DE102013209914A1 - Filtering a data packet by means of a network filter device - Google Patents
Filtering a data packet by means of a network filter device Download PDFInfo
- Publication number
- DE102013209914A1 DE102013209914A1 DE102013209914.2A DE102013209914A DE102013209914A1 DE 102013209914 A1 DE102013209914 A1 DE 102013209914A1 DE 102013209914 A DE102013209914 A DE 102013209914A DE 102013209914 A1 DE102013209914 A1 DE 102013209914A1
- Authority
- DE
- Germany
- Prior art keywords
- filter
- network
- configurable
- rule
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Abstract
Die Erfindung betrifft ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk und eine Netzwerkfiltereinrichtung hierfür, wobei mindestens ein Bestandteil des mindestens einen Datenpaketes blockiert wird, falls eine Gefährdung einer funktionalen Sicherheit und/ oder einer Angriffssicherheit des zweiten Netzwerkes erkannt wird. Es ist ein erster konfigurierbarer Bereich und mindestens ein zweiter konfigurierbarer Bereich vorgesehen und der erste konfigurierbare Bereich wird separat von dem mindestens einen zweiten konfigurierbaren Bereich konfiguriert wird.The invention relates to a method for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network and a network filter device for this purpose, at least one component of the at least one data packet being blocked if there is a risk to functional safety and / or a Security against attack of the second network is recognized. A first configurable area and at least one second configurable area are provided and the first configurable area is configured separately from the at least one second configurable area.
Description
Die Erfindung betrifft ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk und eine Netzwerkfiltereinrichtung hierfür. The invention relates to a method for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network and a network filter device therefor.
Netzwerkfiltereinrichtungen, sogenannte Security Gateways oder Firewalls, werden an Netzwerkgrenzen installiert, um eine kontrollierte Kopplung zwischen mehreren unterschiedlich kritischen Netzwerkbereichen zu realisieren. Kritisch kann insbesondere bedeuten, dass eine Anzahl an Anforderungen an Datenverkehr innerhalb des Netzwerkbereichs besteht, welche erfüllt sein muss. Ein kritischer Netzwerkbereich im Vergleich zu einem weniger kritischen Netzwerkbereich weist dann mehr oder strengere Anforderungen auf. Network filtering devices, so-called security gateways or firewalls, are installed at network boundaries in order to realize a controlled coupling between several differently critical network areas. In particular, critical may mean that there are a number of requests for traffic within the network area that must be met. A critical network area compared to a less critical network area will then have more or more stringent requirements.
Es gibt Filtereinrichtungen, durch welche eine Filterung des Netzwerkverkehrs erfolgt, sodass nur zulässiger Netzwerkverkehr durchgelassen wird. Die Zulässigkeit wird durch die Filterregeln festgelegt. Es ist auch bekannt, ein Security Gateway als sogenannt Personal Firewall auf einem Gerät zu integrieren. There are filtering devices that filter network traffic so that only allowed network traffic is allowed through. Admissibility is determined by the filter rules. It is also known to integrate a security gateway as a so-called personal firewall on a device.
In industriellen Automatisierungssystemen, wie beispielsweise der Bahn-Automatisierung, Fertigungs-Automatisierung oder Prozess-Automatisierung, bestehen kritische Automatisierungsbereiche. Diese kritischen Automatisierungsbereiche weisen hohe Anforderungen an festlegbare Funktionen auf. Beispielsweise muss ein Prozessschritt mit einer hohen Zuverlässigkeit mit vorgegebenen Parametern durchgeführt werden. Damit soll die funktionale Sicherheit, auch Safety genannt, sichergestellt werden. In industrial automation systems, such as web automation, production automation or process automation, critical automation areas exist. These critical automation areas have high requirements for definable functions. For example, a process step with a high reliability must be performed with predetermined parameters. This is to ensure functional safety, also called safety.
Es ist bekannt, bei Safety-Komponenten die Gerätekonfiguration logisch zu versiegeln. Dabei kann zwischen einer regulären Konfiguration und einer Safety-Konfiguration unterschieden werden. Die beiden Konfigurationen sind über Passwörter administrierbar (s. hierzu
Ferner sind für Safety-Anwendungen Safety-Protokolle bekannt. Dabei werden Safety-Statusdaten übertragen. Mit Hilfe von Safety-Protokollen wird ermöglicht, eine Netzwerkinfrastruktur gemeinsam für Safety bezogene Kommunikation und allgemeine Kommunikation zu benutzen. Solche Safety-Protokolle sind jedoch nicht gegen absichtliche Angriffe oder Manipulationen geschützt. Daher sind sie nur in einer geschlossenen Netzwerkumgebung anwendbar. Furthermore, safety protocols are known for safety applications. Safety status data is transferred. With the aid of safety protocols, it is possible to jointly use a network infrastructure for safety-related communication and general communication. However, such safety protocols are not protected against intentional attacks or manipulation. Therefore, they are only applicable in a closed network environment.
Die Sicherheit von verfügbaren Firewalls hängt davon ab, dass Filterregeln korrekt konfiguriert sind. Filterregeln müssen dabei im Allgemeinen regelmäßig aktualisiert werden, um neue Bedrohungen oder eine geänderte Netzwerkkonfiguration zu berücksichtigen. Implementierungsfehler in einer Firewall müssen durch das Einspielen von sogenannten Patches korrigiert werden. The security of available firewalls depends on filtering rules being configured correctly. Filter rules generally need to be updated regularly to accommodate new threats or a changed network configuration. Implementation errors in a firewall must be corrected by installing so-called patches.
Aus dem Stand der Technik bekannte Firewalls berücksichtigen allerdings nicht die Anforderungen eines Safety-kritischen Netzwerkbereichs, für welche insbesondere eine Rückwirkungsfreiheit auf Safety-kritische Systeme und ein kontrolliertes, definiertes Fehlerverhalten zu berücksichtigen sind. However, firewalls known from the prior art do not take into account the requirements of a safety-critical network area, for which in particular a freedom from reaction to safety-critical systems and a controlled, defined fault behavior must be taken into account.
Es besteht der Trend, auch kritische Automatisierungsbereiche mit allgemeinen Netzen zu koppeln. Dabei kann beispielsweise die Kopplung mit einem Büronetz erfolgen. There is a trend to couple even critical automation areas with general networks. In this case, for example, the coupling can be done with an office network.
Es besteht daher ein Bedarf an einer Netzwerkfiltereinrichtung zur sicheren und zuverlässigen Kopplung von Netzwerkbereichen oder Netzwerken, welche die besonderen Anforderungen von Safety-relevanten Netzwerkbereichen berücksichtigen. There is therefore a need for a network filter device for secure and reliable coupling of network areas or networks which take into account the special requirements of safety-relevant network areas.
Die Aufgabe der vorliegenden Erfindung besteht daher darin, ein verbessertes Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung und eine Netzwerkfiltereinrichtung hierfür bereitzustellen. The object of the present invention is therefore to provide an improved method for filtering at least one data packet by means of a network filter device and a network filter device therefor.
Diese Aufgabe wird durch ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung und eine Netzwerkfiltereinrichtung hierfür gelöst. Vorteilhafte Ausführungsformen und Weiterbildungen sind in den Unteransprüchen angegeben. This object is achieved by a method for filtering at least one data packet by means of a network filter device and a network filter device for this purpose. Advantageous embodiments and further developments are specified in the subclaims.
Die im Folgenden genannten Vorteile müssen nicht notwendigerweise durch die Gegenstände der unabhängigen Patentansprüche erzielt werden. Es kann sich vielmehr auch um Vorteile handeln, welche lediglich durch einzelne Ausführungsformen oder Weiterbildungen erzielt werden. The advantages mentioned below need not necessarily be achieved by the subject-matter of the independent patent claims. Rather, it may also be advantages, which are achieved only by individual embodiments or developments.
Es wird ein Verfahren zum Filtern mindestens eines Datenpaketes mittels einer Netzwerkfiltereinrichtung an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk vorgeschlagen, wobei mindestens ein Bestandteil des mindestens einen Datenpaketes blockiert wird, falls in dem mindestens einen Bestandteil mindestens ein Merkmal erkannt wird, welches auf eine Gefährdung einer funktionalen Sicherheit und/oder einer Angriffssicherheit des zweiten Netzwerkes hindeutet, wobei die Netzwerkfiltereinrichtung einen ersten konfigurierbaren Bereich und mindestens einen zweiten konfigurierbaren Bereich aufweist und der erste konfigurierbare Bereich separat von dem mindestens einen zweiten konfigurierbaren Bereich mittels einer Konfiguration konfiguriert wird. A method is proposed for filtering at least one data packet by means of a network filter device at a coupling point between a first network and a second network, wherein at least one component of the at least one data packet is blocked if at least one feature is detected in the at least one component indicates a threat to a functional security and / or an attack security of the second network, wherein the network filter device has a first configurable area and at least one second configurable area, and the first configurable area is separate from the at least one second configurable area is configured by means of a configuration.
Unter einer Gefährdung einer funktionalen Sicherheit wird in der vorliegenden Anmeldung ein Zustand verstanden, in welchem die funktionale Sicherheit des zweiten Netzwerkes nicht sichergestellt ist. Es kann sich dabei beispielsweise um die Möglichkeit der Umsetzung eines Prozessschrittes handeln, welcher die Bearbeitung eines Parameters beinhaltet, sodass eine Anforderung innerhalb des zweiten Netzwerkes nicht erfüllt wird. Eine solche Anforderung kann insbesondere gegeben sein, indem obere und untere Schwellenwerte eines Parameters nicht über- bzw. unterschritten werden dürfen. Der Begriff der funktionalen Sicherheit, im Folgenden auch Safety genannt, umfasst damit alle Aspekte, welche dazu beitragen, dass Funktionen innerhalb des zweiten Netzwerkes ordnungsgemäß durchgeführt werden. Anforderungen an Filtereigenschaften von Filtereinrichtungen zum Schutz eines Safety-relevanten Netzwerkes legen den Grad einer funktionalen Sicherheit fest. A threat to functional safety is understood in the present application to mean a state in which the functional security of the second network is not ensured. This may be, for example, the possibility of implementing a process step which involves the processing of a parameter so that a request within the second network is not fulfilled. Such a requirement can be given in particular by not exceeding or falling short of upper and lower threshold values of a parameter. The term functional safety, also referred to as safety in the following, thus encompasses all aspects that contribute to the proper performance of functions within the second network. Requirements for filter properties of filter devices to protect a safety-relevant network determine the degree of functional safety.
Der Begriff der Angriffssicherheit, im Folgenden auch Security genannt, umfasst dagegen Sicherheitsanforderungen, welche aufgrund einer Manipulation durch einen Angreifer möglicherweise nicht erfüllt werden. Eine Gefährdung einer Angriffssicherheit liegt dementsprechend vor, wenn nicht sichergestellt werden kann, dass festlegbare Anforderungen erfüllt werden. Die Anforderungen definieren dabei den Umfang und den Grad der Angriffssicherheit. Sind also beispielsweise aufgrund einer fehlerhaften Implementierung einer Netzwerkfiltereinrichtung für einen Angreifer Möglichkeiten einer Manipulation vorhanden, so besteht eine Gefährdung der Angriffssicherheit. Es sollen durch das Sicherstellen der Angriffssicherheit insbesondere Vertraulichkeit, Verfügbarkeit und Integrität sichergestellt werden. On the other hand, the term attack security, also referred to as security in the following, includes security requirements that may not be met due to manipulation by an attacker. Accordingly, there is a risk of attack security if it can not be ensured that definable requirements are met. The requirements define the scope and degree of attack security. If, for example, due to a faulty implementation of a network filter device for an attacker, there are possibilities of manipulation, there is a threat to attack security. In particular, confidentiality, availability and integrity should be ensured by ensuring security against attack.
In der Regel wird ein Datenpaket als Ganzes blockiert oder weitergeleitet, wenn aufgrund eines Bestandteiles oder eines Merkmales des Bestandteiles eine Gefährdung erkannt wird. As a rule, a data packet as a whole is blocked or forwarded if a threat is recognized due to a component or a feature of the component.
Gemäß einer vorteilhaften Ausführungsform wird mindestens der erste konfigurierbare Bereich durch eine erste Filtervorschrift gebildet, wobei die erste Filtervorschrift die funktionale Sicherheit sicherstellt und wobei der erste konfigurierbare Bereich zum Verändern der ersten Filtervorschrift geschützt konfiguriert wird. According to an advantageous embodiment, at least the first configurable range is formed by a first filter rule, wherein the first filter rule ensures the functional safety and wherein the first configurable range is configured to be protected for changing the first filter rule.
Die erste Filtervorschrift legt damit die Anforderungen fest, welche an einen Datenverkehr oder an ein Datenpaket, welche von dem ersten Netzwerk in das zweite Netzwerk übertragen werden sollen, gestellt werden. Dabei wird die erste Filtervorschrift derart ausgestaltet, dass sie die funktionale Sicherheit, auch Safety genannt, sicherstellt. Dies kann insbesondere bedeuten, dass aus dem ersten Netzwerk nicht in das zweite Netzwerk übertragen wird, falls das Datenpaket Bestandteile aufweist, beispielsweise innerhalb einer Adresszeile, die auf eine Beeinflussung einer Safety-relevanten Kommunikation hindeuten. Eine Angabe einer IP-Adresse, Ethernet-Adresse oder Protokoll-Nummer kann ein solcher Bestandteil sein. The first filter rule thus specifies the requirements which are imposed on a data traffic or a data packet which is to be transmitted from the first network to the second network. The first filter specification is designed in such a way that it ensures functional safety, also called safety. This may mean, in particular, that transmission from the first network is not transmitted to the second network if the data packet has components, for example within an address line, which indicate an influence on safety-relevant communication. An indication of an IP address, Ethernet address or protocol number may be such an ingredient.
Dass der erste konfigurierbare Bereich geschützt konfiguriert wird, kann insbesondere bedeuten, dass er separat konfiguriert wird. Dies kann insbesondere bedeuten, dass der erste konfigurierbare Bereich nicht gemeinsam mit dem zweiten konfigurierbaren Bereich konfiguriert werden kann. In particular, the fact that the first configurable area is configured to be secure may mean that it is configured separately. This may mean in particular that the first configurable area can not be configured together with the second configurable area.
Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift verändert und eine veränderte erste Filtervorschrift erzeugt, falls ein mit einer Konfigurationsänderung eingebbarer Prüfwert mit einem hinterlegten Prüfwert übereinstimmt. According to an advantageous embodiment, the first filter specification is changed and a modified first filter specification is generated if a test value that can be entered with a configuration change matches a stored test value.
Für ein Konfigurieren zu Zwecken einer Konfigurationsänderung, d.h. zur Anpassung der ersten Filtervorschrift, ist es nötig, den eingebbaren Prüfwert zu Zwecken der Authentisierung einzugeben. Dabei kann es sich beispielsweise um ein einem Nutzer zugeordnetes Passwort handeln, beispielsweise ein Passwort, welches einem Personenkreis bekannt ist, welcher zur Konfigurationsänderung berechtigt ist. For configuration for purposes of configuration change, i. to adapt the first filter specification, it is necessary to enter the input test value for purposes of authentication. This may be, for example, a password assigned to a user, for example a password which is known to a group of persons who is authorized to change the configuration.
Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift bis auf Anforderungen an vorgebbare Eigenschaften verändert. According to an advantageous embodiment, the first filter specification is changed to requirements for specifiable properties.
Somit wird ein eingeschränkt veränderbarer Bereich innerhalb des ersten konfigurierbaren Bereiches gebildet, sodass beispielsweise essentielle Eigenschaften des Datenpaketes oder essentielle Anforderungen an das Datenpaket immer erfüllt werden müssen. Dies geschieht dann einerseits unabhängig von dem zweiten konfigurierbaren Bereich sowie außerdem unabhängig von einem nicht konfigurierbaren Bereich des ersten konfigurierbaren Bereiches. Dadurch kann insbesondere eine Beeinflussung von Echtzeit-Kommunikation verhindert werden, beispielsweise indem während eines für Echtzeit-Kommunikation reservierten Zeitslots oder innerhalb eines für Echtzeit-Kommunikation reservierten virtuellen lokalen Netzwerkes, auch virtual local area network (VLAN) genannt, keine weitere Kommunikation möglich ist. Auch das Verhindern einer Überlast kann so stets gewährleistet werden. Ferner kann eine Safety-bezogene Kommunikation stets blockiert werden und somit eine Rückwirkungsfreiheit auf Safety-Kommunikation garantiert werden. Ferner kann auch eine Kommunikation über ungeschützte entfernte Zugänge, sogenannte Remote-Zugänge wie Telnet oder einfaches Netzwerkverwaltungsprotokoll, englisch Simple Network Management Protocol, kurz SNMP, stets blockiert werden. Thus, a restricted range is formed within the first configurable range, so that, for example, essential characteristics of the data packet or essential requirements for the data packet must always be met. This happens on the one hand independently of the second configurable range and also independently of a non-configurable range of the first configurable range. In this way, in particular an influence on real-time communication can be prevented, for example by no further communication being possible during a time slot reserved for real-time communication or within a virtual local area network reserved for real-time communication, also called virtual local area network (VLAN). Also, the prevention of overload can always be guaranteed. Furthermore, a safety-related communication can always be blocked, thus guaranteeing no feedback on safety communication. Furthermore, communication via unprotected remote access, so-called remote access such as Telnet or simple network management protocol, English Simple Network Management Protocol, short SNMP, always blocked.
Gemäß einer Weiterbildung wird die erste Filtervorschrift versiegelt. According to a development, the first filter specification is sealed.
Unter einer Versiegelung versteht man einen speziellen Schutzmechanismus zum Aktivieren einer Konfiguration. Zum Versiegeln von Dateien kann beispielsweise das Eingeben einer Prüfsumme erforderlich sein, wie beispielsweise ein MD5-Hash-Wert, eine CRC-Prüfsumme, ein SHA1-/SHA256-Hashwert. Eine Versiegelung kann nicht rückgängig gemacht werden. So kann gewährleistet werden, dass eine versiegelte Konfiguration nicht geändert werden kann. A seal is a special protection mechanism for activating a configuration. For example, to seal files, it may be necessary to enter a checksum, such as an MD5 hash, a CRC checksum, a SHA1 / SHA256 hash. A seal can not be undone. This ensures that a sealed configuration can not be changed.
Gemäß einer vorteilhaften Ausführungsform wird die erste Filtervorschrift mittels der Konfiguration durch eine aktualisierte Filtervorschrift ersetzt. According to an advantageous embodiment, the first filter specification is replaced by the configuration by an updated filter specification.
Im Fall einer Versiegelung kann eine Safety-bezogene Filtervorschrift, auch Safety Policy genannt, nur gelöscht und vollständig neu eingerichtet werden. Dies erhöht insbesondere die Sicherstellung einer fehlerhaften Konfiguration der ersten Filtervorschrift. In einer Variante wird beim Löschen der versiegelten Safety-bezogenen Filtervorschrift automatisch eine sperrende Filtervorschrift aktiviert, die durch Einrichten und erneute Versiegelung einer Filtervorschrift aufhebbar ist. In the case of a seal, a safety-related filter specification, also called a safety policy, can only be deleted and set up completely new. This particularly increases the assurance of a faulty configuration of the first filter rule. In one variant, when the sealed safety-related filter instruction is deleted, a blocking filter instruction is automatically activated, which can be canceled by setting up and resealing a filter instruction.
Gemäß einer weiteren vorteilhaften Ausführungsform wird die erste Filtervorschrift mittels der Konfiguration durch einen Nutzer durch die aktualisierte Filtervorschrift ersetzt, falls eine Nutzer-Authentifizierung durch die Netzwerkfiltereinrichtung erfolgreich war. According to a further advantageous embodiment, the first filter rule is replaced by the configuration by a user by the updated filtering rule, if a user authentication by the network filtering device was successful.
Die Nutzer-Authentifizierung kann über gängige Verfahren realisiert werden, wie beispielsweise eine nutzerspezifische Passworteingabe. Es ist dabei denkbar, dass zusätzlich ein Zurücksetzen der Netzwerkfiltereinrichtung nötig ist. The user authentication can be realized by common methods, such as a user-specific password input. It is conceivable that additionally a reset of the network filter device is necessary.
Gemäß einer vorteilhaften Ausführungsform wird die aktualisierte Filtervorschrift nach einem Durchführen einer Betriebsfreigabe durchgesetzt. According to an advantageous embodiment, the updated filter specification is enforced after performing an operation release.
Der Begriff des Durchsetzens beschreibt dabei den Betriebszustand der Netzwerkfiltereinrichtung, in welchem diese aktiv ist und Filtervorschriften entsprechend der Konfiguration umsetzt. Dadurch kann es ermöglicht werden, dass ohne erfolgte Betriebsfreigabe eine interne Schnittstelle deaktiviert ist, sodass keine Rückwirkung auf das zweite Netzwerk oder Safety-Netzwerk möglich ist. Somit wird ein Zeitraum einer Wartung abgesichert. The concept of enforcement describes the operating state of the network filter device in which it is active and converts filter specifications according to the configuration. This makes it possible for an internal interface to be deactivated without the operation being enabled, so that no reaction to the second network or safety network is possible. This ensures a period of maintenance.
Gemäß einer Ausführungsform wird der mindestens eine zweite konfigurierbare Bereich durch eine zweite Filtervorschrift gebildet und durch die Netzwerkfiltereinrichtung eine gemeinsame Filtervorschrift aus der ersten Filtervorschrift und der zweiten Filtervorschrift berechnet. According to one embodiment, the at least one second configurable region is formed by a second filter specification and the network filter device calculates a common filter rule from the first filter rule and the second filter rule.
Somit kann eine flexibler gestaltete zweite Filtervorschrift durch die Netzwerkfiltereinrichtung berücksichtigt werden, welche insbesondere Aspekte der Angriffssicherheit berücksichtigt. Thus, a more flexibly designed second filter rule can be taken into account by the network filter device, which takes particular account of aspects of attack security.
Dadurch, dass der erste konfigurierbare Bereich separat von dem mindestens einen zweiten konfigurierbaren Bereich konfiguriert wird, kann der zweite konfigurierbare Bereich durch Aktualisierungen der Filtervorschriften beliebig aktualisiert werden. An die Netzwerkfiltereinrichtung gestellte Anforderungen im Hinblick auf die Angriffssicherheit können somit erfüllt werden, da auf aktuelle Bedrohungen, insbesondere der Netzwerke, zeitnah reagiert werden kann. Gleichzeitig wird jedoch gewährleistet, dass die aus Safety-Sicht erforderlichen Randbedingungen nicht beeinträchtigt werden, da diese Randbedingungen nicht gemeinsam mit einer Security-Konfigurationsänderung veränderbar sind. Eine für ein System erhaltene Safety-Zulassung bleibt dafür insbesondere erhalten. By configuring the first configurable area separately from the at least one second configurable area, the second configurable area can be arbitrarily updated by updating the filter rules. Demands placed on the network filter device with regard to attack security can thus be met, as it is possible to react promptly to current threats, in particular the networks. At the same time, however, it is ensured that the boundary conditions required from the safety point of view are not impaired, since these boundary conditions can not be changed together with a security configuration change. A safety approval received for a system is retained in particular for this purpose.
Gefährdungen für die funktionale Sicherheit können auch dadurch entstehen, dass berechtigtes Personal Netzwerkfilterregeln aktualisieren möchte, beispielsweise aufgrund von aktuellen IT-Security-Bedrohungen. Es besteht insbesondere die Gefahr, dass im Rahmen einer Störungssuche vorrübergehend sogenannte Bypass-Regeln konfiguriert werden oder eine Netzwerkfiltereinrichtung durch Umstecken von Netzverbindungen überbrückt wird, wodurch nicht länger sichergestellt ist, dass eine Safety-bezogene Policy durchgesetzt wird. Functional security threats may also be caused by authorized personnel updating network filter rules, for example, due to current IT security threats. In particular, there is the danger that as part of a troubleshooting so-called bypass rules are temporarily configured or a network filter device is bridged by plugging network connections, which is no longer ensured that a safety-related policy is enforced.
Die zweite Filtervorschrift kann dabei relativ frei wie bei einer herkömmlichen Netzwerkfiltereinrichtung aktualisierbar sein, insbesondere nach einer gewöhnlichen Nutzer-Authentisierung. Dabei kann insbesondere ein Secure Shell-Zugang oder ssh-Zugang oder ein HTTPS-Web-Konfigurationsserver verwendet werden. The second filter specification can be updateable relatively freely as in a conventional network filter device, in particular after a common user authentication. In particular, a secure shell access or ssh access or an HTTPS web configuration server can be used.
Gemäß einer Ausführungsform wird die gemeinsame Filtervorschrift durch eine gemeinsame Filtermaschine durchgesetzt. According to one embodiment, the common filter specification is enforced by a common filter machine.
Ein sogenannter Policy Combiner, der die gemeinsame Filtervorschrift berechnet, kann dabei Bestandteil der gemeinsamen Filtermaschine sein. Netzwerkverkehr kann dabei die Netzwerkfiltereinrichtung nur passieren, soweit er beide durch die erste Filtervorschrift und durch die zweite Filtervorschrift vorgegebenen Anforderungen erfüllt. A so-called policy combiner, which calculates the common filter rule, can be part of the common filter machine. Network traffic can pass through the network filter device only insofar as it satisfies both requirements imposed by the first filter specification and by the second filter specification.
Gemäß einer Ausführungsform wird ferner die erste Filtervorschrift durch eine erste Filtermaschine durchgesetzt. According to one embodiment, furthermore, the first filter specification is enforced by a first filter machine.
Dadurch wird erreicht, dass die erste Filtervorschrift doppelt durchgesetzt wird. Zum einen wird sie für die Berechnung der gemeinsamen Filtervorschrift verwendet und durch die gemeinsame Filtervorschrift umgesetzt, zum anderen wird das zu prüfende Datenpaket nochmals separat auf das Erfüllen der Anforderungen durch die erste Filtervorschrift geprüft. Dies erhöht den Schutz des zweiten Netzwerkes nochmals. This ensures that the first filter rule is enforced twice. On the one hand, it is used for the calculation of the common filter specification and implemented by the common filter rule; on the other hand, the data packet to be checked is again checked separately for the fulfillment of the requirements by the first filter rule. This increases the protection of the second network again.
Gemäß einer weiteren Ausführungsform wird die erste Filtervorschrift durch eine erste Filtermaschine durchgesetzt und die zweite Filtervorschrift durch eine zweite Filtermaschine. According to a further embodiment, the first filter specification is enforced by a first filter machine and the second filter specification by a second filter machine.
Die separaten Konfigurationsmöglichkeiten sind dabei klar vorgegeben. Die jeweils nötigen Administrationszugänge zum Einrichten der Konfiguration können so auf die Anforderungen aus Sicht der funktionalen Sicherheit oder der Angriffssicherheit jeweils ausgelegt werden. The separate configuration options are clearly defined. The respective administration access required for setting up the configuration can thus be tailored to the requirements from the point of view of functional security or attack security.
Gemäß einer Ausführungsform wird der mindestens eine zweite konfigurierbare Bereich durch eine zweite Filtervorschrift gebildet, wobei durch die zweite Filtervorschrift die Angriffssicherheit sichergestellt ist und wobei der mindestens eine zweite konfigurierbare Bereich geschützt konfiguriert wird. According to one embodiment, the at least one second configurable range is formed by a second filter specification, the second filter rule ensuring the security against attack and the at least one second configurable range being configured in a protected manner.
Die auf die funktionale Sicherheit abzielenden Filtervorschriften können dabei vollständig aus der zweiten Filtervorschrift herausgehalten werden. Auch das Festlegen der zweiten Filtervorschrift kann geschützt erfolgen, indem beispielsweise vor Verändern der zweiten Filtervorschrift eine Nutzer-Authentifizierung durch die Netzwerkfiltereinrichtung erfolgreich durchgeführt worden sein muss. The functional safety-oriented filter regulations can be kept completely out of the second filter specification. Also, the setting of the second filter rule can be done protected by, for example, before changing the second filter rule a user authentication must be performed successfully by the network filtering device.
Gemäß einer Ausführungsform wird die zweite Filtervorschrift verändert und eine zweite veränderte Filtervorschrift erzeugt, falls ein mit einer zweiten Konfigurationsänderung eingebbarer zweiter Prüfwert mit einem zweiten hinterlegten Prüfwert übereinstimmt. According to one embodiment, the second filter rule is changed and a second modified filter rule is generated if a second check value, which can be input with a second configuration change, matches a second stored check value.
Dabei muss die zweite Filtervorschrift, welche die Angriffssicherheit des zweiten Netzwerkes gewährleisten soll, nicht vollständig neu hinterlegt werden, sondern kann angepasst werden. Dies ist insbesondere im Hinblick auf die vielen notwendigen Aktualisierungen oder Updates einer auf Sicherstellung der Angriffssicherheit ausgelegten Firewall vorteilhaft. In this case, the second filter rule, which is to ensure the security of attack of the second network, not completely new deposited, but can be adjusted. This is particularly advantageous in view of the many necessary updates or updates of a designed to ensure the security of attack firewall.
Gemäß einer weiteren Ausführungsform wird die Kopplungsstelle aktiviert, falls der erste konfigurierbare Bereich konfiguriert worden ist. According to a further embodiment, the coupling site is activated if the first configurable area has been configured.
Das Übermitteln von Datenverkehr ist somit ausgeschlossen, falls eine Konfiguration der Netzwerkfiltereinrichtung nicht vorhanden ist. Insbesondere bei Wartungsarbeiten oder Aktualisierungsarbeiten an der zweiten Filtervorschrift wird somit sichergestellt, dass kein unzulässiger Datenverkehr in das zweite Netzwerk übermittelt werden kann, da die Kopplungsstelle dann inaktiv ist. Das Vorhandensein einer gültigen Security-Konfiguration würde demnach nicht ausreichen, um Datenpakete passieren zu lassen, da die Filtervorschrift, welche Safety-Aspekte prüft, zusätzlich in jedem Fall konfiguriert sein muss. The transmission of data traffic is thus excluded if a configuration of the network filter device does not exist. In particular, during maintenance or updating of the second filter rule is thus ensured that no inadmissible data traffic can be transmitted to the second network, since the interface is then inactive. The existence of a valid security configuration would therefore not be sufficient to allow data packets to pass, since the filter rule, which checks safety aspects, must additionally be configured in each case.
Die Erfindung betrifft ferner eine Netzwerkfiltereinrichtung zum Filtern mindestens eines Datenpaketes an einer Kopplungsstelle zwischen einem ersten Netzwerk und einem zweiten Netzwerk, wobei ein Bestandteil des mindestens einen Datenpaketes blockierbar ist, falls der Bestandteil mindestens ein Merkmal aufweist, welches auf eine Gefährdung einer funktionalen Sicherheit und/oder einer Angriffssicherheit des zweiten Netzwerkes hindeutet, umfassend einen ersten konfigurierbaren Bereich und mindestens einen zweiten konfigurierbaren Bereich, wobei der erste konfigurierbare separat von dem mindestens einen zweiten konfigurierbaren Bereichs mittels einer Konfiguration konfigurierbar ist. The invention further relates to a network filter device for filtering at least one data packet at a coupling point between a first network and a second network, wherein a component of the at least one data packet is blockable if the component has at least one feature which is based on a threat to functional safety and / or or an attack security of the second network, comprising a first configurable area and at least a second configurable area, wherein the first configurable is configurable separately from the at least one second configurable area by means of a configuration.
Gemäß einer Weiterbildung umfasst die Netzwerkfiltereinrichtung ferner mindestens eine weitere Einheit, geeignet zur Verwendung gemäß einem der oben beschriebenen Ausführungsformen oder Weiterbildungen. According to a further development, the network filter device further comprises at least one further unit, suitable for use according to one of the embodiments or developments described above.
Gemäß einer Ausführungsform umfasst die Netzwerkfiltereinrichtung ferner eine Sensoreinheit zur Temperüberwachung zur Erkennung einer physikalischen Modifikation der Netzwerkfiltereinrichtung. According to one embodiment, the network filter device further comprises a temperature monitoring sensor unit for detecting a physical modification of the network filter device.
Die Erfindung wird nachfolgend mit Ausführungsbeispielen anhand der Figuren näher erläutert. Es zeigen: The invention will be explained in more detail below with exemplary embodiments with reference to the figures. Show it:
In den Figuren sind funktionsgleiche Elemente mit denselben Bezugszeichen versehen, sofern nichts anderes angegeben ist. In the figures, functionally identical elements are provided with the same reference numerals, unless stated otherwise.
In diese Safety-Netzwerke übermittelte Nachrichten oder Datenpakete sind darauf zu prüfen, dass sie keine unzulässigen Bestandteile enthalten. Beispielsweise soll eine Fahrplanaktualisierung vom ersten Netzwerk
Gleichzeitig soll bei einer bestehenden Verbindung zwischen dem zweiten Netzwerk
Das Datenpaket
In
In
In der in
In einer weiteren in
In einer weiteren in
In einer weiteren Realisierungsvariante können zwei separate Partitionen durch einen Hypervisor, wie beispielsweise das Betriebssystem PikeOS, realisiert werden. Die zwei separaten Partitionen werden jeweils separiert voneinander durch den Hypervisor ausgeführt. Eine Kommunikation ist nicht direkt, sondern nur unter Kontrolle des Hypervisors möglich. Es ist dabei eine integrierte Realisierung möglich, wobei über Partitioning oder einen Microvisor separierte Software-Realisierungen voneinander logisch separiert werden. Bei einer verteilten Lösung kann der konfigurierbare Netzwerkfiltereinrichtungsanteil, insbesondere die Security-Policy mit der dafür vorgesehenen Filtermaschine, durch eine Remote-Lösung, d.h. eine Hosted Firewall, realisiert sein. In a further implementation variant, two separate partitions can be realized by a hypervisor, such as the PikeOS operating system. The two separate partitions are each separated by the hypervisor. Communication is not possible directly, but only under the control of the hypervisor. An integrated realization is possible, with software implementations separated by partitioning or a microvisor being logically separated from one another. In a distributed solution, the configurable network filter portion, in particular the security policy with the dedicated filter engine, may be replaced by a remote solution, i. a hosted firewall, be realized.
Die vorliegende Erfindung schafft eine Firewall-Lösung mit mindestens zwei getrennt konfigurierbaren Filter-Policies. Dadurch können unterschiedliche Randbedingungen an die Art, wie die Konfiguration eingerichtet und aktualisiert werden kann, umgesetzt werden. Es existieren ein relativ statischer zulassungsfähiger Teil und ein konfigurierbarer, aktualisierbarer Teil. Es wird dabei sichergestellt, dass selbst Konfigurationsfehler in den Firewall-Security-Regeln keine Auswirkung auf essentielle Safety-Eigenschaften haben. Zertifikate, die die funktionale Sicherheit einer Anlage zertifizieren, bleiben über einen längeren Zeitraum gültig, wobei dennoch eine aktuell konfigurierte Security-Firewall sichergestellt wird. The present invention provides a firewall solution with at least two separately configurable filter policies. This allows different constraints to be applied to the way the configuration can be set up and updated. There is a relatively static allowable part and a configurable, updatable part. This ensures that even configuration errors in the firewall security rules have no effect on essential safety features. Certificates that certify the functional safety of a plant remain valid for a longer period of time, while still ensuring a currently configured security firewall.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte Nicht-PatentliteraturCited non-patent literature
- "Sicherheitsgerichtetes Steuerrelais Safety, Handbuch", A. Dielmann und B. Papst, Januar 2013 [0005] "Safety-Related Safety Relay Safety, Handbook", A. Dielmann and B. Papst, January 2013 [0005]
Claims (18)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013209914.2A DE102013209914A1 (en) | 2013-05-28 | 2013-05-28 | Filtering a data packet by means of a network filter device |
PCT/EP2014/059486 WO2014191179A1 (en) | 2013-05-28 | 2014-05-08 | Method and device for filtering a data packet |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102013209914.2A DE102013209914A1 (en) | 2013-05-28 | 2013-05-28 | Filtering a data packet by means of a network filter device |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102013209914A1 true DE102013209914A1 (en) | 2014-12-04 |
Family
ID=50732148
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102013209914.2A Withdrawn DE102013209914A1 (en) | 2013-05-28 | 2013-05-28 | Filtering a data packet by means of a network filter device |
Country Status (2)
Country | Link |
---|---|
DE (1) | DE102013209914A1 (en) |
WO (1) | WO2014191179A1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11377072B2 (en) * | 2018-11-02 | 2022-07-05 | Uatc, Llc | Systems and methods for tamper evident electronic detection |
US20200314066A1 (en) * | 2019-03-29 | 2020-10-01 | Cloudflare, Inc. | Validating firewall rules using data at rest |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7127738B1 (en) * | 2000-10-18 | 2006-10-24 | Nortel Networks Limited | Local firewall apparatus and method |
DE10331307A1 (en) * | 2003-07-10 | 2005-02-10 | Siemens Ag | Device and method and security module for securing a data access of a communication subscriber to at least one automation component of an automation system |
US8737398B2 (en) * | 2008-12-31 | 2014-05-27 | Schneider Electric USA, Inc. | Communication module with network isolation and communication filter |
-
2013
- 2013-05-28 DE DE102013209914.2A patent/DE102013209914A1/en not_active Withdrawn
-
2014
- 2014-05-08 WO PCT/EP2014/059486 patent/WO2014191179A1/en active Application Filing
Non-Patent Citations (1)
Title |
---|
"Sicherheitsgerichtetes Steuerrelais Safety, Handbuch", A. Dielmann und B. Papst, Januar 2013 |
Also Published As
Publication number | Publication date |
---|---|
WO2014191179A1 (en) | 2014-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3001884B1 (en) | Method, device and system for monitoring a security gateway | |
EP2299650A1 (en) | Method for recognising anomalies in a control network | |
EP2719127A2 (en) | Connecting node for a communication network | |
EP1417820B1 (en) | Method and computer system for securing communication in networks | |
EP3122016B1 (en) | Automation network and method of surveillance for security of the transmission of data packets | |
EP3688958B1 (en) | System and method for the protected transmission of data | |
EP3028409B1 (en) | Filtering a data packet by means of a network filtering device | |
EP1862931B1 (en) | Device and method for protecting a medical device and a patient being treated with one of these devices against dangerous effects from a communications network | |
DE102013209914A1 (en) | Filtering a data packet by means of a network filter device | |
EP3417589A1 (en) | Reducing a possible attack on a weak point of a device via a network access point | |
EP2987301B1 (en) | Controlling the funcionality of a network filter | |
EP3688951B1 (en) | Method for detecting an attack on a control device of a vehicle | |
WO2015062812A1 (en) | Safety-related system having a supervisor | |
EP3987742A1 (en) | Filter, assembly, and method for operating an assembly | |
DE102011106497B4 (en) | System for remote maintenance or diagnosis of a computer-controlled flame cutting machine | |
EP3661830B1 (en) | Concept for monitoring network traffic coming into a signal box | |
EP3813314A1 (en) | Securing system and method for filtering data traffic | |
DE102018219262A1 (en) | Device for securing a real-time Ethernet data network for a motor vehicle | |
EP1473614A2 (en) | Computer system for a vehicle and method controlling the data traffic in the computer system | |
EP3382976A1 (en) | Protective device, method and apparatus comprising a protection device for protecting a communication network associated with the device | |
WO2021197822A1 (en) | Method for handling an anomaly in data, in particular in a motor vehicle | |
WO2016116207A1 (en) | Electronic control device | |
WO2014075704A1 (en) | Method and automation arrangement for controlling the data traffic between data processing devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |