit von verfügbaren Firewalls hängt davon ab, dass Filterregeln korrekt konfiguriert sind. Filterregeln müssen dabei im Allgemeinen regelmäßig aktualisiert werden, um neue Bedrohungen oder eine geänderte Netzwerkkonfiguration zu berücksichtigen. Implementierungsfehler in einer Firewall müssen durch das Einspielen von sogenannten Patches korrigiert werden. The security of available firewalls depends on filtering rules being configured correctly. Filter rules generally need to be updated regularly to accommodate new threats or a changed network configuration. Implementation errors in a firewall must be corrected by installing so-called patches.

Aus dem Stand der Technik bekannte Firewalls berücksichtigen allerdings nicht die Anforderungen eines Safety-kritischen Netzwerkbereichs, für welche insbesondere eine Rückwirkungsfreiheit auf Safety-kritische Systeme und ein kontrolliertes, definiertes Fehlerverhalten zu berücksichtigen sind. However, firewalls known from the prior art do not take into account the requirements of a safety-critical network area, for which in particular a freedom from reaction to safety-critical systems and a controlled, defined fault behavior must be taken into account.

Es besteht der Trend, auch kritische Automatisierungsbereiche mit allgemeinen Netzen zu koppeln. Dabei kann beispielsweise die Kopplung mit einem Büronetz erfolgen. There is a trend to couple even critical automation areas with general networks. In this case, for example, the coupling can be done with an office network.

Es besteht daher ein Bedarf an einer Netzwerkfiltereinrichtung zur sicheren und zuverlässigen Kopplung von Netzwerkbereichen oder Netzwerken, welche die besonderen Anforderungen von Safety-relevanten Netzwerkbereichen berücksichtigen. There is therefore a need for a network filter device for secure and reliable coupling of network areas or networks which take into account the special requirements of safety-relevant network areas.

Die Aufgabe der vorliegenden Erfindung besteht daher darin, ein verbessertes Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung und eine Netzwerkfiltereinrichtung hierfür bereitzustellen. The object of the present invention is therefore to provide an improved method for filtering at least one data packet by means of a network filter device and a network filter device therefor.

Diese Aufgabe wird durch ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung und eine Netzwerkfiltereinrichtung hierfür gelöst. Vorteilhafte Ausführungsformen und Weiterbildungen sind in den Unteransprüchen angegeben. This object is achieved by a method for filtering at least one data packet by means of a network filter device and a network filter device for this purpose. Advantageous embodiments and further developments are specified in the subclaims.

Die im Folgenden genannten Vorteile müssen nicht notwendigerweise durch die Gegenstände der unabhängigen Patentansprüche erzielt werden. Es kann sich vielmehr auch um Vorteile handeln, welche lediglich durch einzelne Ausführungsformen oder Weiterbildungen erzielt werden. The advantages mentioned below need not necessarily be achieved by the subject-matter of the independent patent claims. Rather, it may also be advantages, which are achieved only by individual embodiments or developments.

Es wird ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk vorgeschlagen, wobei mindestens ein Bestandteil des mindestens einen Datenpaketes blockiert wird, falls in dem mindestens einen Bestandteil mindestens ein Merkmal erkannt wird, welches auf eine Gefährdung einer funktionalen Sicherheit und/oder einer Angriffssicherheit des zweiten Netzwerkes hindeutet, wobei die Netzwerkfiltereinrichtung einen ersten konfigurierbaren Bereich und mindestens einen zweiten konfigurierbaren Bereich aufweist und der erste konfigurierbare Bereich separat von dem mindestens einen zweiten konfigurierbaren Bereich mittels einer Konfiguration konfiguriert wird. A method is proposed for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network, wherein at least one component of the at least one data packet is blocked if at least one feature is detected in the at least one component indicates a threat to a functional security and / or an attack security of the second network, wherein the network filter device has a first configurable area and at least one second configurable area, and the first configurable area is separate from the at least one second configurable area is configured by means of a configuration.

Unter einer Gefährdung einer funktionalen Sicherheit wird in der vorliegenden Anmeldung ein Zustand verstanden, in welchem die funktionale Sicherheit des zweiten Netzwerkes nicht sichergestellt ist. Es kann sich dabei beispielsweise um die Möglichkeit der Umsetzung eines Prozessschrittes handeln, welcher die Bearbeitung eines Parameters beinhaltet, sodass eine Anforderung innerhalb des zweiten Netzwerkes nicht erfüllt wird. Eine solche Anforderung kann insbesondere gegeben sein, indem obere und untere Schwellenwerte eines Parameters nicht über- bzw. unterschritten werden dürfen. Der Begriff der funktionalen Sicherheit, im Folgenden auch Safety genannt, umfasst damit alle Aspekte, welche dazu beitragen, dass Funktionen innerhalb des zweiten Netzwerkes ordnungsgemäß durchgeführt werden. Anforderungen an Filtereigenschaften von Filtereinrichtungen zum Schutz eines Safety-relevanten Netzwerkes legen den Grad einer funktionalen Sicherheit fest. A threat to functional safety is understood in the present application to mean a state in which the functional security of the second network is not ensured. This may be, for example, the possibility of implementing a process step which involves the processing of a parameter so that a request within the second network is not fulfilled. Such a requirement can be given in particular by not exceeding or falling short of upper and lower threshold values of a parameter. The term functional safety, also referred to as safety in the following, thus encompasses all aspects that contribute to the proper performance of functions within the second network. Requirements for filter properties of filter devices to protect a safety-relevant network determine the degree of functional safety.

Der Begriff der Angriffssicherheit, im Folgenden auch Security genannt, umfasst dagegen Sicherheitsanforderungen, welche aufgrund einer Manipulation durch einen Angreifer möglicherweise nicht erfüllt werden. Eine Gefährdung einer Angriffssicherheit liegt dementsprechend vor, wenn nicht sichergestellt werden kann, dass festlegbare Anforderungen erfüllt werden. Die Anforderungen definieren dabei den Umfang und den Grad der Angriffssicherheit. Sind also beispielsweise aufgrund einer fehlerhaften Implementierung einer Netzwerkfiltereinrichtung für einen Angreifer Möglichkeiten einer Manipulation vorhanden, so besteht eine Gefährdung der Angriffssicherheit. Es sollen durch das Sicherstellen der Angriffssicherheit insbesondere Vertraulichkeit, Verfügbarkeit und Integrität sichergestellt werden. On the other hand, the term attack security, also referred to as security in the following, includes security requirements that may not be met due to manipulation by an attacker. Accordingly, there is a risk of attack security if it can not be ensured that definable requirements are met. The requirements define the scope and degree of attack security. If, for example, due to a faulty implementation of a network filter device for an attacker, there are possibilities of manipulation, there is a threat to attack security. In particular, confidentiality, availability and integrity should be ensured by ensuring security against attack.

In der Regel wird ein Datenpaket als Ganzes blockiert oder weitergeleitet, wenn aufgrund eines Bestandteiles oder eines Merkmales des Bestandteiles eine Gefährdung erkannt wird. As a rule, a data packet as a whole is blocked or forwarded if a threat is recognized due to a component or a feature of the component.

Gemäß einer vorteilhaften Ausführungsform wird mindestens der erste konfigurierbare Bereich durch eine erste Filtervorschrift gebildet, wobei die erste Filtervorschrift die funktionale Sicherheit sicherstellt und wobei der erste konfigurierbare Bereich zum Verändern der ersten Filtervorschrift geschützt konfiguriert wird. According to an advantageous embodiment, at least the first configurable range is formed by a first filter rule, wherein the first filter rule ensures the functional safety and wherein the first configurable range is configured to be protected for changing the first filter rule.

Die erste Filtervorschrift legt damit die Anforderungen fest, welche an einen Datenverkehr oder an ein Datenpaket, welche von dem ersten Netzwerk in das zweite Netzwerk übertragen werden sollen, gestellt werden. Dabei wird die erste Filtervorschrift derart ausgestaltet, dass sie die funktionale Sicherheit, auch Safety genannt, sicherstellt. Dies kann insbesondere bedeuten, dass aus dem ersten Netzwerk nicht in das zweite Netzwerk übertragen wird, falls das Datenpaket Bestandteile aufweist, beispielsweise innerhalb einer Adresszeile, die auf eine Beeinflussung einer Safety-relevanten Kommunikation hindeuten. Eine Angabe einer IP-Adresse, Ethernet-Adresse oder Protokoll-Nummer kann ein solcher Bestandteil sein. The first filter rule thus specifies the requirements which are imposed on a data traffic or a data packet which is to be transmitted from the first network to the second network. The first filter specification is designed in such a way that it ensures functional safety, also called safety. This may mean, in particular, that transmission from the first network is not transmitted to the second network if the data packet has components, for example within an address line, which indicate an influence on safety-relevant communication. An indication of an IP address, Ethernet address or protocol number may be such an ingredient.

Dass der erste konfigurierbare Bereich geschützt konfiguriert wird, kann insbesondere bedeuten, dass er separat konfiguriert wird. Dies kann insbesondere bedeuten, dass der erste konfigurierbare Bereich nicht gemeinsam mit dem zweiten konfigurierbaren Bereich konfiguriert werden kann. In particular, the fact that the first configurable area is configured to be secure may mean that it is configured separately. This may mean in particular that the first configurable area can not be configured together with the second configurable area.

Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift verändert und eine veränderte erste Filtervorschrift erzeugt, falls ein mit einer Konfigurationsänderung eingebbarer Prüfwert mit einem hinterlegten Prüfwert übereinstimmt. According to an advantageous embodiment, the first filter specification is changed and a modified first filter specification is generated if a test value that can be entered with a configuration change matches a stored test value.

Für ein Konfigurieren zu Zwecken einer Konfigurationsänderung, d.h. zur Anpassung der ersten Filtervorschrift, ist es nötig, den eingebbaren Prüfwert zu Zwecken der Authentisierung einzugeben. Dabei kann es sich beispielsweise um ein einem Nutzer zugeordnetes Passwort handeln, beispielsweise ein Passwort, welches einem Personenkreis bekannt ist, welcher zur Konfigurationsänderung berechtigt ist. For configuration for purposes of configuration change, i. to adapt the first filter specification, it is necessary to enter the input test value for purposes of authentication. This may be, for example, a password assigned to a user, for example a password which is known to a group of persons who is authorized to change the configuration.

Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift bis auf Anforderungen an vorgebbare Eigenschaften verändert. According to an advantageous embodiment, the first filter specification is changed to requirements for specifiable properties.

Somit wird ein eingeschränkt veränderbarer Bereich innerhalb des ersten konfigurierbaren Bereiches gebildet, sodass beispielsweise essentielle Eigenschaften des Datenpaketes oder essentielle Anforderungen an das Datenpaket immer erfüllt werden müssen. Dies geschieht dann einerseits unabhängig von dem zweiten konfigurierbaren Bereich sowie außerdem unabhängig von einem nicht konfigurierbaren Bereich des ersten konfigurierbaren Bereiches. Dadurch kann insbesondere eine Beeinflussung von Echtzeit-Kommunikation verhindert werden, beispielsweise indem während eines für Echtzeit-Kommunikation reservierten Zeitslots oder innerhalb eines für Echtzeit-Kommunikation reservierten virtuellen lokalen Netzwerkes, auch virtual local area network (VLAN) genannt, keine weitere Kommunikation möglich ist. Auch das Verhindern einer Überlast kann so stets gewährleistet werden. Ferner kann eine Safety-bezogene Kommunikation stets blockiert werden und somit eine Rückwirkungsfreiheit auf Safety-Kommunikation garantiert werden. Ferner kann auch eine Kommunikation über ungeschützte entfernte Zugänge, sogenannte Remote-Zugänge wie Telnet oder einfaches Netzwerkverwaltungsprotokoll, englisch Simple Network Management Protocol, kurz SNMP, stets blockiert werden. Thus, a restricted range is formed within the first configurable range, so that, for example, essential characteristics of the data packet or essential requirements for the data packet must always be met. This happens on the one hand independently of the second configurable range and also independently of a non-configurable range of the first configurable range. In this way, in particular an influence on real-time communication can be prevented, for example by no further communication being possible during a time slot reserved for real-time communication or within a virtual local area network reserved for real-time communication, also called virtual local area network (VLAN). Also, the prevention of overload can always be guaranteed. Furthermore, a safety-related communication can always be blocked, thus guaranteeing no feedback on safety communication. Furthermore, communication via unprotected remote access, so-called remote access such as Telnet or simple network management protocol, English Simple Network Management Protocol, short SNMP, always blocked.

Gemäß einer Weiterbildung wird die erste Filtervorschrift versiegelt. According to a development, the first filter specification is sealed.

Unter einer Versiegelung versteht man einen speziellen Schutzmechanismus zum Aktivieren einer Konfiguration. Zum Versiegeln von Dateien kann beispielsweise das Eingeben einer Prüfsumme erforderlich sein, wie beispielsweise ein MD5-Hash-Wert, eine CRC-Prüfsumme, ein SHA1-/SHA256-Hashwert. Eine Versiegelung kann nicht rückgängig gemacht werden. So kann gewährleistet werden, dass eine versiegelte Konfiguration nicht geändert werden kann. A seal is a special protection mechanism for activating a configuration. For example, to seal files, it may be necessary to enter a checksum, such as an MD5 hash, a CRC checksum, a SHA1 / SHA256 hash. A seal can not be undone. This ensures that a sealed configuration can not be changed.

Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift mittels der Konfiguration durch eine aktualisierte Filtervorschrift ersetzt. According to an advantageous embodiment, the first filter specification is replaced by the configuration by an updated filter specification.

Im Fall einer Versiegelung kann eine Safety-bezogene Filtervorschrift, auch Safety Policy genannt, nur gelöscht und vollständig neu eingerichtet werden. Dies erhöht insbesondere die Sicherstellung einer fehlerhaften Konfiguration der ersten Filtervorschrift. In einer Variante wird beim Löschen der versiegelten Safety-bezogenen Filtervorschrift automatisch eine sperrende Filtervorschrift aktiviert, die durch Einrichten und erneute Versiegelung einer Filtervorschrift aufhebbar ist. In the case of a seal, a safety-related filter specification, also called a safety policy, can only be deleted and set up completely new. This particularly increases the assurance of a faulty configuration of the first filter rule. In one variant, when the sealed safety-related filter instruction is deleted, a blocking filter instruction is automatically activated, which can be canceled by setting up and resealing a filter instruction.

Gemäß einer weiteren vorteilhaften Ausführungsform wird die erste Filtervorschrift mittels der Konfiguration durch einen Nutzer durch die aktualisierte Filtervorschrift ersetzt, falls eine Nutzer-Authentifizierung durch die Netzwerkfiltereinrichtung erfolgreich war. According to a further advantageous embodiment, the first filter rule is replaced by the configuration by a user by the updated filtering rule, if a user authentication by the network filtering device was successful.

Die Nutzer-Authentifizierung kann über gängige Verfahren realisiert werden, wie beispielsweise eine nutzerspezifische Passworteingabe. Es ist dabei denkbar, dass zusätzlich ein Zurücksetzen der Netzwerkfiltereinrichtung nötig ist. The user authentication can be realized by common methods, such as a user-specific password input. It is conceivable that additionally a reset of the network filter device is necessary.

Gemäß einer vorteilhaften Ausführungsform wird die aktualisierte Filtervorschrift nach einem Durchführen einer Betriebsfreigabe durchgesetzt. According to an advantageous embodiment, the updated filter specification is enforced after performing an operation release.

Der Begriff des Durchsetzens beschreibt dabei den Betriebszustand der Netzwerkfiltereinrichtung, in welchem diese aktiv ist und Filtervorschriften entsprechend der Konfiguration umsetzt. Dadurch kann es ermöglicht werden, dass ohne erfolgte Betriebsfreigabe eine interne Schnittstelle deaktiviert ist, sodass keine Rückwirkung auf das zweite Netzwerk oder Safety-Netzwerk möglich ist. Somit wird ein Zeitraum einer Wartung abgesichert. The concept of enforcement describes the operating state of the network filter device in which it is active and converts filter specifications according to the configuration. This makes it possible for an internal interface to be deactivated without the operation being enabled, so that no reaction to the second network or safety network is possible. This ensures a period of maintenance.

Gemäß einer Ausführungsform wird der mindestens eine zweite konfigurierbare Bereich durch eine zweite Filtervorschrift gebildet und durch die Netzwerkfiltereinrichtung eine gemeinsame Filtervorschrift aus der ersten Filtervorschrift und der zweiten Filtervorschrift berechnet. According to one embodiment, the at least one second configurable region is formed by a second filter specification and the network filter device calculates a common filter rule from the first filter rule and the second filter rule.

Somit kann eine flexibler gestaltete zweite Filtervorschrift durch die Netzwerkfiltereinrichtung berücksichtigt werden, welche insbesondere Aspekte der Angriffssicherheit berücksichtigt. Thus, a more flexibly designed second filter rule can be taken into account by the network filter device, which takes particular account of aspects of attack security.

Dadurch, dass der erste konfigurierbare Bereich separat von dem mindestens einen zweiten konfigurierbaren Bereich konfiguriert wird, kann der zweite konfigurierbare Bereich durch Aktualisierungen der Filtervorschriften beliebig aktualisiert werden. An die Netzwerkfiltereinrichtung gestellte Anforderungen im Hinblick auf die Angriffssicherheit können somit erfüllt werden, da auf aktuelle Bedrohungen, insbesondere der Netzwerke, zeitnah reagiert werden kann. Gleichzeitig wird jedoch gewährleistet, dass die aus Safety-Sicht erforderlichen Randbedingungen nicht beeinträchtigt werden, da diese Randbedingungen nicht gemeinsam mit einer Security-Konfigurationsänderung veränderbar sind. Eine für ein System erhaltene Safety-Zulassung bleibt dafür insbesondere erhalten. By configuring the first configurable area separately from the at least one second configurable area, the second configurable area can be arbitrarily updated by updating the filter rules. Demands placed on the network filter device with regard to attack security can thus be met, as it is possible to react promptly to current threats, in particular the networks. At the same time, however, it is ensured that the boundary conditions required from the safety point of view are not impaired, since these boundary conditions can not be changed together with a security configuration change. A safety approval received for a system is retained in particular for this purpose.

Gefährdungen für die funktionale Sicherheit können auch dadurch entstehen, dass berechtigtes Personal Netzwerkfilterregeln aktualisieren möchte, beispielsweise aufgrund von aktuellen IT-Security-Bedrohungen. Es besteht insbesondere die Gefahr, dass im Rahmen einer Störungssuche vorrübergehend sogenannte Bypass-Regeln konfiguriert werden oder eine Netzwerkfiltereinrichtung durch Umstecken von Netzverbindungen überbrückt wird, wodurch nicht länger sichergestellt ist, dass eine Safety-bezogene Policy durchgesetzt wird. Functional security threats may also be caused by authorized personnel updating network filter rules, for example, due to current IT security threats. In particular, there is the danger that as part of a troubleshooting so-called bypass rules are temporarily configured or a network filter device is bridged by plugging network connections, which is no longer ensured that a safety-related policy is enforced.

Die zweite Filtervorschrift kann dabei relativ frei wie bei einer herkömmlichen Netzwerkfiltereinrichtung aktualisierbar sein, insbesondere nach einer gewöhnlichen Nutzer-Authentisierung. Dabei kann insbesondere ein Secure Shell-Zugang oder ssh-Zugang oder ein HTTPS-Web-Konfigurationsserver verwendet werden. The second filter specification can be updateable relatively freely as in a conventional network filter device, in particular after a common user authentication. In particular, a secure shell access or ssh access or an HTTPS web configuration server can be used.

Gemäß einer Ausführungsform wird die gemeinsame Filtervorschrift durch eine gemeinsame Filtermaschine durchgesetzt. According to one embodiment, the common filter specification is enforced by a common filter machine.

Ein sogenannter Policy Combiner, der die gemeinsame Filtervorschrift berechnet, kann dabei Bestandteil der gemeinsamen Filtermaschine sein. Netzwerkverkehr kann dabei die Netzwerkfiltereinrichtung nur passieren, soweit er beide durch die erste Filtervorschrift und durch die zweite Filtervorschrift vorgegebenen Anforderungen erfüllt. A so-called policy combiner, which calculates the common filter rule, can be part of the common filter machine. Network traffic can pass through the network filter device only insofar as it satisfies both requirements imposed by the first filter specification and by the second filter specification.

Gemäß einer Ausführungsform wird ferner die erste Filtervorschrift durch eine erste Filtermaschine durchgesetzt. According to one embodiment, furthermore, the first filter specification is enforced by a first filter machine.

Dadurch wird erreicht, dass die erste Filtervorschrift doppelt durchgesetzt wird. Zum einen wird sie für die Berechnung der gemeinsamen Filtervorschrift verwendet und durch die gemeinsame Filtervorschrift umgesetzt, zum anderen wird das zu prüfende Datenpaket nochmals separat auf das Erfüllen der Anforderungen durch die erste Filtervorschrift geprüft. Dies erhöht den Schutz des zweiten Netzwerkes nochmals. This ensures that the first filter rule is enforced twice. On the one hand, it is used for the calculation of the common filter specification and implemented by the common filter rule; on the other hand, the data packet to be checked is again checked separately for the fulfillment of the requirements by the first filter rule. This increases the protection of the second network again.

Gemäß einer weiteren Ausführungsform wird die erste Filtervorschrift durch eine erste Filtermaschine durchgesetzt und die zweite Filtervorschrift durch eine zweite Filtermaschine. According to a further embodiment, the first filter specification is enforced by a first filter machine and the second filter specification by a second filter machine.

Die separaten Konfigurationsmöglichkeiten sind dabei klar vorgegeben. Die jeweils nötigen Administrationszugänge zum Einrichten der Konfiguration können so auf die Anforderungen aus Sicht der funktionalen Sicherheit oder der Angriffssicherheit jeweils ausgelegt werden. The separate configuration options are clearly defined. The respective administration access required for setting up the configuration can thus be tailored to the requirements from the point of view of functional security or attack security.

Gemäß einer Ausführungsform wird der mindestens eine zweite konfigurierbare Bereich durch eine zweite Filtervorschrift gebildet, wobei durch die zweite Filtervorschrift die Angriffssicherheit sichergestellt ist und wobei der mindestens eine zweite konfigurierbare Bereich geschützt konfiguriert wird. According to one embodiment, the at least one second configurable range is formed by a second filter specification, the second filter rule ensuring the security against attack and the at least one second configurable range being configured in a protected manner.

Die auf die funktionale Sicherheit abzielenden Filtervorschriften können dabei vollständig aus der zweiten Filtervorschrift herausgehalten werden. Auch das Festlegen der zweiten Filtervorschrift kann geschützt erfolgen, indem beispielsweise vor Verändern der zweiten Filtervorschrift eine Nutzer-Authentifizierung durch die Netzwerkfiltereinrichtung erfolgreich durchgeführt worden sein muss. The functional safety-oriented filter regulations can be kept completely out of the second filter specification. Also, the setting of the second filter rule can be done protected by, for example, before changing the second filter rule a user authentication must be performed successfully by the network filtering device.

Gemäß einer Ausführungsform wird die zweite Filtervorschrift verändert und eine zweite veränderte Filtervorschrift erzeugt, falls ein mit einer zweiten Konfigurationsänderung eingebbarer zweiter Prüfwert mit einem zweiten hinterlegten Prüfwert übereinstimmt. According to one embodiment, the second filter rule is changed and a second modified filter rule is generated if a second check value, which can be input with a second configuration change, matches a second stored check value.

Dabei muss die zweite Filtervorschrift, welche die Angriffssicherheit des zweiten Netzwerkes gewährleisten soll, nicht vollständig neu hinterlegt werden, sondern kann angepasst werden. Dies ist insbesondere im Hinblick auf die vielen notwendigen Aktualisierungen oder Updates einer auf Sicherstellung der Angriffssicherheit ausgelegten Firewall vorteilhaft. In this case, the second filter rule, which is to ensure the security of attack of the second network, not completely new deposited, but can be adjusted. This is particularly advantageous in view of the many necessary updates or updates of a designed to ensure the security of attack firewall.

Gemäß einer weiteren Ausführungsform wird die Kopplungsstelle aktiviert, falls der erste konfigurierbare Bereich konfiguriert worden ist. According to a further embodiment, the coupling site is activated if the first configurable area has been configured.

Das Übermitteln von Datenverkehr ist somit ausgeschlossen, falls eine Konfiguration der Netzwerkfiltereinrichtung nicht vorhanden ist. Insbesondere bei Wartungsarbeiten oder Aktualisierungsarbeiten an der zweiten Filtervorschrift wird somit sichergestellt, dass kein unzulässiger Datenverkehr in das zweite Netzwerk übermittelt werden kann, da die Kopplungsstelle dann inaktiv ist. Das Vorhandensein einer gültigen Security-Konfiguration würde demnach nicht ausreichen, um Datenpakete passieren zu lassen, da die Filtervorschrift, welche Safety-Aspekte prüft, zusätzlich in jedem Fall konfiguriert sein muss. The transmission of data traffic is thus excluded if a configuration of the network filter device does not exist. In particular, during maintenance or updating of the second filter rule is thus ensured that no inadmissible data traffic can be transmitted to the second network, since the interface is then inactive. The existence of a valid security configuration would therefore not be sufficient to allow data packets to pass, since the filter rule, which checks safety aspects, must additionally be configured in each case.

Die Erfindung betrifft ferner eine Netzwerkfiltereinrichtung zum Filtern mindestens eines Datenpaketes an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk, wobei ein Bestandteil des mindestens einen Datenpaketes blockierbar ist, falls der Bestandteil mindestens ein Merkmal aufweist, welches auf eine Gefährdung einer funktionalen Sicherheit und/oder einer Angriffssicherheit des zweiten Netzwerkes hindeutet, umfassend einen ersten konfigurierbaren Bereich und mindestens einen zweiten konfigurierbaren Bereich, wobei der erste konfigurierbare separat von dem mindestens einen zweiten konfigurierbaren Bereichs mittels einer Konfiguration konfigurierbar ist. The invention further relates to a network filter device for filtering at least one data packet at a coupling point between a first network and a second network, wherein a component of the at least one data packet is blockable if the component has at least one feature which is based on a threat to functional safety and / or or an attack security of the second network, comprising a first configurable area and at least a second configurable area, wherein the first configurable is configurable separately from the at least one second configurable area by means of a configuration.

Gemäß einer Weiterbildung umfasst die Netzwerkfiltereinrichtung ferner mindestens eine weitere Einheit, geeignet zur Verwendung gemäß einem der oben beschriebenen Ausführungsformen oder Weiterbildungen. According to a further development, the network filter device further comprises at least one further unit, suitable for use according to one of the embodiments or developments described above.

Gemäß einer Ausführungsform umfasst die Netzwerkfiltereinrichtung ferner eine Sensoreinheit zur Temperüberwachung zur Erkennung einer physikalischen Modifikation der Netzwerkfiltereinrichtung. According to one embodiment, the network filter device further comprises a temperature monitoring sensor unit for detecting a physical modification of the network filter device.

Die Erfindung wird nachfolgend mit Ausführungsbeispielen anhand der Figuren näher erläutert. Es zeigen: The invention will be explained in more detail below with exemplary embodiments with reference to the figures. Show it:

1 eine schematische Darstellung von Netzwerken mit einer Netzwerkfiltereinrichtung gemäß einem ersten Ausführungsbeispiel der Erfindung; 1 a schematic representation of networks with a network filter device according to a first embodiment of the invention;

2 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem zweiten Ausführungsbeispiel der Erfindung; 2 a schematic representation of a network filter device according to a second embodiment of the invention;

3 eine schematische Darstellung eines ersten konfigurierbaren Bereiches gemäß einem dritten Ausführungsbeispiel der Erfindung; 3 a schematic representation of a first configurable area according to a third embodiment of the invention;

4 eine schematische Darstellung eines Teils einer Netzwerkfiltereinrichtung gemäß einem vierten Ausführungsbeispiel der Erfindung; 4 a schematic representation of a portion of a network filter device according to a fourth embodiment of the invention;

5 eine schematische Darstellung des zweiten konfigurierbaren Bereiches; 5 a schematic representation of the second configurable area;

6 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem sechsten Ausführungsbeispiel der Erfindung; 6 a schematic representation of a network filter device according to a sixth embodiment of the invention;

7 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem siebten Ausführungsbeispiel der Erfindung; 7 a schematic representation of a network filter device according to a seventh embodiment of the invention;

8 eine schematische Darstellung einer Netzwerkfiltereinrichtung gemäß einem achten Ausführungsbeispiel der Erfindung. 8th a schematic representation of a network filter device according to an eighth embodiment of the invention.

In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist. In the figures, functionally identical elements are provided with the same reference numerals, unless stated otherwise.

1 zeigt eine Netzwerkfiltereinrichtung 1 an einer Kopplungsstelle zwischen einem ersten Netzwerk 100 und einem zweiten Netzwerk 200. Von dem ersten Netzwerk 100 soll ein Datenpaket 300 an das zweite Netzwerk 200 übermittelt werden. Bei dem ersten Netzwerk 100 handelt es sich beispielsweise um ein Büronetzwerk. Bei dem zweiten Netzwerk 200 handelt es sich insbesondere um ein Safety-Netzwerk. Dabei beschreibt der Begriff Safety-Netzwerk eine Umgebung, in welcher hohe Anforderungen an die Sicherstellung von festgelegten Funktionalitäten gestellt werden. Insbesondere kann es sich um ein Bahn-Automatisierungsnetzwerk, ein Fahrzeug-Steuerungsnetzwerk, ein Energie-Automatisierungsnetzwerk, ein Fertigungs-Automatisierungsnetzwerk oder ein Prozess-Automatisierungsnetzwerk handeln. 1 shows a network filter device 1 at a coupling point between a first network 100 and a second network 200 , From the first network 100 should be a data packet 300 to the second network 200 be transmitted. At the first network 100 For example, it is an office network. At the second network 200 in particular, it is a safety network. The term "safety network" describes an environment in which high demands are placed on ensuring defined functionalities. In particular, it may be a rail automation network, a vehicle control network, an energy automation network, a manufacturing automation network or a process automation network.

In diese Safety-Netzwerke übermittelte Nachrichten oder Datenpakete sind darauf zu prüfen, dass sie keine unzulässigen Bestandteile enthalten. Beispielsweise soll eine Fahrplanaktualisierung vom ersten Netzwerk 100 an das zweite Netzwerk 200 oder Bahn-Automatisierungsnetzwerk gesendet werden. Ein unzulässiger Bestandteil liegt insbesondere vor, wenn innerhalb einer Kommunikation eine Nachricht übermittelt wird, welche dazu führt, dass Anweisungen umgesetzt werden, welche eine Fehlfunktion beispielsweise der Automatisierungsanlage zur Folge haben oder in ähnlicher Weise Schaden anrichten. Innerhalb eines Safety-Netzwerkes ist also sicherzustellen, dass eine funktionale Sicherheit SF nicht gefährdet ist. Eine Funktion oder ein Parameter einer Funktion sollen dafür beispielsweise nicht aufgrund einer Kommunikation beeinflussbar sein, welche nicht aus dem zweiten Netzwerk 200 stammt, sondern beispielsweise aus dem ersten Netzwerk 100. Dafür werden Merkmale des Datenpaketes 300 analysiert. Insbesondere wird ein Datenpaket nicht aus dem ersten Netzwerk 100 in das zweite Netzwerk 200 übertragen, falls das Datenpaket Bestandteile innerhalb einer Adresszeile aufweist, die auf eine Beeinflussung einer Safety-relevanten Kommunikation hindeuten. Eine Angabe einer IP-Adresse, Ethernet-Adresse oder Protokoll-Nummer, die Kommunikationspartner innerhalb des zweiten Netzwerkes 200, wie beispielsweise zwei Steuerungsgeräte G1, G2 des Bahn-Automatisierungsnetzwerkes, identifiziert, kann ein solcher Bestandteil sein. Messages or data packets transmitted in these safety networks must be checked to ensure that they do not contain any inadmissible components. For example, a schedule update from the first network 100 to the second network 200 or rail automation network. An impermissible component is present in particular when a message is transmitted within a communication, which leads to instructions being implemented which result in a malfunction of the automation system, for example, or cause damage in a similar manner. Within a safety network, it must therefore be ensured that a functional safety SF is not endangered. For example, a function or a parameter of a function should not be able to be influenced on the basis of a communication which does not come from the second network 200 but, for example, from the first network 100 , This will be features of the data package 300 analyzed. In particular, a data packet is not from the first network 100 into the second network 200 if the data packet contains components within an address line that indicate an influence on safety-relevant communication. An indication of an IP address, Ethernet address or protocol number, the communication partner within the second network 200 , such as two control devices G1, G2 of the rail automation network identified, may be such a component.

Gleichzeitig soll bei einer bestehenden Verbindung zwischen dem zweiten Netzwerk 200 mit dem ersten Netzwerk 100 auch eine Angriffssicherheit SC nicht gefährdet sein. Eine Gefährdung der Angriffssicherheit SC liegt vor, wenn beispielsweise ein Angreifer absichtlich versucht, eine Kommunikation abzuhören oder allgemeiner absichtlich versucht, ein Datenpaket 300 zu manipulieren. Der Schutz vor Bedrohungen vor Angreifer, also der Schutz der Angriffssicherheit SC ist dabei regelmäßig anzupassen, um Geräte G1, G2 innerhalb des zweiten Netzwerkes 200 vor Manipulationen zu schützen. At the same time, an existing connection between the second network 200 with the first network 100 also a security against attack SC should not be endangered. Threat to attack security SC occurs when, for example, an attacker intentionally attempts to intercept communications or, more generally, intentionally attempts to package a data 300 to manipulate. The protection against threats against attackers, ie the protection of attack security SC is to be regularly adapted to devices G1, G2 within the second network 200 to protect against manipulation.

Das Datenpaket 300 wird mittels einer gemeinsamen Filtermaschine M12 geprüft. Die gemeinsame Filtermaschine M12 setzt dabei eine gemeinsame Filtervorschrift F12 durch. Die gemeinsame Filtervorschrift F12 wird aus einer ersten Filtervorschrift F1, welche die funktionale Sicherheit SF sicherstellt, und einer zweiten Filtervorschrift F2, welche die Angriffssicherheit SC sicherstellt, berechnet. Die erste Filtervorschrift F1 sowie die zweite Filtervorschrift F2 werden jeweils über separate Administrationszugänge konfiguriert. Dafür ist ein erster konfigurierbarer Bereich 10 und separat von dem ersten konfigurierbaren Bereich 10 mindestens ein zweiter konfigurierbarer Bereich 20 vorgesehen. Der zweite konfigurierbare Bereich 20 ist unabhängig von dem ersten konfigurierbaren Bereich 10 zugänglich, um regelmäßig notwendige Aktualisierungen der zweiten Filtervorschrift F2 zu ermöglichen. Beispielsweise ist eine Security-Policy zur Festlegung der zweiten Filtervorschrift F2 über einen wechselbaren Konfigurationsspeicher wie beispielsweise eine SD-Karte oder eine USB-Karte konfigurierbar. Gleichzeitig ist sichergestellt, dass die erste Filtervorschrift F1 nicht über diesen Weg veränderbar ist. The data package 300 is checked by means of a common filter machine M12. The common filter machine M12 implements a common filter specification F12. The common filter instruction F12 is calculated from a first filter instruction F1, which ensures the functional safety SF, and a second filter instruction F2, which ensures the safety against attack SC. The first filter instruction F1 and the second filter instruction F2 are each configured via separate administration access. This is a first configurable area 10 and separate from the first configurable area 10 at least one second configurable area 20 intended. The second configurable area 20 is independent of the first configurable area 10 accessible to regularly allow necessary updates of the second filter rule F2. For example, a security policy for setting the second filter rule F2 via a removable configuration memory such as an SD card or a USB card is configurable. At the same time, it is ensured that the first filter specification F1 can not be changed via this path.

2 zeigt, wie die erste Filtervorschrift F1 und die zweite Filtervorschrift F2 jeweils über eine eigene Filtermaschine, nämlich eine erste Filtermaschine M1 und eine zweite Filtermaschine M2 durchgesetzt werden. Das Datenpaket 300 durchläuft also beispielsweise zunächst die erste Filtermaschine M1 und wird dabei auf Security-Aspekte hin überprüft. Anschließend erfolgt die Überprüfung des Datenpaketes 300 auf Safety-Aspekte hin. Besteht das Datenpaket 300 beide Prüfungen, so wird der Datenverkehr an das zweite Netzwerk 200 weitergeleitet. Dabei ergibt sich also eine effektive Filterpolicy als UND-Verknüpfung aus den zwei separat konfigurierbaren Filterpolicy-Einstellungen. 2 shows how the first filter specification F1 and the second filter specification F2 are each enforced via a separate filter machine, namely a first filter machine M1 and a second filter machine M2. The data package 300 So, for example, first goes through the first filter machine M1 and is checked for security aspects. Subsequently, the verification of the data packet takes place 300 on safety aspects. Does that exist? data packet 300 both checks, so will the traffic to the second network 200 forwarded. This results in an effective filter policy as an AND operation from the two separately configurable filter policy settings.

In 3 ist veranschaulicht, wie innerhalb des ersten konfigurierbaren Bereiches 10 eine erste Filtervorschrift F1 restriktiv verändert werden kann. Mittels einer Konfiguration K wird die erste Filtervorschrift F1 verändert und es wird eine veränderte erste Filtervorschrift F1‘ erzeugt. Dazu ist es nötig, dass ein eingebbarer Prüfwert P durch einen Nutzer, welcher die Konfigurationsänderung vornehmen möchte, eingegeben wird. In dem ersten konfigurierbaren Bereich 10 ist ein hinterlegter Prüfwert RP hinterlegt, mit Hilfe dessen ein Nutzer authentifiziert werden kann. Somit wird abgesichert, dass eine Konfigurationsänderung nicht durch einen beliebigen Nutzer vorgenommen werden kann. In 3 is illustrated as within the first configurable area 10 a first filter rule F1 can be restrictively changed. By means of a configuration K, the first filter instruction F1 is changed and an altered first filter instruction F1 'is generated. For this purpose, it is necessary that an input test value P by a user who wants to make the configuration change, is entered. In the first configurable area 10 a stored check value RP is stored with the help of which a user can be authenticated. This ensures that a configuration change can not be made by any user.

In 4 ist dargestellt, wie mittels einer Konfiguration K aus der ersten Filtervorschrift F1 eine aktualisierte Filtervorschrift FA erzeugt wird. Die aktualisierte Filtervorschrift FA ersetzt damit die erste Filtervorschrift F1 vollständig. Insbesondere mithilfe einer Versiegelung kann damit eine erste Filtervorschrift F1 nicht verändert werden. Insbesondere ist dies vorteilhaft, um Fehlkonfigurationen zu minimieren. Um Filtereigenschaften an veränderte Safety-Anforderungen anzupassen, ist es somit nötig, eine vollständig neue Policy zu hinterlegen. Es ist insbesondere vorteilhaft, eine solche Konfigurationsänderung mit einer zu erfolgenden Betriebsfreigabe zu kombinieren. Das Durchführen einer Betriebsfreigabe BF kann dabei beinhalten, dass ein lokaler Taster oder ein lokaler Schlüsselschalter oder ein ähnliches lokales Bedienelement der Netzwerkfiltereinrichtung betätigt werden muss. Insbesondere wird erst nach erfolgter Betriebsfreigabe BF die Kopplungsstelle zwischen erstem Netzwerk 100 und zweitem Netzwerk 200 aktiviert. Ohne erfolgte Betriebsfreigabe BF ist es nicht möglich, eine interne Schnittstelle der Netzwerkfiltereinrichtung auf einer Kopplungsseite hin zu dem zweiten Netzwerk 200 zu aktivieren, sodass keine Rückwirkung auf das Safety-relevante Netzwerk, also das zweite Netzwerk 200, möglich ist. Eine erste Filtervorschrift F1, welche versiegelt wurde, kann insbesondere nur noch gelöscht und neu konfiguriert werden. Auch hier ist ein Konfigurationszugriff vorteilhafterweise mit einer Nutzer-Authentisierung abzusichern. Es kann beispielsweise die Konfiguration K erfordern, dass zusätzlich zu Konfigurationsdaten ein Passwort zur Nutzeridentifikation oder eine Prüfsumme zur Sicherstellung einer Datenintegrität einzugeben ist, welche vor unzulässiger oder fehlerhafter Konfiguration schützt. In 4 It is shown how an updated filter rule FA is generated by means of a configuration K from the first filter specification F1. The updated filter rule FA completely replaces the first filter specification F1. In particular, with the aid of a seal, a first filter specification F1 can not be changed. In particular, this is advantageous to minimize misconfiguration. In order to adapt filter properties to changed safety requirements, it is therefore necessary to define a completely new policy. It is particularly advantageous to combine such a configuration change with an operating release to be carried out. Performing an operation release BF may involve actuating a local or local key switch or a similar local operating element of the network filter device. In particular, only after the operational release BF the coupling point between the first network 100 and second network 200 activated. Without the operational release BF, it is not possible to have an internal interface of the network filter device on a coupling side to the second network 200 so that there is no effect on the safety-relevant network, ie the second network 200 , is possible. In particular, a first filter instruction F1, which has been sealed, can only be deleted and reconfigured. Again, a configuration access is advantageously secured with a user authentication. For example, the configuration K may require that in addition to configuration data, a password for user identification or a checksum to ensure data integrity be provided, which protects against improper or erroneous configuration.

5 zeigt schematisch, wie auch die zweite Filtervorschrift F2 mittels einer über Nutzer-Authentisierung geschützten Konfiguration K verändert wird und eine zweite veränderte Filtervorschrift F2‘ erzeugt wird. Dabei wird ein mit einer zweiten Konfigurationsänderung eingebbarer zweiter Prüfwert P2 mit einem zweiten hinterlegten Prüfwert RP2 abgeglichen. 5 schematically shows how the second filter rule F2 is changed by means of a user authentication protected configuration K and a second modified filter rule F2 'is generated. In this case, a second test value P2 which can be input with a second configuration change is compared with a second stored test value RP2.

In der in 6 dargestellten Variante einer Netzwerkfiltereinrichtung wird aus der ersten Filtervorschrift F1 und der zweiten Filtervorschrift F2 eine gemeinsame Filtervorschrift F12 mittels eines Policy-Combiners berechnet. Durchgesetzt wird die gemeinsame Filtervorschrift F12 einerseits über eine gemeinsame Filtermaschine M12. Zusätzlich setzt eine erste Filtermaschine M1 die erste Filtervorschrift F1 durch. Damit wird die Safety-Policy, welche durch die erste Filtervorschrift F1 definiert ist, zweimal durchgesetzt. Dadurch wird ein besonders hoher Schutz erreicht, da zwei separate Filtermaschinen oder Filter Engines die Safety-Policy durchsetzen. Sollte durch die Kombination der ersten Filtervorschrift F1 mit der zweiten Filtervorschrift F2 ein Filteraspekt aufgrund eines Fehlers in der Berechnung der gemeinsamen Filtervorschrift F12 nicht durch die gemeinsame Filtermaschine M12 durchsetzbar sein, so wird zusätzlich immer nochmals eine Überprüfung auf Safety-Aspekte hin auf Grundlage der ersten Filtervorschrift F1 durchgeführt. Die aus Safety-Sicht erforderlichen Filterungen werden unabhängig von der Konfiguration oder Implementierung der gemeinsamen Filtermaschine F12 erfüllt. In the in 6 illustrated variant of a network filter device is calculated from the first filter rule F1 and the second filter rule F2 a common filter rule F12 by means of a policy combiner. The common filter specification F12 is enforced on the one hand via a common filter machine M12. In addition, a first filter machine M1 enforces the first filter specification F1. This means that the safety policy, which is defined by the first filter instruction F1, is enforced twice. As a result, a particularly high degree of protection is achieved because two separate filter machines or filter engines enforce the safety policy. If, due to the combination of the first filter specification F1 with the second filter specification F2, a filter aspect can not be enforced by the common filter engine M12 due to an error in the calculation of the common filter specification F12, a check for safety aspects based on the first one will always be made Filtering instruction F1 performed. The filtering required from the safety point of view is fulfilled independently of the configuration or implementation of the common filter machine F12.

In einer weiteren in 7 dargestellten Variante kann die erste Filtervorschrift F1 als Safety-Konfiguration dazu dienen, den an der zum zweiten Netzwerk 200 ausgerichteten Netzwerkschnittstelle NI der Netzwerkfiltereinrichtung auftretenden Netzwerkverkehr zu analysieren. Dazu ist eine Netzwerkeinrichtung 31, ein sogenannter Networktap, vorgesehen, um den Netzwerkverkehr, insbesondere das Datenpaket 300, abzugreifen. Das Datenpaket 300 wird durch eine Überwachungsmaschine 32 oder sogenannte Monitoring Engine ausgewertet. Falls unzulässiger Netzwerkverkehr beobachtet wird, wird die Netzwerkschnittstelle NI deaktiviert, indem ein Signal zum Fail Silent bereitgestellt wird. In another in 7 The first filter specification F1 can serve as a safety configuration to the variant shown on the second network 200 aligned network interface NI the network filtering device occurring network traffic to analyze. This is a network device 31 , a so-called Networktap, provided for network traffic, especially the data packet 300 to tap. The data package 300 is through a surveillance machine 32 or so-called monitoring engine evaluated. If improper network traffic is observed, the network interface NI is disabled by providing a signal to Fail Silent.

In einer weiteren in 8 dargestellten Variante ist eine Analyseeinrichtung 33 zur Analyse der konfigurierten zweiten Filtervorschrift F2 vorgesehen. Damit wird also die Security-Policy analysiert und überprüft, ob diese auch die Vorgaben der Safety-Policy erfüllt, d.h. auch die erste Filtervorschrift F1 mit abdeckt. Die Konfiguration K der Vorgaben für die erste Filtervorschrift F1 erfolgt über den ersten konfigurierbaren Bereich 10 wiederum separat. Durchgesetzt wird über eine Filtermaschine M2 dann lediglich die zweite Filtervorschrift F2. Erkennt die Analyseeinrichtung 33, dass die Safety-Anforderungen durch die Security-Policy nicht abgedeckt werden, kann wiederum die zum zweiten Netzwerk 200 ausgerichtete Netzwerkschnittstelle NI über ein Fail-Silent-Signal deaktiviert werden. In another in 8th variant shown is an analysis device 33 provided for analyzing the configured second filter rule F2. Thus, the security policy is analyzed and checked whether this also meets the requirements of the safety policy, ie also covers the first filter specification F1. The configuration K of the specifications for the first filter specification F1 takes place via the first configurable range 10 again separately. Enforced by a filter machine M2 then only the second filter rule F2. Detects the analyzer 33 that the safety requirements can not be covered by the security policy turn the second network 200 network interface NI disabled via a fail-silent signal.

In einer weiteren Realisierungsvariante können zwei separate Partitionen durch einen Hypervisor, wie beispielsweise das Betriebssystem PikeOS, realisiert werden. Die zwei separaten Partitionen werden jeweils separiert voneinander durch den Hypervisor ausgeführt. Eine Kommunikation ist nicht direkt, sondern nur unter Kontrolle des Hypervisors möglich. Es ist dabei eine integrierte Realisierung möglich, wobei über Partitioning oder einen Microvisor separierte Software-Realisierungen voneinander logisch separiert werden. Bei einer verteilten Lösung kann der konfigurierbare Netzwerkfiltereinrichtungsanteil, insbesondere die Security-Policy mit der dafür vorgesehenen Filtermaschine, durch eine Remote-Lösung, d.h. eine Hosted Firewall, realisiert sein. In a further implementation variant, two separate partitions can be realized by a hypervisor, such as the PikeOS operating system. The two separate partitions are each separated by the hypervisor. Communication is not possible directly, but only under the control of the hypervisor. An integrated realization is possible, with software implementations separated by partitioning or a microvisor being logically separated from one another. In a distributed solution, the configurable network filter portion, in particular the security policy with the dedicated filter engine, may be replaced by a remote solution, i. a hosted firewall, be realized.

Die vorliegende Erfindung schafft eine Firewall-Lösung mit mindestens zwei getrennt konfigurierbaren Filter-Policies. Dadurch können unterschiedliche Randbedingungen an die Art, wie die Konfiguration eingerichtet und aktualisiert werden kann, umgesetzt werden. Es existieren ein relativ statischer zulassungsfähiger Teil und ein konfigurierbarer, aktualisierbarer Teil. Es wird dabei sichergestellt, dass selbst Konfigurationsfehler in den Firewall-Security-Regeln keine Auswirkung auf essentielle Safety-Eigenschaften haben. Zertifikate, die die funktionale Sicherheit einer Anlage zertifizieren, bleiben über einen längeren Zeitraum gültig, wobei dennoch eine aktuell konfigurierte Security-Firewall sichergestellt wird. The present invention provides a firewall solution with at least two separately configurable filter policies. This allows different constraints to be applied to the way the configuration can be set up and updated. There is a relatively static allowable part and a configurable, updatable part. This ensures that even configuration errors in the firewall security rules have no effect on essential safety features. Certificates that certify the functional safety of a plant remain valid for a longer period of time, while still ensuring a currently configured security firewall.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • "Sicherheitsgerichtetes Steuerrelais Safety, Handbuch", A. Dielmann und B. Papst, Januar 2013 [0005] "Safety-Related Safety Relay Safety, Handbook", A. Dielmann and B. Papst, January 2013 [0005]

Claims (18)

Verfahren zum Filtern mindestens eines Datenpaketes (300) mittels einer Netzwerkfiltereinrichtung (1) an einer Kopplungsstelle zwischen einem ersten Netzwerk (100) und einem zweiten Netzwerk (200), wobei mindestens ein Bestandteil des mindestens einen Datenpaketes (300) blockiert wird, falls in dem mindestens einen Bestandteil mindestens ein Merkmal erkannt wird, welches auf eine Gefährdung einer funktionalen Sicherheit (SF) und/ oder einer Angriffssicherheit (SC) des zweiten Netzwerkes (200) hindeutet, wobei die Netzwerkfiltereinrichtung (1) einen ersten konfigurierbaren Bereich (10) und mindestens einen zweiten konfigurierbaren Bereich (20) aufweist und der erste konfigurierbare Bereich (10) separat von dem mindestens einen zweiten konfigurierbaren Bereich (20) mittels einer Konfiguration (K) konfiguriert wird. Method for filtering at least one data packet ( 300 ) by means of a network filter device ( 1 ) at a coupling point between a first network ( 100 ) and a second network ( 200 ), wherein at least one component of the at least one data packet ( 300 ) is blocked, if at least one feature is detected in the at least one component, which is based on a threat to a functional safety (SF) and / or an attack security (SC) of the second network ( 200 ), the network filter device ( 1 ) a first configurable area ( 10 ) and at least one second configurable area ( 20 ) and the first configurable area ( 10 ) separately from the at least one second configurable area ( 20 ) is configured by means of a configuration (K). Verfahren nach Anspruch 1, wobei mindestens der erste konfigurierbare Bereich (10) durch eine erste Filtervorschrift (F1) gebildet wird, wobei die erste Filtervorschrift (F1) die funktionale Sicherheit (SF) sicherstellt und wobei der erste konfigurierbare Bereich (10) zum Verändern der ersten Filtervorschrift (F1) geschützt konfiguriert wird. Method according to claim 1, wherein at least the first configurable area ( 10 ) is formed by a first filter rule (F1), wherein the first filter rule (F1) ensures the functional safety (SF) and wherein the first configurable range (F1) 10 ) is configured to change the first filter rule (F1). Verfahren nach Anspruch 2, wobei die erste Filtervorschrift (F1) verändert und eine veränderte erste Filtervorschrift (F1‘) erzeugt wird, falls ein mit einer Konfigurationsänderung eingebbarer Prüfwert (P) mit einem hinterlegten Prüfwert (RP) übereinstimmt.  Method according to Claim 2, wherein the first filter specification (F1) is modified and an altered first filter specification (F1 ') is generated if a test value (P) which can be input with a configuration change agrees with a stored test value (RP). Verfahren nach Anspruch 2 oder 3, wobei die erste Filtervorschrift (F1) bis auf Anforderungen an vorgebbare Eigenschaften verändert wird.  The method of claim 2 or 3, wherein the first filter rule (F1) is changed to requirements for specifiable properties. Verfahren nach Anspruch 2, wobei die erste Filtervorschrift (F1) versiegelt wird.  The method of claim 2, wherein the first filter rule (F1) is sealed. Verfahren nach Anspruch 5, wobei die erste Filtervorschrift (F1) mittels der Konfiguration (K) durch eine aktualisierte Filtervorschrift (FA) ersetzt wird.  Method according to Claim 5, in which the first filter specification (F1) is replaced by the configuration (K) by an updated filter specification (FA). Verfahren nach Anspruch 6, wobei die erste Filtervorschrift (F1) mittels der Konfiguration (K) durch einen Nutzer durch die aktualisierte Filtervorschrift (FA) ersetzt wird, falls eine Nutzerauthentifizierung des Nutzers durch die Netzwerkfiltereinrichtung erfolgreich war.  The method of claim 6, wherein the first filtering rule (F1) is replaced by the user by the configuration (K) by the updated filtering rule (FA) if user authentication of the user by the network filtering means was successful. Verfahren nach Anspruch 6 oder 7, wobei die aktualisierte Filtervorschrift (FA) nach einem Durchführen einer Betriebsfreigabe (BF) durchgesetzt wird.  The method of claim 6 or 7, wherein the updated filter rule (FA) is enforced after performing an operation release (BF). Verfahren nach Anspruch 2, wobei der mindestens eine zweite konfigurierbare Bereich (20) durch eine zweite Filtervorschrift (F2) gebildet wird und durch die Netzwerkfiltereinrichtung (1) eine gemeinsame Filtervorschrift (F12) aus der ersten Filtervorschrift (F1) und der zweiten Filtervorschrift (F2) berechnet wird. The method of claim 2, wherein the at least one second configurable area ( 20 ) is formed by a second filter rule (F2) and by the network filter device ( 1 ) a common filter specification (F12) from the first filter specification (F1) and the second filter specification (F2) is calculated. Verfahren nach Anspruch 9, wobei die gemeinsame Filtervorschrift (F12) durch eine gemeinsame Filtermaschine (M12) durchgesetzt wird.  Method according to Claim 9, in which the common filter specification (F12) is enforced by a common filter machine (M12). Verfahren nach Anspruch 10, wobei ferner die erste Filtervorschrift (F1) durch eine erste Filtermaschine (M1) durchgesetzt wird.  The method of claim 10, further comprising the first filtering rule (F1) being enforced by a first filtering engine (M1). Verfahren nach einem der Ansprüche 2 bis 8, wobei die erste Filtervorschrift (F1) durch eine erste Filtermaschine (M1) durchgesetzt wird und die zweite Filtervorschrift (F2) durch eine zweite Filtermaschine (M2) durchgesetzt wird.  Method according to one of claims 2 to 8, wherein the first filter specification (F1) is enforced by a first filter machine (M1) and the second filter specification (F2) is enforced by a second filter machine (M2). Verfahren nach einem der vorstehenden Ansprüche, wobei der mindestens eine zweite konfigurierbare Bereich (20) durch eine zweite Filtervorschrift (F2) gebildet wird, wobei durch die zweite Filtervorschrift (F2) die Angriffssicherheit (SC) sichergestellt und wobei der mindestens eine zweite konfigurierbare Bereich (20) geschützt konfiguriert wird. Method according to one of the preceding claims, wherein the at least one second configurable range ( 20 ) is formed by a second filter specification (F2), wherein the second filter specification (F2) ensures the security against attack (SC) and wherein the at least one second configurable region (F2) 20 ) is configured. Verfahren nach Anspruch 13, wobei die zweite Filtervorschrift (F2) verändert wird und eine zweite veränderte Filtervorschrift (F2‘) erzeugt wird, falls ein mit einer zweiten Konfigurationsänderung eingebbarer zweiter Prüfwert (P2) mit einem zweiten hinterlegten Prüfwert (RP2) übereinstimmt.  Method according to claim 13, wherein the second filter specification (F2) is changed and a second modified filter specification (F2 ') is generated if a second check value (P2) which can be input with a second configuration change agrees with a second stored check value (RP2). Verfahren nach einem der Ansprüche 2 bis 14, wobei die Kopplungsstelle aktiviert wird, falls der erste konfigurierbare Bereich (10) konfiguriert worden ist. Method according to one of claims 2 to 14, wherein the coupling point is activated if the first configurable area ( 10 ) has been configured. Netzwerkfiltereinrichtung (1) zum Filtern mindestens eines Datenpaketes (300) an einer Kopplungsstelle zwischen einem ersten Netzwerk (100) und einem zweiten Netzwerk (200), wobei ein Bestandteil des mindestens einen Datenpaketes (10) blockierbar ist, falls der Bestandteil mindestens ein Merkmal aufweist, welches auf eine Gefährdung einer funktionalen Sicherheit (SF) und/ oder einer Angriffssicherheit (SC) des zweiten Netzwerkes (200) hindeutet, umfassend einen ersten konfigurierbaren Bereich (10) und mindestens einen zweiten konfigurierbaren Bereich (20), wobei der erste konfigurierbare Bereich (10) separat von dem mindestens einen zweiten konfigurierbaren Bereich (20) mittels einer Konfiguration konfigurierbar ist. Network filter device ( 1 ) for filtering at least one data packet ( 300 ) at a coupling point between a first network ( 100 ) and a second network ( 200 ), wherein a component of the at least one data packet ( 10 ) is blockable, if the component has at least one feature which is based on a threat to a functional safety (SF) and / or an attack security (SC) of the second network ( 200 ), comprising a first configurable area ( 10 ) and at least one second configurable area ( 20 ), where the first configurable range ( 10 ) separately from the at least one second configurable area ( 20 ) is configurable by means of a configuration. Netzwerkfiltereinrichtung (1) nach Anspruch 16, ferner mindestens eine weitere Einheit umfassend geeignet zur Verwendung gemäß einem der Ansprüche 2 bis 15. Network filter device ( 1 ) according to claim 16, further comprising at least one further unit suitable for use according to one of claims 2 to 15. Netzwerkfiltereinrichtung (1) nach Anspruch 16 oder 17, ferner umfassend eine Sensoreinheit zur Tamperüberwachung zur Erkennung einer physikalischen Modifikation der Netzwerkfiltereinrichtung (1). Network filter device ( 1 ) according to claim 16 or 17, further comprising a sensor unit for tamper monitoring for detecting a physical modification of the network filter device ( 1 ).
DE102013209914.2A 2013-05-28 2013-05-28 Filtering a data packet by means of a network filter device Withdrawn DE102013209914A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102013209914.2A DE102013209914A1 (en) 2013-05-28 2013-05-28 Filtering a data packet by means of a network filter device
PCT/EP2014/059486 WO2014191179A1 (en) 2013-05-28 2014-05-08 Method and device for filtering a data packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013209914.2A DE102013209914A1 (en) 2013-05-28 2013-05-28 Filtering a data packet by means of a network filter device

Publications (1)

Publication Number Publication Date
DE102013209914A1 true DE102013209914A1 (en) 2014-12-04

Family

ID=50732148

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013209914.2A Withdrawn DE102013209914A1 (en) 2013-05-28 2013-05-28 Filtering a data packet by means of a network filter device

Country Status (2)

Country Link
DE (1) DE102013209914A1 (en)
WO (1) WO2014191179A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11377072B2 (en) * 2018-11-02 2022-07-05 Uatc, Llc Systems and methods for tamper evident electronic detection
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7127738B1 (en) * 2000-10-18 2006-10-24 Nortel Networks Limited Local firewall apparatus and method
DE10331307A1 (en) * 2003-07-10 2005-02-10 Siemens Ag Device and method and security module for securing a data access of a communication subscriber to at least one automation component of an automation system
US8737398B2 (en) * 2008-12-31 2014-05-27 Schneider Electric USA, Inc. Communication module with network isolation and communication filter

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Sicherheitsgerichtetes Steuerrelais Safety, Handbuch", A. Dielmann und B. Papst, Januar 2013

Also Published As

Publication number Publication date
WO2014191179A1 (en) 2014-12-04

Similar Documents

Publication Publication Date Title
EP3001884B1 (en) Method, device and system for monitoring a security gateway
EP2299650A1 (en) Method for recognising anomalies in a control network
EP2719127A2 (en) Connecting node for a communication network
EP1417820B1 (en) Method and computer system for securing communication in networks
EP3122016B1 (en) Automation network and method of surveillance for security of the transmission of data packets
EP3688958B1 (en) System and method for the protected transmission of data
EP3028409B1 (en) Filtering a data packet by means of a network filtering device
EP1862931B1 (en) Device and method for protecting a medical device and a patient being treated with one of these devices against dangerous effects from a communications network
DE102013209914A1 (en) Filtering a data packet by means of a network filter device
EP3417589A1 (en) Reducing a possible attack on a weak point of a device via a network access point
EP2987301B1 (en) Controlling the funcionality of a network filter
EP3688951B1 (en) Method for detecting an attack on a control device of a vehicle
WO2015062812A1 (en) Safety-related system having a supervisor
EP3987742A1 (en) Filter, assembly, and method for operating an assembly
DE102011106497B4 (en) System for remote maintenance or diagnosis of a computer-controlled flame cutting machine
EP3661830B1 (en) Concept for monitoring network traffic coming into a signal box
EP3813314A1 (en) Securing system and method for filtering data traffic
DE102018219262A1 (en) Device for securing a real-time Ethernet data network for a motor vehicle
EP1473614A2 (en) Computer system for a vehicle and method controlling the data traffic in the computer system
EP3382976A1 (en) Protective device, method and apparatus comprising a protection device for protecting a communication network associated with the device
WO2021197822A1 (en) Method for handling an anomaly in data, in particular in a motor vehicle
WO2016116207A1 (en) Electronic control device
WO2014075704A1 (en) Method and automation arrangement for controlling the data traffic between data processing devices

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee