DE102015116601A1 - Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt - Google Patents

Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt Download PDF

Info

Publication number
DE102015116601A1
DE102015116601A1 DE102015116601.1A DE102015116601A DE102015116601A1 DE 102015116601 A1 DE102015116601 A1 DE 102015116601A1 DE 102015116601 A DE102015116601 A DE 102015116601A DE 102015116601 A1 DE102015116601 A1 DE 102015116601A1
Authority
DE
Germany
Prior art keywords
computer system
network
external
random
external computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102015116601.1A
Other languages
English (en)
Inventor
Heinz-Josef Claes
Alexander Hosfeld
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Technology Solutions Intellectual Property GmbH
Original Assignee
Fujitsu Technology Solutions Intellectual Property GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Technology Solutions Intellectual Property GmbH filed Critical Fujitsu Technology Solutions Intellectual Property GmbH
Priority to JP2017526518A priority Critical patent/JP6425816B2/ja
Priority to US15/535,168 priority patent/US10313305B2/en
Priority to PCT/EP2016/064862 priority patent/WO2017001342A1/de
Priority to EP16732610.7A priority patent/EP3318033B1/de
Publication of DE102015116601A1 publication Critical patent/DE102015116601A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Abstract

Die Erfindung betrifft ein Verfahren zum Freischalten externer Computersysteme für eine Kommunikation mit abgesicherten Bearbeitungs-Computersystemen in einer Computernetz-Infrastruktur. Es wird ein Anweisungs-Paket von einem externen Computersystem an ein Vermittlungs-Computersystem innerhalb der Computernetz-Infrastruktur übertragen. Anschließend wird eine zufällige Portnummer eines Netzwerk-Ports durch das Vermittlungs-Computersystem generiert und die zufällige Portnummer an ein Bearbeitungs-Computersystem übertragen. Das Bearbeitungs-Computersystem hält zumindest vorübergehend vorbestimmte Netzwerk-Ports geschlossen, so dass ein Zugriff durch das externe Computersystem über Netzwerk vermittels dieser Netzwerk-Ports verhindert wird, wobei jedoch die zufällige Portnummer und/oder andere Informationen zwischen dem Bearbeitungs-Computersystem und dem Vermittlungs-Computersystem ausgetauscht werden können. Anschließend erfolgt ein Freischalten des zur zufälligen Portnummer korrespondierenden Netzwerk-Ports durch das Bearbeitungs-Computersystem und ein Aufbauen einer Verbindung zum freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems durch das externe Computersystem.

Description

  • Die Erfindung betrifft ein Verfahren zum Freischalten externer Computersysteme für eine Kommunikation mit abgesicherten Bearbeitungs-Computersystemen in einer Computernetz-Infrastruktur, ein verteiltes Rechnernetz mit einer Computernetz-Infrastruktur und zumindest einem externen Computersystem, sowie ein Computerprogramm-Produkt zur Durchführung eines entsprechenden Verfahrens.
  • Verteilte Rechnernetze beschreiben eine Mehrzahl von Computersystemen, die über Datenverbindungen in Computernetz-Infrastrukturen organisiert miteinander kommunizieren können. Anwendung finden verteilte Rechnernetze beispielsweise in Computernetz-Infrastrukturen, welche Server-Client-Topologien umfassen, wobei zum Teil vertrauliche Daten, z. B. Kundendaten oder Benutzerdaten, zwischen einem Client und einem Server ausgetauscht werden und wobei ein Zugriff Dritter auf diese Daten unterbunden werden muss.
  • In abgesicherten Computernetz-Infrastrukturen sind Bearbeitungs-Computersysteme, auf denen (vertrauliche) Daten verarbeitet werden, speziell abgesichert. Beispielsweise können vorbestimmte Netzwerk-Ports der Bearbeitungs-Computersysteme zunächst geschlossen sein, so dass über Netzwerk ein Zugriff beziehungsweise Verbindungsaufbau zu einem jeweiligen Bearbeitungs-Computersystem nicht möglich ist.
  • Herkömmliche Lösungen sehen hier vor, vorbestimmte Anklopf-Signale über Netzwerk an ein Bearbeitungs-Computersystem mit derart geschlossenen Netzwerk-Ports zu senden (so genanntes Port-Knocking), wobei eine vorbestimmte Daten-Sequenz vorbestimmte Netzwerk-Ports des Bearbeitungs-Computersystems anspricht. Diese Daten-Sequenz wird mit einer vorbestimmten Sequenz im Bearbeitungs-Computersystem verglichen, wobei das Bearbeitungs-Computersystem im Erfolgsfall einen oder mehrere Netzwerk-Ports öffnet, um einen Verbindungsaufbau von außen über Netzwerk zu erlauben.
  • Eine Gefahr dieser Maßnahmen besteht darin, dass ein Bearbeitungs-Computersystem somit für Angreifer (Cracker) beziehungsweise nicht-autorisierte Computersysteme, welche einen entsprechenden Port-Knocking-Prozess manipulieren, geöffnet wird. Auf diese Weise ist ein (manipulativer) Zugriff Dritter auf unter Umständen vertrauliche Daten im Bearbeitungs-Computersystem mittels der geöffneten Netzwerk-Ports möglich. Ferner ist für eine Ansprechbarkeit von Diensten im geöffneten Bearbeitungs-Computersystem ein laufendes Programm an einem oder mehreren Netzwerk-Ports des Bearbeitungs-Computersystems erforderlich. Dieses laufende Programm stellt eine potentielle Sicherheitslücke für Angriffe von außen (z. B. über Buffer-Overflow oder so genannte Denial-of-Service-Attacken, DOS) über Netzwerk dar.
  • Eine explizite Authentifizierung eines externen Computersystems direkt an einem Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur für einen Zugriff scheidet bei herkömmlichen Lösungen aus, weil ein Bearbeitungs-Computersystem – wie oben erläutert – zunächst vermittels geschlossener Netzwerk-Ports keinen Verbindungsaufbau von außen zulässt.
  • Umgekehrt gestaltet sich ein Ansprechen eines externen Computersystems, welches einen Zugriff auf ein Bearbeitungs-Computersystem verlangt, vom Bearbeitungs-Computersystem aus oftmals als schwierig oder gar unmöglich, weil das externe Computersystem unter Umständen selbst abgesichert ist und womöglich für einen Verbindungsaufbau nicht ansprechbar ist.
  • Zudem erfolgt ein Zugriff auf Bearbeitungs-Computersysteme innerhalb einer Computernetz-Infrastruktur meist über das Internet oder ein separates Intranet (z. B. für eine Freischaltung von Applikationen), wobei sich derartige Zugriffe oft dadurch auszeichnen, dass die auf die Computernetz-Infrastruktur (z. B. Rechenzentrum) zugreifenden externen Computersysteme über einen privaten Zugang kommen, der keine (eindeutige) öffentliche IP-Adresse verwendet. Beispiele hierfür sind kaskadierte Anbindungen über einen Proxy oder mittels so genannter NAT/PAT-Maskierungs-Verfahren (NAT = Network Adress Translation, PAT = Port Adress Translation).
  • Dies führt dazu, dass grundsätzlich keine Verbindung von einem Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur auf das entsprechende externe Computersystem initiiert werden kann, weil das Bearbeitungs-Computersystem weder die exakte IP-Adresse noch den Port des externen Computersystems aufgrund der Maskierung selbiger nicht kennt. Ferner ist die IP-Adresse gewöhnlich privat und nicht direkt in einem Routing verwendbar. Zudem ist sie gewöhnlich in der Kommunikation hinter einer Firewall abgesichert.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, durch technische Maßnahmen eine gesicherte Freischaltung externer Computersysteme für eine Kommunikation mit abgesicherten Bearbeitungs-Computersystemen innerhalb einer Computernetz-Infrastruktur zu ermöglichen und dennoch den Schutz vor Angriffen auf entsprechende Computersysteme in der Computernetz-Infrastruktur zu verbessern.
  • In einem ersten Aspekt wird diese Aufgabe durch ein Verfahren nach Anspruch 1 gelöst.
  • Bei dem Verfahren werden zum Freischalten externer Computersysteme für eine Kommunikation mit abgesicherten Bearbeitungs-Computersystemen in einer Computernetz-Infrastruktur die folgenden Schritte vorgeschlagen.
  • Zunächst wird ein Anweisungs-Paket von einem externen Computersystem, welches außerhalb der Computernetz-Infrastruktur eingerichtet ist, an ein Vermittlungs-Computersystem innerhalb der Computernetz-Infrastruktur übertragen. Das Anweisungs-Paket signalisiert dem Vermittlungs-Computersystem eine Anweisung des externen Computersystems für eine gewünschte Kommunikation mit einem Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur. Das Anweisungs-Paket kann z.B. als sogenannter Token ausgeführt sein, der dem Vermittlungs-Computersystem vom externen Computersystem gemäß einem bestimmen Übertragungsprotokoll übergeben wird. Das Anweisungs-Paket kann auch (ggf. signierte) Informationen zur Authentifizierung des externen Computersystems enthalten.
  • Ausgelöst durch die Übertragung des Anweisungs-Paketes wird durch das Vermittlungs-Computersystem eine zufällige Portnummer eines Netzwerk-Ports generiert. Die zufällige Portnummer gibt somit einen zufällig ausgewählten Netzwerk-Port für eine weitere verfahrensgemäße Freischaltung eines Bearbeitungs-Computersystems vor. Die Bestimmung der zufälligen Portnummer kann anhand von dem Fachmann bekannten aleatorischen Methoden erfolgen.
  • Die zufällige Portnummer wird automatisiert vom Vermittlungs-Computersystem an das externe Computersystem sowie an zumindest ein Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur übertragen. Das Bearbeitungs-Computersystem hält zumindest vorübergehend gegenüber dem externen Computersystem vorbestimmte Netzwerk-Ports geschlossen, so dass ein Zugriff auf das Bearbeitungs-Computersystem durch das externe Computersystem über Netzwerk vermittels dieser Netzwerk-Ports verhindert wird. Jedoch können die zufällige Portnummer oder andere Informationen zwischen dem Bearbeitungs-Computersystem und dem Vermittlungs-Computersystem ausgetauscht werden. Dieser Vorgang kann über ein gemeinsames Zugangsnetz zwischen dem Vermittlungs-Computersystem und dem Bearbeitungs-Computersystem oder über ein hierzu vorgesehenes spezielles Verbindungsnetz zwischen dem Vermittlungs-Computersystem und dem Bearbeitungs-Computersystem erfolgen.
  • Ferner erfolgt verfahrensgemäß ein Freischalten des zu zufälligen Portnummer korrespondierenden Netzwerk-Ports durch das Bearbeitungs-Computersystem für eine Kommunikation mit dem externen Computersystem und ein nachfolgendes Aufbauen einer Verbindung zum freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems durch das externe Computersystem.
  • Bei dem erläuterten Verfahren sind initial alle vorbestimmten Netzwerk-Ports des Bearbeitungs-Computersystems gegenüber dem externen Computersystem für einen Zugriff durch das externe Computersystem geschlossen. Das Bearbeitungs-Computersystem verhält sich somit gegenüber dem externen Computersystem als eingekapseltes (speziell abgesichertes) System. Ein Zugriff des externen Computersystems über ein Netzwerk auf das Bearbeitungs-Computersystem ist zumindest unter bestimmten Betriebsbedingungen (vorteilhaft dauerhaft während der Durchführung des hier erläuterten Verfahrens ohne gezielte Freischaltung) nicht oder nur deutlich erschwert möglich. Verbindungsversuche durch das externe Computersystem auf das Bearbeitungs-Computersystem werden in diesem Fall durch das Bearbeitungs-Computersystem ignoriert bzw. verworfen. Dies kann durch gezielte Portfilter, Portsperren und/oder Firewall-Regeln erreicht werden.
  • Vorteilhaft hält das Bearbeitungs-Computersystem auch gegenüber dem Vermittlungs-Computersystem zumindest vorübergehend vorbestimmte Netzwerk-Ports derart geschlossen, dass ein Zugriff auf das Bearbeitungs-Computersystem durch das Vermittlungs-Computersystem über Netzwerk vermittels dieser Netzwerk-Ports verhindert wird. Verbindungsversuche durch das Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem werden in diesem Fall durch das Bearbeitungs-Computersystem ignoriert bzw. verworfen. Dies kann durch gezielte Portfilter, Portsperren und/oder Firewall-Regeln, z.B. speziell für die IP-Adresse des Vermittlungs-Computersystems, erreicht werden. Jedoch kann das Bearbeitungs-Computersystem auf das Vermittlungs-Computersystem zugreifen, um die zufällige Portnummer oder andere Informationen vom Vermittlungs-Computersystem abzuholen.
  • Der Begriff „vorbestimmte Netzwerk-Ports“ bedeutet, dass im Bearbeitungs-Computersystem sämtliche oder nur ausgewählte sicherheitskritische Netzwerk-Ports, z. B. die für dieses Verfahren verwendeten Netzwerk-Ports, dauerhaft (diese werden bei der Generierung der zufälligen Portnummer nicht berücksichtigt und gemäß dem erläuterten Verfahren nie freigeschaltet) oder vorübergehend (diese werden bei der Generierung der zufälligen Portnummer berücksichtigt und können selektiv gemäß dem erläuterten Verfahren freigeschaltet werden) geschlossen sind.
  • Dies hat den Vorteil, dass auf dem Bearbeitungs-Computersystem für ein Freischalten einer Kommunikation mit einem externen Computersystem initial keine Programme oder Dienste eingerichtet beziehungsweise verfügbar sind, die zum Zwecke der Ansprechbarkeit beziehungsweise des Verbindungsaufbaus von außen die entsprechenden Netzwerk-Ports abhören (so genanntes „Listening“) und somit eine potentielle Sicherheitslücke (z. B. für Buffer-Overflow oder DoS-Attacken bzw. sog. distributed DoS-Attacken) bilden. Somit bedeutet der Begriff „geschlossene Netzwerk-Ports“ in diesem Kontext, dass diese keine „Listening Ports“ sind, das heißt, (ohne verfahrensgemäße autorisierte Freischaltung) kein Verbindungsaufbau von außen zugelassen wird. Ein Dritter (Cracker) ist in diesem Fall nicht in der Lage, sich von außen über Netzwerk am Bearbeitungs-Computersystem zu authentifizieren oder einzuloggen, z. B. bei Unix-basierten Systemen über einen Secure-Shell-(SSH-)-Daemon, einen http-Dienst oder sonstige Dienste/Applikation usw., oder spezielle Aktionen auf dem Bearbeitungs-Computersystem durchzuführen.
  • Allerdings kann für eine vorbestimmte Benutzergruppe ein lokaler Zugriff auf das Bearbeitungs-Computersystem eingerichtet sein (z. B. für ein Sicherheitspersonal). Für andere Dritte wird jedoch ein lokaler Zugriff auf das Bearbeitungs-Computersystem verhindert.
  • Durch die generelle Abschottung des Bearbeitungs-Computersystems gemäß der erläuterten Art und Weise ist somit ein Angriff über Netzwerk erschwert, weil eine entscheidende Angriffsmöglichkeit, nämlich laufende Dienste oder Programme an geöffneten („Listening“) Netzwerk-Ports der jeweiligen Systeme unterbunden sind. Somit sind bei dem erläuterten Verfahren insbesondere sicherheitskritische Daten, welche lokal auf dem Bearbeitungs-Computersystem verarbeitet werden, gegen Angriffe geschützt.
  • Zum Freischalten einer Kommunikation zwischen dem externen Computersystem außerhalb der Computernetz-Infrastruktur und dem Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur erlaubt das Verfahren im Unterschied zum Bearbeitungs-Computersystem einen Zugriff von außerhalb der Computernetz-Infrastruktur auf das zumindest eine Vermittlungs-Computersystem innerhalb der Computernetz-Infrastruktur. Das Vermittlungs-Computersystem ist als „offenes“ System mit wenigstens einem ansprechenbaren offenen („Listening“) Netzwerk-Port über Netzwerk zugänglich. Das bedeutet, dass auf dem Vermittlungs-Computersystem beispielsweise Programme laufen und/oder Applikationen (Dienste) vorbereitet sind, so dass das Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur oder das externe Computersystem außerhalb der Computernetz-Infrastruktur jeweils auf das Vermittlungs-Computersystem zugreifen können und eine Verbindung zum Vermittlungs-Computersystem aufbauen können, um Datenpakete oder sonstige Informationen (über eine dann aufgebaute Verbindung, „Established“) im Vermittlungs-Computersystem abzulegen oder von dort abzuholen. Unter Sicherheitsaspekten ist ein solches „offenes“ Vermittlungs-Computersystem ähnlich zu bewerten wie ein traditionelles, speziell abgesichertes Computersystem.
  • Somit dient das Vermittlungs-Computersystem als (abgesicherter, aber ansprechbarer) Vermittler für eine Kommunikation zwischen dem Bearbeitungs-Computersystem und dem externen Computersystem.
  • Vorteilhaft erfolgt ein Verbindungsaufbau zwischen dem Bearbeitungs-Computersystem und dem Vermittlungs-Computersystem innerhalb der Computernetz-Infrastruktur über ein internes Netzwerk, welches beispielsweise als „Virtual Private Network“ (VPN) oder Secure-Shell-Netzwerk (SSH) oder als eine Kombination davon abgesichert ist.
  • Ein Verbindungsaufbau vom externen Computersystem außerhalb der Computernetz-Infrastruktur auf das Vermittlungs-Computersystem innerhalb der Computernetz-Infrastruktur erfolgt beispielsweise über Internet oder über ein Routing von einem separaten Intranet aus (z. B. ein Client-Intranet). Beispielsweise kann das externe Computersystem ein Client sein, der hinter einem NAT- und/oder PAT-Router sitzt. Dabei erfolgt ein Verbindungsaufbau zum Vermittlungs-Computersystem von einem lokalen Client-Intranet über eine private Quell-IP-Adresse des Clients aus, welche im Router mit einer öffentlichen IP-Adresse des Routers maskiert wird.
  • Gemäß dem erläuterten Verfahren erfolgt für eine Freischaltung des externen Computersystems für eine Kommunikation mit dem zunächst abgesicherten Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur die Generierung einer zufälligen Portnummer eines Netzwerk-Ports durch das Vermittlungs-Computersystem. Diese Generierung wird durch das Übertragen des Anweisungs-Paketes vom externen Computersystem an das Vermittlungs-Computersystem ausgelöst.
  • Das Anweisungs-Paket enthält vorteilhaft eine Anweisung bzw. einen Befehl zum Freischalten und Herstellen einer Kommunikationsverbindung zwischen dem externen Computersystem und einem dedizierten Bearbeitungs-Computersystem, zum Beispiel zum Zugreifen auf einen Dienst oder eine Anwendung in diesem Bearbeitungs-Computersystem. Das Anweisungs-Paket kann auch signierte Informationen über das externe Computersystem enthalten. Diese können gegebenenfalls Informationen über einen anzusprechenden Dienst oder allgemein Prozess auf dem Bearbeitungs-Computersystem umfassen, welcher vom externen Computersystem angesprochen werden soll. Es ist auch denkbar Authentifizierungs-Informationen zur Authentifizierung des externen Computersystems im Anweisungs-Paket vorzusehen. Eine Signierung entsprechender Informationen im Anweisungs-Paket hat den Vorteil, dass eine Manipulation des Anweisungs-Paketes erschwert wird. Vorteilhaft wird das Anweisungs-Paket im externen Computersystem vor der Übertragung an das Vermittlungs-Computersystem verschlüsselt.
  • Die Generierung der zufälligen Portnummer kann bereits während eines Verbindungsaufbaus zur Übertragung des Anweisungs-Paketes vom externen Computersystem zum Vermittlungs-Computersystem automatisiert erfolgen. Es ist alternativ auch denkbar die Generierung der zufälligen Portnummer erst im Nachgang eines Verbindungsaufbaus, d.h. nach erfolgreichem Aufbauen einer Verbindung, zwischen dem externen Computersystem und dem Vermittlungs-Computersystem durchzuführen.
  • Die generierte zufällige Portnummer gibt einen spezifischen Netzwerk-Port im Bearbeitungs-Computersystem vor, der als Ziel-Port (so genannter „destination port“) für einen Verbindungsaufbau vom externen Computersystem zum Bearbeitungs-Computersystem freigeschaltet werden soll. Die zufällige Portnummer wird optional nach ihrer Generierung im Vermittlungs-Computersystem verschlüsselt. Die Verschlüsselung erfolgt vorteilhaft so, dass der Wert (ausschließlich) vom externen Computersystem und vom Bearbeitungs-Computersystem entschlüsselt werden kann zur weiteren verfahrensgemäßen Verarbeitung der zufälligen Portnummer.
  • Die generierte zufällige Portnummer wird vorteilhaft um die für das Vermittlungs-Computersystem (und damit auch für das Bearbeitungs-Computersystem) sichtbare IP-Adresse, die dem externen Computersystem zuordenbar ist, ergänzt. Diese IP-Adresse kann z.B. diejenige eines NAT-Routers sein, von dem das Vermittlungs-Computersystem das Anweisungs-Paket unmittelbar erhalten hat. Die zufällige Portnummer kann beispielsweise gemeinsam mit der dem externen Computersystem zuordenbaren IP-Adresse in ein Daten-Paket eingepackt werden, welches anschließend vom Vermittlungs-Computersystem an das Bearbeitungs-Computersystem übertragen wird. Das Daten-Paket kann optional auch die Informationen aus dem Anweisungs-Paket enthalten und insoweit mit dem Anweisungs-Paket übereinstimmen. Vorteilhaft wird auch dieses Daten-Paket verschlüsselt.
  • Zum Übertragen der zufälligen Portnummer und ggf. der dem externen Computersystem zuordenbaren IP-Adresse auf das Bearbeitungs-Computersystem wird ein Prozess angestoßen, wobei zwischen dem Bearbeitungs-Computersystem und dem Vermittlungs-Computersystem über Netzwerk eine Verbindung aufgebaut wird.
  • In dem Fall, dass das Bearbeitungs-Computersystem auch gegenüber dem Vermittlungs-Computersystem die maßgeblichen Netzwerk-Ports geschlossen hält und keinen Verbindungsaufbau vom Vermittlungs-Computersystem aus zulässt, wird zum Übertragen der zufälligen Portnummer und ggf. der dem externen Computersystem zuordenbaren IP-Adresse auf das Bearbeitungs-Computersystem ein Prozess angestoßen, wobei das Bearbeitungs-Computersystem selbst das Vermittlungs-Computersystem über Netzwerk anspricht und eine Verbindung zum Vermittlungs-Computersystem aufbaut.
  • Die oben erläuterten Informationen (zufällige Portnummer und gegebenenfalls IP-Adresse) können im Weiteren im Vermittlungs-Computersystem aufgerufen und automatisiert über eine hergestellte Verbindung („Established“) vom Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem übertragen werden. Vorteilhaft ist das automatisierte Übertragen so ausgestaltet, dass ein Dritter von außen darauf keine oder nur sehr erschwert Einflussmöglichkeiten hat und somit eine Gefahr von Manipulationen der ausgetauschten Daten oder eines der beteiligten Computersysteme ausgeschlossen bzw. stark reduziert ist.
  • Nach erfolgreicher Übertragung der zufälligen Portnummer erfolgt eine Freischaltung des zur zufälligen Portnummer korrespondierenden Netzwerk-Ports im Bearbeitungs-Computersystem. Im Falle einer Übertragung der dem externen Computersystem zuordenbaren IP-Adresse als Quell-IP-Adresse bedeutet der Begriff „Freischaltung“ in diesem Kontext eine Freigabe dieser Quell-IP-Adresse selektiv am Ziel-Netzwerk-Port des Bearbeitungs-Computersystems, der der zufälligen Portnummer entspricht, für einen Verbindungsaufbau und eine anschließende Kommunikation zu und mit dem Bearbeitungs-Computersystem (über einen aus einer Vielzahl von Quell-Netzwerk-Ports in Kombination mit der Quell-IP-Adresse).
  • Vorteilhaft erfolgt im Bearbeitungs-Computersystem eine Umleitung des durch die zufällige Portnummer bestimmten freigeschalteten Netzwerk-Ports auf einen Port, der standardmäßig einem bestimmten Dienst oder Daemon zugeordnet ist. Auf diese Weise ist der entsprechende Dienst über den freigeschalteten Netzwerk-Port ansprechbar, ohne den Dienst bei jedem Freischalten erneut für einen zufälligen Netzwerk-Port einzurichten. Diese Zuordnung kann dynamisch bei jeder Freischaltung erfolgen oder statisch vorab festgelegt sein.
  • Nach dem Freischalten des durch die zufällige Portnummer bestimmten Netzwerk-Ports durch das Bearbeitungs-Computersystem erfolgt schließlich ein Aufbauen einer Verbindung (neue Session) zu diesem selektiv freigeschalteten Netzwerk-Port durch das externe Computersystem (via der freigeschalteten IP-Adresse und einem bestimmten Quell-Netzwerk-Port).
  • Es ist vorteilhaft, einen entsprechenden Verbindungsaufbau nur in einem vorbestimmten Zeitrahmen, der unter Umständen applikationsabhängig entsprechend kurz sein kann (z. B. je nach Netzwerkgeschwindigkeit einige Millisekunden oder einige Sekunden, z.B. bis zu 20 Sekunden, oder auch bis zu einigen Minuten), zuzulassen. Erfolgt in dem vorgegebenen Zeitrahmen kein entsprechender Verbindungsaufbau durch das externe Computersystem, so wird der selektiv freigeschaltete Netzwerk-Port des Bearbeitungs-Computersystems aus Sicherheitsgründen wieder geschlossen, um die Gefahr eines missbräuchlichen Verbindungsaufbaus oder die manipulative Ausnutzung des geöffneten Netzwerk-Ports (z.B. vermittels eines Port-Scannings) durch Computersysteme mit der (zufällig) selben IP-Adresse, die z.B. hinter demselben NAT-Router sitzen, zu reduzieren.
  • Eine Anwendung des vorliegenden Verfahrens ist beispielsweise ein Freischalten einer Applikation auf dem Bearbeitungs-Computersystem für einen externen Client, welcher über Internet eine gezielte (und in gewissem Rahmen dennoch beschränkte und abgesicherte) Freischaltung des Bearbeitungs-Computersystems innerhalb der Computernetz-Infrastruktur anfragt.
  • Der generelle Vorteil des hier erläuterten Verfahrens besteht darin, dass ein unsicheres und angreifbares Öffnen von Netzwerk-Ports am Bearbeitungs-Computersystem auf eine manipulierbare Anfrage eines externen Computersystems hin (z.B. via Port-Knocking) vermieden wird. Darüber hinaus muss/kann das Bearbeitungs-Computersystem keine Verbindung nach außerhalb der Computernetz-Infrastruktur aufbauen, um eine Authentifizierung einer (zunächst) unbekannten Quelle durchzuführen. Ferner wird verhindert, dass das Bearbeitungs-Computersystem eine Verbindung nach außen zulässt, ohne zu wissen, ob das Gegenüber überhaupt vertrauenswürdig ist.
  • Vor einer Freischaltung einer Kommunikation mit einem externen Computersystem erfolgt lediglich eine abgesicherte Kommunikation mit dem internen Vermittlungs-Computersystem innerhalb der Computernetz-Infrastruktur seitens des Bearbeitungs-Computersystems zum Abholen von Informationen über eine generierte zufällige Portnummer und gegebenenfalls eine Quell-IP-Adresse des externen Computersystems zur Freischaltung eines korrespondierenden Netzwerk-Ports, wie oben erläutert. Erst danach erfolgt ein gezieltes Freischalten des entsprechenden Netzwerk-Ports und gegebenenfalls der Quell-IP-Adresse für eine Kommunikation mit dem externen Computersystem.
  • Ein Angreifer, der (zufällig) dieselbe IP-Adresse verwendet wie das externe Computersystem, z.B. weil der Angreifer hinter demselben NAT-Router sitzt, hat die Möglichkeit, in der begrenzten Zeit der Freischaltung des Netzwerk-Ports im Bearbeitungs-Computersystem für das externe Computersystem, zum Beispiel während der Initialisierungsphase eines Verbindungsaufbaus, Manipulationen am Bearbeitungs-Computersystem vorzunehmen. Ein Angreifer könnte zum Beispiel einen so genannten „Zero-Day-Exploit“ ausnutzen, um einen Angriff auf das Bearbeitungs-Computersystem zu starten. Bereits wegen der hierfür anzunehmenden Umstände (dieselbe für das Bearbeitungs-Computersystem sichtbare IP-Adresse, passender Zeit Slot, sowie Vorhandensein und Zugriff auf Manipulationsmöglichkeiten wie z.B. einen Zero-Day-Exploit) ist die Wahrscheinlichkeit und Möglichkeit für einen entsprechenden Angriff als sehr gering anzusehen.
  • Durch die Verwendung eines für jede externe Verbindung zufällig freigeschalteten Netzwerk-Ports (aufgrund einer jeweils im Vermittlungs-Computersystem generierten zufälligen Portnummer) sinkt die Wahrscheinlichkeit für einen Angriff zum passenden Zeitpunkt und am passenden Netzwerk-Port gegenüber herkömmlichen Varianten nochmals deutlich. Auch die für einen Angriff notwendigen Portscans werden wesentlich aufwändiger. Somit wird durch die verfahrensgemäßen Maßnahmen der oben erläuterten Art, insbesondere durch das Generieren einer zufälligen Portnummer für die Freischaltung eines korrespondierenden Netzwerk-Ports, die Wahrscheinlichkeit für einen Angriff auf das Bearbeitungs-Computersystem extrem reduziert.
  • Vorteilhaft wird nach dem Aufbauen einer Verbindung zum selektiv freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems, über die die nachfolgende Kommunikation mit dem externen Computersystem läuft, folgender zusätzlicher Schritt durchgeführt:
    • – Begrenzen der Kommunikation zwischen dem Bearbeitungs-Computersystem und dem externen Computersystem auf den freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems und einen Netzwerk-Port des externen Computersystems, der dem Bearbeitungs-Computersystem (als Quell-Netzwerk-Port) durch die aufgebaute Verbindung bekannt ist. Bei diesen Maßnahmen ist zu berücksichtigen, dass ggf. parallel stattfindende Verbindungsaufbauten mehrerer Computersysteme sich nicht gegenseitig beeinträchtigen.
  • Eine Begrenzung auf den selektiven Quell-Netzwerk-Port des externen Computersystems hat den Vorteil, dass anderweitige Kommunikationen unterbunden werden. So kann das externe Computersystem nur eingeschränkt auf einzelne Netzwerk-Ports (auf beiden Seiten), also Quell-Netzwerk-Port des externen Computersystems und freigeschalteter in Ziel-Netzwerk-Port des Bearbeitungs-Computersystems, mit dem Bearbeitungs-Computersystem kommunizieren. Der selektive Netzwerk-Port des externen Computersystems kann beispielsweise der Quell-Netzwerk-Port der letzten Übertragung vermittels der aufgebauten („Established“) Verbindung sein. Falls beispielsweise das externe Computersystem hinter einem NAT-Router sitzt, wird verhindert, dass nicht-autorisierte Systeme oder Angreifer, welche ebenfalls hinter dem NAT-Router sitzen, neben der bereits hergestellten Verbindung zwischen dem externen Computersystem und dem Bearbeitungs-Computersystem eine weitere Verbindung zum Bearbeitungs-Computersystem (via derselben Quell-IP-Adresse und einem anderen Quell-Netzwerk-Port des NAT-Routers) aufbauen können und somit nicht-autorisierten Zugriff auf das Bearbeitungs-Computersystem erhalten. Die vorgenannten Maßnahmen erlauben somit eine gezielte Beschränkung eines Zugriffs auf das Bearbeitungs-Computersystem über eine autorisierte (einzelne) Netzwerk-Verbindung. Andere nicht-autorisierte Verbindungen beziehungsweise deren Aufbauversuche werden im Bearbeitungs-Computersystem verworfen beziehungsweise nicht berücksichtigt.
  • Bevorzugt werden bei dem Verfahren der erläuterten Art die folgenden zusätzlichen Schritte durchgeführt:
    • – Übertragen einer ersten Zufallszahl vom externen Computersystem an das Vermittlungs-Computersystem,
    • – Generieren einer zweiten Zufallszahl durch das Vermittlungs-Computersystem,
    • – Übertragen der zweiten Zufallszahl vom Vermittlungs-Computersystem an das externe Computersystem sowie
    • – Übertragen der ersten und zweiten Zufallszahl vom Vermittlungs-Computersystem an das Bearbeitungs-Computersystem.
  • In dem Fall, dass das Bearbeitungs-Computersystem auch gegenüber dem Vermittlungs-Computersystem die maßgeblichen Netzwerk-Ports geschlossen hält und keinen Verbindungsaufbau vom Vermittlungs-Computersystem aus zulässt, wird zum Übertragen der ersten und zweiten Zufallszahl auf das Bearbeitungs-Computersystem ein Prozess angestoßen, wobei das Bearbeitungs-Computersystem auf das Vermittlungs-Computersystem zugreift, um die erste und zweite Zufallszahl vom Vermittlungs-Computersystem abzuholen.
  • Die Erzeugung und Übertragung von Zufallszahlen zwischen den beteiligten Computersystemen (externes Computersystem, Vermittlungs-Computersystem sowie Bearbeitungs-Computersystem) dient vorteilhaft sowohl der Validierung des externen Computersystems gegenüber der Computernetz-Infrastruktur als auch der Prüfung von Manipulationsversuchen oder Fälschungen des erläuterten Prozesses im Vermittlungs-Computersystem. Da die Zufallszahlen ihrem Begriff nach für eine einzelne Freischaltung eines externen Computersystems zufällig erzeugt werden, gelten sie nur für diese Freischaltung. Somit ist eine reproduzierte Fälschung von Zufallszahlen zur Manipulation zukünftiger Freischaltungen extrem erschwert bzw. kaum möglich. Aufgrund der Erzeugung einer jeweiligen Zufallszahl sowohl im externen Computersystem als auch im Vermittlungs-Computersystem ist eine Validierung der beteiligten Computersysteme bzw. eine Prüfung einzelner Prozessschritte durch das Bearbeitungs-Computersystem möglich. Die Generierung der Zufallszahlen kann anhand von dem Fachmann bekannten aleatorischen Methoden erfolgen.
  • Vorteilhaft werden die Zufallszahlen von den betreffenden Computersystemen, in denen sie erzeugt werden, derart verschlüsselt, dass nur das Bearbeitungs-Computersystem diese entschlüsseln kann. Eine Verschlüsselung kann zum Beispiel mithilfe eines asymmetrischen Verschlüsselungsverfahrens (z.B. Verfahren mit einem öffentlichen und einem privaten Schlüssel) durchgeführt werden. Auf diese Weise wird erschwert, dass ein anderes als das Bearbeitungs-Computersystem die jeweilige Zufallszahl lesen geschweige denn manipulieren kann. Hierzu müsste zunächst eine Verschlüsselung überwunden werden.
  • Die Funktionalität der Zufallszahlen wird im Folgenden anhand eines Beispiels näher erläutert. Vom externen Computersystem wird eine erste Zufallszahl Z1 generiert und an das Vermittlungs-Computersystem übertragen. Die Zufallszahl Z1 kann beispielsweise dem Anweisungs-Paket beigefügt sein. Z1 wird dabei so verschlüsselt, dass der Inhalt nur vom Bearbeitungs-Computersystem gelesen werden kann. Während oder nach der Übertragung des Anweisungs-Paketes vom externen Computersystem an das Vermittlungs-Computersystem wird durch das Vermittlungs-Computersystem eine zweite Zufallszahl Z2 generiert. Z2 wird ebenfalls so verschlüsselt, dass nur das Bearbeitungs-Computersystem diese entschlüsseln kann. Z2 wird während oder nach der Übertragung des Anweisungs-Paketes vom Vermittlungs-Computersystem an das externe Computersystem übertragen. Es existieren nach dem Austausch von Z1 und Z2 zwischen dem externen Computersystem und dem Vermittlungs-Computersystem also bei jedem der beiden Computersysteme diese beiden Zufallszahlen Z1 und Z2, von denen jeweils eine auf dem Computersystem selbst und die andere auf dem anderen Computersystemen generiert wurde. Dabei ist Z1 nicht vom Vermittlungs-Computersystem und Z2 nicht vom externen Computersystem lesbar, da verschlüsselt. Z1 und Z2 werden (ggf. zusammen mit anderen Informationen) in einem weiteren Schritt vom Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem übertragen. Im Bearbeitungs-Computersystem können die Zufallszahlen Z1 und Z2 anschließend geprüft werden, wie weiter unten erläutert wird.
  • Vorteilhaft wird die erste Zufallszahl Z1 vor dem Übertragen mit einer Signatur des externen Computersystems signiert. Weiterhin wird vorteilhaft die im Vermittlungs-Computersystem generierte zweite Zufallszahl Z2 vor dem Übertragen mit einer Signatur des Vermittlungs-Computersystems signiert. Eine jeweilige Signatur der Zufallszahlen im erzeugenden Computersystem hat den Vorteil, dass die Zufallszahlen auf das erzeugende Computersystem hin verifiziert werden können. Dadurch ist eine gewisse Sicherheit gegen Fälschungen der Zufallszahlen durch andere, unter Umständen nicht vertrauenswürdige, Computersysteme gegeben. Eine Signatur kann beispielsweise durch einen privaten Schlüssel des entsprechenden Computersystems vorgenommen werden.
  • Bevorzugt werden die Signaturen der Zufallszahlen dadurch erweitert, dass nach Übertragen der signierten ersten Zufallszahl Z1 vom externen Computersystem an das Vermittlungs-Computersystem die Signatur der ersten Zufallszahl Z1 mit einer weiteren Signatur des Vermittlungs-Computersystems signiert wird und dass nach Übertragen der signierten zweiten Zufallszahl Z2 vom Vermittlungs-Computersystem an das externe Computersystem die Signatur der zweiten Zufallszahl Z2 mit einer weiteren Signatur des externen Computersystems signiert wird. Auf diese Weise werden die signierten Zufallszahlen Z1 und Z2 durch das jeweils andere Computersystem nochmals signiert. Somit ist die Reihenfolge des Transfers der Zufallszahlen Z1 und Z2 zwischen dem externen Computersystem und dem Vermittlungs-Computersystem für eine weitere Prüfung, zum Beispiel im Bearbeitungs-Computersystem, nachvollziehbar.
  • Vorteilhaft werden nach dem Aufbauen einer Verbindung zum selektiv freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems durch das externe Computersystem folgende Schritte durchgeführt:
    • – Übertragen der ersten und zweiten Zufallszahl vom externen Computersystem unmittelbar auf das Bearbeitungs-Computersystem vermittels der aufgebauten Verbindung sowie
    • – Prüfen einer jeweiligen Übereinstimmung der ersten und zweiten Zufallszahl, die durch das Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem übertragen wurden, mit der ersten und zweiten Zufallszahl, die durch das externe Computersystem unmittelbar auf das Bearbeitungs-Computersystem übertragen wurden, im Bearbeitungs-Computersystem.
  • Aufgrund der erläuterten Maßnahmen liegen somit im Bearbeitungs-Computersystem schlussendlich zwei Paare von Zufallszahlen (Z1 und Z2) vor. Das eine Paar wurde vom Vermittlungs-Computersystem an das Bearbeitungs-Computersystem übertragen und das andere Paar wurde vom externen Computersystem an das Bearbeitungs-Computersystem übertragen. Im Bearbeitungs-Computersystem kann eine Übereinstimmung der beiden Paare von Zufallszahlen, konkret eine Übereinstimmung der beiden ersten Zufallszahlen (Z1) und eine Übereinstimmung der beiden zweiten Zufallszahlen (Z2) geprüft werden. Insbesondere werden die Zufallszahlen im Bearbeitungs-Computersystem entschlüsselt und anhand der mehrfachen Signaturen der Zufallszahlen (wie oben erläutert) der Austausch der Zufallszahlen zwischen dem externen Computersystem und dem Vermittlungs-Computersystem durch das Bearbeitungs-Computersystem nachvollzogen. Ferner werden die Werte der jeweiligen Zufallszahlen miteinander verglichen.
  • Vorteilhaft wird eine nach Freischaltung des entsprechenden Netzwerk-Ports hergestellte Verbindung zwischen dem externen Computersystem und dem Bearbeitungs-Computersystem durch das Bearbeitung-Computersystem abgebaut, wenn das oben erläuterte Prüfen der jeweiligen Übereinstimmung der ersten und zweiten Zufallszahlen (Z1 und Z2) durch das Bearbeitungs-Computersystem negativ ausfällt. Dann geht das Bearbeitungs-Computersystem davon aus, dass ein Manipulationsversuche vorliegt und bricht die Verbindung zum externen Computersystem aus Sicherheitsgründen ab.
  • Durch die erläuterten Maßnahmen der Generierung, des Austausches und der Überprüfung von mehreren Zufallszahlen zwischen den beteiligten Computersystemen wird eine Manipulation einer Freischaltung des externen Computersystems extrem erschwert. Dabei wird sowohl ein Manipulationsversuch von Seiten eines externen Computersystems als auch ein Manipulationsversuch von Seiten des Vermittlungs-Computersystems vermittels einer Überprüfung der Zufallszahlen durch das Bearbeitungs-Computersystem erkannt und entsprechende Maßnahmen (Abbau der externen Verbindung) durchgeführt.
  • In dem Fall, dass das Bearbeitungs-Computersystem auch gegenüber dem Vermittlungs-Computersystem die maßgeblichen Netzwerk-Ports geschlossen hält und keinen Verbindungsaufbau vom Vermittlungs-Computersystem aus zulässt, wie oben erläutert, umfasst das Übertragen der zufälligen Portnummer oder anderer Informationen vom Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem vorteilhaft die folgenden Schritte:
    • – Senden einer vorbestimmten Daten-Sequenz vom Vermittlungs-Computersystem oder vom externen Computersystem an das Bearbeitungs-Computersystem, wobei die vorbestimmten Netzwerk-Ports des Bearbeitungs-Computersystems geschlossen sind und wobei die Sequenz in einer vorbestimmten Reihenfolge einen oder mehrere Netzwerk-Ports des Bearbeitungs-Computersystems anspricht,
    • – Überprüfen der gesendeten Daten-Sequenz auf Übereinstimmung mit einer vordefinierten Sequenz im Bearbeitungs-Computersystem, sowie
    • – Veranlassen des Übertragens der zufälligen Portnummer oder anderer Informationen durch das Bearbeitungs-Computersystem, falls die Überprüfung der gesendeten Sequenz positiv ist, wobei das Bearbeitungs-Computersystem seinerseits eine Verbindung zum Vermittlungs-Computersystem aufbaut und die zufällige Portnummer oder andere Informationen vom Vermittlungs-Computersystem abholt.
  • Die Maßnahmen haben den Vorteil, dass grundsätzlich die (für das Verfahren maßgeblichen) Netzwerk-Ports des Bearbeitungs-Computersystems – in oben erläutertem Sinne – initial geschlossen sind und einen Verbindungsaufbau zum Bearbeitungs-Computersystem von außen blockieren beziehungsweise einen manipulativen Zugriff deutlich erschweren. Für sämtliche externen Computersysteme hat das Bearbeitungs-Computersystem dauerhaft (bis auf eine kurze Zeitspanne, in der eine bestimmte Quell-IP-Adresse gemäß den obigen Schritten freigeschaltet ist) geschlossene Netzwerk-Ports und blockiert jeglichen Verbindungsaufbau. Auch gegenüber dem Vermittlungs-Computersystem wird in diesem Fall jeglicher Verbindungsaufbau blockiert.
  • Das Veranlassen des Übertragens der zufälligen Portnummer oder anderer Informationen vermittels des Bearbeitungs-Computersystems zur Authentifizierung eines freizuschaltenden externen Computersystems kann ein automatisierter Prozess zum Übertragen der zufälligen Portnummer oder anderer Informationen auf das Bearbeitungs-Computersystem (z. B. über den Unix-basierten Befehl „Secure copy“, scp) sein. Gemäß dem Prozess baut das Bearbeitungs-Computersystem seinerseits eine Verbindung zum Vermittlungs-Computersystem auf und holt die zufällige Portnummer oder andere Informationen ab. Dieser Prozess kann durch das Bearbeitungs-Computersystem gestartet werden, nachdem eine vorbestimmte Daten-Sequenz an das Bearbeitungs-Computersystem gesendet wurde, falls diese Daten-Sequenz mit einer vordefinierten Sequenz übereinstimmt. Das Sequenz-sendende Computersystem kann das Vermittlungs-Computersystem oder alternativ das externe Computersystem sein. Die IP-Adresse des Sequenz-sendenden Computersystems kann dabei statisch im Bearbeitungs-Computersystem vorgegeben oder dynamisch aus den dem Kernel des Bearbeitungs-Computersystems bekannten Quell-IP-Adressen möglicher Sequenz-sendender Computersysteme entnommen werden.
  • Wie bereits eingangs erläutert, ist ein derartiges Verfahren unter dem Begriff „Port-Knocking“ (Englisch: to knock = anklopfen) bekannt. Die vorgenannten Schritte können beispielsweise über einen so genannten Knock-Daemon, also ein Programm, welches Port-Knocking ermöglicht, durchgeführt werden. Der Knock-Daemon wird durch den Kernel des Bearbeitungs-Computersystems über eintreffende Datenpakete (Daten-Sequenz) informiert, die vom Kernel nicht weiter ausgewertet wurden, überprüft die an das Bearbeitungs-Computersystem gesendete Daten-Sequenz und veranlasst gegebenenfalls (z. B. durch Starten eines Skriptes/Programmes) ein gesteuertes Übertragen der zufälligen Portnummer oder anderer Informationen vom Vermittlungs-Computersystem an das Bearbeitungs-Computersystem, wenn die gesendete Daten-Sequenz mit der vordefinierten Sequenz übereinstimmt. Der oben beschriebene Ablauf ermöglicht somit – aktiviert durch das Bearbeitungs-Computersystem, welches einen entsprechenden Dienst auf dem Vermittlungs-Computersystem über Netzwerk anspricht – das Übertragen/Kopieren der zufälligen Portnummer oder anderer Informationen vom Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem, ohne dass das Bearbeitungs-Computersystem hierfür einen offenen Netzwerk-Port mit einem ansprechbaren Programm vorhalten muss. Alternativ können auch andere Verfahren, die zu einem vergleichbaren Ergebnis führen, verwendet werden.
  • Alternativ oder ergänzend zum oben erläuterten Port-Knocking ist auch denkbar, dass das Bearbeitungs-Computersystem von sich aus in regelmäßigen Abständen beim Vermittlungs-Computersystem anfragt (so genanntes Polling), ob eine oder mehrere auszutauschende Informationen in obigem Sinne vorliegen. Ist dies der Fall, kann eine entsprechende Übertragung der Informationen vom Vermittlungs-Computersystem an das Bearbeitungs-Computersystem initiiert werden, wie oben erläutert. Es ist auch denkbar, dass das Bearbeitungs-Computersystem ein Polling durchführt, wenn z. B. eine bestimmte Zeitspanne überschritten wird, in der kein Port-Knocking seitens des Vermittlungs-Computersystems oder des externen Computersystems durchgeführt worden ist. Probleme beim Port-Knocking können so erkannt werden und die Funktionalität der Computernetz-Infrastruktur bleibt erhalten.
  • Alternativ zu den genannten Lösungen (Port-Knocking, Polling) wäre auch denkbar, ein spezielles Verbindungsnetz zwischen dem Vermittlungs-Computersystem und dem Bearbeitungs-Computersystem vorzusehen, wobei das Bearbeitungs-Computersystem zumindest einen Netzwerk-Port zur Ansprechbarkeit über dieses spezielle Verbindungsnetz geöffnet hat. Über das Verbindungsnetz könnten dann die in obigem Sinne auszutauschenden Informationen vom Vermittlungs-Computersystem an das Bearbeitungs-Computersystem übertragen werden. Dabei kann vorteilhaft ein anderes Protokoll verwendet werden als für eine Verbindung zwischen dem externen Computersystem und dem Vermittlungs-Computersystem vorgesehen ist. Ein solcher Protokollwechsel erhöht ebenfalls die Sicherheit gegen Manipulationen von außerhalb des Netzwerks.
  • In einem weiteren Aspekt wird die obige Aufgabe durch ein verteiltes Rechnernetz nach Anspruch 10 gelöst. Das verteilte Rechnernetz weist eine Computernetz-Infrastruktur auf, welche zumindest ein Vermittlungs-Computersystem und ein Bearbeitungs-Computersystem umfasst. Ferner ist zumindest ein externes Computersystem im verteilten Rechnernetz eingerichtet, welches sich außerhalb der Computernetz-Infrastruktur befindet.
  • Das externe Computersystem ist eingerichtet, ein Anweisungs-Paket an das Vermittlungs-Computersystem zu übertragen zur Anweisung einer Kommunikation mit dem Bearbeitungs-Computersystem. Das Vermittlungs-Computersystem ist eingerichtet, automatisiert eine zufällige Portnummer eines Netzwerk-Ports zu generieren und die zufällige Portnummer sowohl an das Bearbeitungs-Computersystem als auch an das externe Computersystem zu übertragen.
  • Das Bearbeitungs-Computersystem weist eine Zugriffssteuereinheit auf, die eingerichtet ist, zumindest vorübergehend vorbestimmte Netzwerk-Ports geschlossen zu halten, so dass ein Zugriff auf das Bearbeitungs-Computersystem durch das externe Computersystem über ein Netzwerk vermittels dieser Netzwerk-Ports verhindert ist, jedoch ein Verbindungsaufbau zwischen dem Bearbeitungs-Computersystem und dem Vermittlungs-Computersystem erlaubt ist, um die zufällige Portnummer oder andere Informationen auszutauschen.
  • Ferner ist die Zugriffssteuereinheit des Bearbeitungs-Computersystems eingerichtet, einen zur zufälligen Portnummer korrespondierenden Netzwerk-Port für eine Kommunikation mit dem externen Computersystem freizuschalten.
  • Vorteilhaft ist ein derartiges verteiltes Rechnernetz eingerichtet, ein Verfahren der hier erläuterten Art durchzuführen.
  • Auch durch ein verteiltes Rechnernetz dieser Art ergeben sich die im Zusammenhang mit dem oben erläuterten Verfahren genannten Vorteile analog. Sämtliche vorteilhaften Maßnahmen, die im Zusammenhang mit dem obigen Verfahren erläutert wurden, finden in entsprechenden strukturellen Merkmalen des verteilten Rechnernetzes Anwendung und umgekehrt.
  • In einem weiteren Aspekt wird die obige Aufgabe durch ein Computerprogramm-Produkt nach Anspruch 12 gelöst, welches eingerichtet ist, auf einem oder mehreren Computersystemen ausgeführt zu werden und welches bei Ausführung ein Verfahren der oben erläuterten Art durchführt.
  • Weitere vorteilhafte Ausführungen sind in den Unteransprüchen sowie in der nachfolgenden Figurenbeschreibung offenbart.
  • Die Erfindung wird anhand zweier Zeichnungen im Folgenden näher erläutert.
  • Es zeigen:
  • 1 eine schematisierte Darstellung zumindest eines Teils einer Computernetz-Infrastruktur gemäß einer ersten Konfiguration zum Freischalten eines externen Computersystems,
  • 2 eine schematisierte Darstellung zumindest eines Teils einer Computernetz-Infrastruktur gemäß einer zweiten Konfiguration zum Freischalten eines externen Computersystems und
  • 3 eine schematisierte Darstellung zumindest eines Teils einer Computernetz-Infrastruktur gemäß einer dritten Konfiguration zum Freischalten eines externen Computersystems.
  • 1 zeigt eine schematisierte Darstellung zumindest eines Teils einer Computernetz-Infrastruktur, umfassend ein Vermittlungs-Computersystem, das in 1 als Task-Server deklariert ist, sowie ein Bearbeitungs-Computersystem, das in 1 als Ziel-Server deklariert ist. Der Ziel-Server kann beispielsweise ein VPN-Server zum selektiven Aufbauen einer VPN-Verbindung von einem externen Computersystem aus sein.
  • Der Task-Server und der Ziel-Server können über ein Netzwerk N miteinander kommunizieren sowie Daten austauschen.
  • Der Task-Server ist in der dargestellten Topologie als so genanntes „offenes“ System eingerichtet. Das bedeutet, dass der Task-Server zumindest einen Netzwerk-Port für die in diesem Kontext erläuterten Zwecke geöffnet hat, wobei ein Dienst beziehungsweise eine Applikation auf dem Task-Server läuft, um eine Ansprechbarkeit beziehungsweise einen Verbindungsaufbau sowohl aus dem Internet oder einem separaten Intranet (in 1 symbolisch als Wolke angedeutet) als auch über das Netzwerk N zu ermöglichen. Beispielsweise kann eine Netzwerk-Verbindung bei diesem Computersystem über VPN („Virtual Private Network“) oder SSH („Secure Shell“) oder eine Kombination derartiger Sicherheitsmaßnahmen eingeschränkt sein, so dass nur vorbestimmte, verschlüsselte Netzwerk-Verbindungen mit dedizierten Computersystemen erlaubt sind. Der Task-Server dient als Vermittler zur Kommunikation und Weiterleitung von Daten-Paketen an den Ziel-Server innerhalb der Computernetz-Infrastruktur.
  • Im Unterschied zum Task-Server verhält sich der Ziel-Server zum Netzwerk N hin generell als speziell abgesichertes System mit geschlossenen Netzwerk-Ports. Dies ist durch eine kreuzschraffierte Ein-/Ausgangsebene am Ziel-Server zum Netzwerk N hin schematisiert dargestellt. Das bedeutet, dass an den Netzwerk-Ports des Ziel-Servers zum Netzwerk N hin keine laufenden Programme oder Dienste für eine Ansprechbarkeit beziehungsweise einen Verbindungsaufbau zum Ziel-Server über das Netzwerk N von außen sichtbar bzw. verfügbar sind. Vielmehr ist ein nicht autorisierter Zugriff auf den Ziel-Server über das Netzwerk N aufgrund der jeweils geschlossenen Netzwerk-Ports des Ziel-Servers nicht möglich. Nicht-authentifizierte Verbindungen werden, z.B. durch geeignete Firewall-Regeln (z.B. iptables) – entweder auf dem Ziel-Server selbst oder auf einem vorgeschalteten System (z.B. einem Router) – unterbunden. Es ist jedoch denkbar, dass eine Benutzergruppe lokal auf den Ziel-Server zugreifen kann, um dort lokal vorbestimmte Aktionen durchzuführen.
  • Zum Internet bzw. externen Intranet hin weist der Ziel-Server ebenfalls initial geschlossene Netzwerk-Ports auf. Dies ist durch eine schraffierte Ein-/Ausgangsebene am Ziel-Server zum Internet bzw. externen Intranet hin schematisiert dargestellt. Allerdings kann für eine Freischaltung eines externen Computersystems zum Aufbau einer Kommunikationsverbindung zum Ziel-Server ein Netzwerk-Port selektiv zum Internet bzw. externen Intranet hin am Ziel-Server geöffnet werden, um eine Verbindung von einem externen Computersystem zum Ziel-Computersystem zu erlauben. Dies wird weiter unten näher erläutert.
  • Zur Kommunikation innerhalb der Computernetz-Infrastruktur zwischen dem Task-Server und dem Ziel-Server ist ein vorbestimmter Prozess eingerichtet. Anweisungen können vom Ziel-Server unmittelbar über eine aufgebaute Verbindung („Established“) an den Task-Server übertragen werden, weil der Task-Server, wie oben erläutert, über das Netzwerk N direkt vom Ziel-Server ansprechbar ist.
  • In Richtung zum Ziel-Server hin muss, ausgehend vom Task-Server oder von einem externen Computersystem außerhalb der Computernetz-Infrastruktur, zunächst ein Port-Knocking-Prozess durchgeführt werden. Hierzu wird eine vorbestimmte Sequenz an Paket-Daten entweder vom Task-Server oder vom externen Computersystem an den Ziel-Server gesendet, wobei die Netzwerk-Ports des Ziel-Servers geschlossen sind und wobei die Sequenz in einer vorbestimmten Reihenfolge einen oder mehrere Netzwerk-Ports des Ziel-Servers anspricht. Anschließend erfolgt eine Überprüfung der gesendeten Sequenz im Ziel-Server auf Übereinstimmung mit einer vordefinierten Sequenz. Im Erfolgsfall erfolgt für eine Kommunikation zwischen dem Ziel-Server und dem Task-Server ein Verbindungsaufbau ausgehend vom Ziel-Server hin zum Task-Server sowie ein Veranlassen eines Übertragens eines entsprechenden Daten-Paketes und/oder einer Anweisung über die aufgebaute Verbindung („Established“).
  • Insbesondere startet der Ziel-Server einen Prozess, der ein zu übertragendes Daten-Paket (mit darin enthaltenen Informationen) vom Task-Server abholt. Ein derartiger Prozess kann beispielsweise über den Unix-basierten Befehl „Secure Copy“ (scp) erfolgen. Auf diese Weise können die beteiligten Computersysteme trotz geschlossener Netzwerk-Ports des Ziel-Servers innerhalb der Computernetz-Infrastruktur über das Netzwerk N miteinander kommunizieren, Daten-Pakete weiterleiten und/oder Anweisungen erteilen.
  • Nachfolgend soll anhand mehrerer Verfahrensschritte, welche in der Zeichnung als Nummerierungen 1 bis 3 aufgeführt sind, ein Verfahren zum Freischalten einer Kommunikation zwischen dem abgesicherten Ziel-Server innerhalb der Computernetz-Infrastruktur und einem externen Computersystem außerhalb der Computernetz-Infrastruktur erläutert werden.
  • In einem Schritt 1 verlangt ein externes Computersystem über das Internet und/oder ein von der Computernetz-Infrastruktur (Netzwerk N) getrenntes Intranet eine Freischaltung einer Kommunikation mit dem Ziel-Server. Das externe Computersystem kann beispielsweise ein Client sein, der eine Applikation auf dem Ziel-Server innerhalb der Computernetz-Infrastruktur freischalten will. Der Ziel-Server hat jedoch zu diesem Zeitpunkt für das externe Computersystem keine offenen Netzwerk-Ports und gestattet keinen Verbindungsaufbau von extern.
  • Das externe Computersystem kann beispielsweise hinter einem NAT-/PAT-Router (nicht dargestellt) sitzen, der eine lokale private IP-Adresse des externen Computersystems mit einer (eindeutigen) öffentlichen IP-Adresse des Routers maskiert. Auf diese Weise ist jedoch das externe Computersystem durch den Ziel-Server nicht direkt ansprechbar, weil der Ziel-Server die genaue (private) IP-Adresse des externen Computersystems nicht kennt bzw. das externe Computersystem typischerweise mittels einer oder mehrerer Firewalls geschützt ist.
  • Zum Freischalten einer Kommunikation mit dem Ziel-Server muss ein spezielles Verfahren durchgeführt werden. Hierzu baut ein externes Computersystem im Schritt 1 über das Internet/Intranet (vgl. das Wolkensymbol in 1) eine Verbindung zum Task-Server auf und schickt über die so aufgebaute Verbindung ein Anweisungs-Paket an den von außen ansprechbaren Task-Server innerhalb der Computernetz-Infrastruktur. Zur Übertragung dieses Paketes kann eine Authentifizierung des externen Computersystems am Task-Server (z. B. über ein VPN und/oder ähnliches) notwendig sein.
  • Das Anweisungs-Paket enthält eine Anweisung an das Vermittlungs-Computersystem zum Durchführen entsprechender Prozesse zur Freischaltung des externen Computersystems für eine Kommunikation mit dem Ziel-Server. Das Anweisungs-Paket kann als Token eingerichtet sein, der vom externen Computersystem an den Task-Server geschickt wird. Das Anweisungs-Paket kann auch signierte Informationen zur Authentifizierung des externen Computersystems am Ziel-Server enthalten. Diese signierten Informationen können beispielsweise Signaturen des externen Computersystems und/oder eines separaten Key-Computersystems (nicht dargestellt) enthalten, wobei das Key-Computersystem eine Sicherheits-Instanz zum Festlegen und Signieren des externen Computersystems als erlaubtes Computersystem für einen Zugriff auf den Ziel-Server darstellt. Ein separates Key-Computersystem als getrennte Sicherheits-Instanz hat den Vorteil, dass eine Authentifizierung allein im externen Computersystem nicht oder nur erschwert gefälscht werden kann. Auf diese Weise wird sichergestellt, dass ein externes Computersystem, welches den Ziel-Server für eine Kommunikation zumindest partiell freischalten will, tatsächlich autorisiert ist.
  • Ferner können signierten Informationen im Anweisungs-Paket auch Informationen über das externe Computersystem (z. B. welchen Dienst das externe Computersystem ansprechen will) und/oder gegebenenfalls Durchführungsparameter zur vorbestimmten Durchführung eines Freischaltens beziehungsweise eines nach dem Freischalten durchzuführenden Prozesses im Ziel-Server enthalten. Das Anweisungs-Paket kann auch aus Passwörtern (von Benutzern) generierte Daten, wie z.B. Hashes oder Signaturen, enthalten. Eine weitere oder endgültige Authentifizierung ist optional am Ziel-Server möglich.
  • Ferner enthält das Anweisungs-Paket eine vom externen Computersystem generierte und mit einer Signatur des externen Computersystems signierte erste Zufallszahl Z1 (nicht dargestellt). Z1 wird dabei im externen Computersystem so verschlüsselt, dass der Inhalt nur vom Ziel-Server gelesen werden kann. Während oder nach der Übertragung des Anweisungs-Paketes vom externen Computersystem an den Task-Server wird durch den Task-Server eine zweite Zufallszahl Z2 (ebenfalls nicht dargestellt) generiert und mit einer Signatur des Task-Servers signiert. Z2 wird ebenfalls so verschlüsselt, dass nur der Ziel-Server diese entschlüsseln kann. Z2 wird während oder nach der Übertragung des Anweisungs-Paketes über die aufgebaute Verbindung vom Task-Server an das externe Computersystem übertragen. Somit existieren nach dem Austausch von Z1 und Z2 zwischen dem externen Computersystem und dem Vermittlungs-Computersystem also bei jedem der beiden Computersysteme diese beiden Zufallszahlen Z1 und Z2.
  • Die Signaturen der Zufallszahlen Z1 und Z2 werden in dem jeweils anderen Computersystem (von welchem sie nicht generiert wurden) nochmals mit einer Signatur signiert. Das bedeutet, dass die signierte Zufallszahl Z1 im Task-Server mit einer weiteren Signatur des Task-Servers signiert wird und dass die signierte Zufallszahl Z2 im externen Computersystem mit einer weiteren Signatur des externen Computersystems signiert wird. Dies hat den Vorteil, dass die Reihenfolge des Transfers der Zufallszahlen (Z1 und Z2) zwischen dem externen Computersystem und dem Task-Server für eine weitere Prüfung im Ziel-Server nachvollziehbar ist.
  • Ausgelöst durch das vom externen Computersystem an den Task-Server übertragene Anweisungs-Paket generiert der Task-Server eine zufällige Portnummer eines Netzwerk-Ports, welcher im Ziel-Server für eine Kommunikation mit dem externen Computersystem selektiv freigeschaltet werden soll. Die generierte zufällige Portnummer wird um die sichtbare Quell-IP-Adresse ergänzt, die dem externen anfragenden Computersystem zugeordnet werden kann und beispielsweise die öffentliche IP-Adresse eines NAT-Routers ist, der das Anweisungs-Paket an den Task-Server gesendet hat. Auf diese Weise weiß der Ziel-Server im nachfolgenden Verfahren, dass diese ergänzte Quell-IP-Adresse temporär freigeschaltet werden soll. Die generierte zufällige Portnummer, die sichtbare Quell-IP-Adresse sowie das im Task-Server vorliegende Paar der mehrfach signierten Zufallszahlen Z1 und Z2 werden in ein Daten-Paket zur Übersendung an den Ziel-Server eingepackt.
  • In einem Schritt 2 schickt der Task-Server über das Netzwerk N an den Ziel-Server ein Anklopfsignal im Sinne eines Port-Knockings (wie oben mehrfach erläutert). Eine vorbestimmte Daten-Sequenz des Anklopfsignals wird an den geschlossenen Netzwerk-Ports des Ziel-Servers über einen Dienst (z. B. einen Knock-Daemon) ausgewertet und mit einer vordefinierten Daten-Sequenz verglichen. Bei Übereinstimmung wird beispielsweise ein Skript oder Programm im Ziel-Server gestartet zur weiteren Prozessierung der im Task-Server vorliegenden Informationen. Diese Maßnahmen des Schrittes 2 (Anklopfen am Ziel-Server) stellen gewissermaßen eine Initiierung für den Ziel-Server dar, dass im Task-Server Informationen für weitergehende Aktionen vorliegen.
  • Anschließend veranlasst der Ziel-Server einen Verbindungsaufbau über das Netzwerk N zum Task-Server und startet einen Prozess zum Übertragen des mit den oben erläuterten Informationen zusammengestellten Daten-Paketes vom Task-Server an den Ziel-Server über die aufgebaute Verbindung („Established“). Ein derartiger Prozess kann beispielsweise über den Unix-basierten Befehl scp erfolgen. Anschließend wird das Daten-Paket vom Task-Server an den Ziel-Server über das Netzwerk N der Computernetz-Infrastruktur übertragen und im Ziel-Server ausgewertet. Optional wird das Daten-Paket im Ziel-Server auf eine Gültigkeit hin überprüft. Hierzu können vorbestimmte Prüfschritte durchgeführt werden.
  • Im weiteren Verfahren erfolgt ein Freischalten der Quell-IP-Adresse, die dem Ziel-Server vermittels des Daten-Paketes als die externe Quell-IP-Adresse (die dem externen anfragenden Computersystem zugeordnet werden kann) bekannt ist (siehe oben). Hierzu schaltet der Ziel-Server in Richtung zum Internet/externen Intranet hin den Ziel-Netzwerk-Port frei, welcher mit der generierten zufälligen Portnummer im Daten-Paket des Task-Servers korrespondiert. Andere Netzwerk-Ports des Ziel-Servers bleiben für die betroffene IP-Adresse des externen Computersystems bzw. des NATs dauerhaft geschlossen und erlauben keine Ansprechbarkeit des Ziel-Servers von außen. Somit ist der Ziel-Server in diesem Stadium ausschließlich für einen Verbindungsaufbau ausgehend von der Quell-IP-Adresse (und nur von dieser) eines externen Computersystems selektiv an dem Ziel-Netzwerk-Port ansprechbar, der durch die im Task-Server generierte zufällige Portnummer bestimmt ist. Ferner erfolgt gegebenenfalls eine Portweiterleitung (Port Forwarding) vom freigeschalteten Ziel-Netzwerk-Port an einen Netzwerk-Port, der einem anzusprechenden Dienst oder einer anzusprechenden Applikation im Ziel-Server zugeordnet ist.
  • In einem folgenden Schritt 3, welcher vorteilhaft in einem fest vorgegebenen (kurzen) Zeitraum nach Freischalten des selektiven Ziel-Netzwerk-Ports am Ziel-Server erfolgen muss, baut nun das externe Computersystem, welches aus dem Internet/Intranet auf die Computernetz-Infrastruktur zugreifen kann, eine erneute Verbindung (neue Session mit der Kombination „externe bekannte Quell-IP-Adresse/ausgewählter Quell-Netzwerk-Port) zu dem geöffneten Ziel-Netzwerk-Port des Ziel-Servers auf. Falls beispielsweise in einem vorbestimmten Zeitraum kein solcher Verbindungsaufbau seitens des externen Computersystems erfolgt, wird der verfahrensgemäß selektiv geöffnete Ziel-Netzwerk-Port des Ziel-Servers für die betroffene IP-Adresse wieder geschlossen (sofern keine anderen externen Computersysteme mit derselben Quell-IP-Adresse im selben Zeitfenster anfragen), so dass der Ziel-Server für sämtliche externen Computersysteme mit derselben Quell-IP-Adresse nicht mehr ansprechbar ist (Initialzustand). Externe Computersysteme mit einer anderen IP-Adresse können hiervon unberührt während des gesamten Verfahrensablaufs keine Verbindung zum Ziel-Server aufbauen.
  • Anderenfalls – bei rechtzeitigem Verbindungsaufbau einer neuen Session – erfolgt über die somit aufgebaute („established“) Verbindung zwischen dem externen Computersystem (vermittels der bekannten Quell-IP-Adresse) und dem Ziel-Server ein nochmaliges Übertragen des Paares von signierten Zufallszahlen Z1 und Z2, die im externen Computersystem vorliegen, durch den (vorläufig) geöffneten Datenkanal unmittelbar an den nunmehr selektiv geöffneten Ziel-Server. Im Ziel-Server liegen daher nach Durchführen dieser Maßnahme zwei Paare von Zufallszahlen Z1 und Z2 vor, ein Paar übertragen vom Task-Server und ein Paar übertragen vom externen Computersystem.
  • Im Ziel-Server erfolgt dann eine Überprüfung der jeweiligen Zufallszahlen Z1 und Z2 der beiden Paare. Die Überprüfung kann eine Prüfung der Signaturen der Zufallszahlen auf die erwarteten Systeme bzw. Benutzer hin und/oder eine Überprüfung der entschlüsselten Werte der Zufallszahlen Z1 und Z2 auf Übereinstimmung umfassen. Die Überprüfung stellt eine Sicherheitsmaßnahme dar, dass die aufgebaute Verbindung tatsächlich von demjenigen externen Computersystem (und nur von diesem) initiiert worden ist, welches zuvor eine Freischaltung des Ziel-Servers angefragt hat, und nicht von einem anderen ggf. manipulierten Computersystem eines Angreifers mit der (zufällig) gleichen Quell-IP-Adresse. Auch etwaige Manipulationsversuche am Task-Server können durch eine Überprüfung der Zufallszahlen erkannt werden. Aufgrund der mehrfachen Signatur der Zufallszahlen Z1 und Z2 kann, wie oben erläutert, erkannt werden, bei welchem Transfer einer Zufallszahl eine Manipulation durchgeführt worden ist oder ein Fehler aufgetreten ist.
  • Insbesondere ist die Überprüfung eine Sicherheitsmaßnahme gegen Angreifer, die entweder hinter einem NAT-Router mit der im Ziel-Server freigeschalteten Quell-IP-Adresse sitzen und die Freischaltung für einen manipulierten Zugriff auf den Ziel-Server als Angriff ausnutzen wollen oder den Task-Server unter ihrer Kontrolle haben, um über diesen manipulativ in den Prozess der Freischaltung des Ziel-Servers einzugreifen. Aufgrund der Verschlüsselung der Zufallszahlen Z1 und Z2 sind die korrekten Werte der Zufallszahlen Z1 und Z2 für andere Computersysteme als den Ziel-Server nicht lesbar, ohne die Ebene der Verschlüsselung zu überwinden. Dadurch können Angreifer nur sehr schwer Kenntnis über die korrekten Werte der Zufallszahlen Z1 und Z2 erlangen. Selbst wenn ein Angreifer den Wert der Zufallszahl Z1, die im externen Computersystem erstellt worden ist, ermittelt, fehlt ihm immer noch der korrekte Wert der Zufallszahl Z2, welche im Task-Server generiert wurde. Umgekehrt fehlt einem Angreifer, welcher den Task-Server manipuliert hat, der Wert der Zufallszahl Z1, welche im externen Computersystem generiert wurde. Somit müsste ein Angreifer das externe Computersystem oder auch den Task-Server (oder beide) unter seine Kontrolle bringen und dadurch z.B. eine Verschlüsselung der Zufallszahlen überwinden oder eine Erstellung der Zufallszahlen generell kontrollieren, um Kenntnis von den Werten der Zufallszahlen Z1 und Z2 zur Manipulation des Verfahrens zu erlangen.
  • Der Ziel-Server selbst ist, wie oben ausführlich erläutert, aufgrund seiner in Richtung des Netzwerkes N hin dauerhaft geschlossenen Netzwerk-Ports gegen einen Angriff vom Task-Server aus abgesichert. In Richtung des Internets/Intranets, von dem aus ein externes Computersystem eine Verbindung zum Ziel-Server aufbauen könnte, ist ein Zugriff auf den Ziel-Server, wie ebenfalls oben erläutert, auf die vorbestimmte Quell-IP-Adresse, gegebenenfalls einen vorbestimmten Zeit Slot, und den Ziel-Netzwerk-Port beschränkt, welcher mit der im Task-Server generierten zufälligen Portnummer korrespondiert. Eine Wahrscheinlichkeit eines Angriffs von extern ist bereits aufgrund dieser Umstände sehr gering. Durch den erläuterten Prozess des Austausches der Zufallszahlen Z1 und Z2 zwischen den beteiligten Computersystemen und aufgrund einer Überprüfung dieser Zufallszahlen im Ziel-Server wird eine Wahrscheinlichkeit einer erfolgreichen Manipulation des Prozesses in der Computernetz-Infrastruktur zur Erlangung eines Zugriffs auf den Ziel-Server weiter reduziert.
  • Wenn die Überprüfung der Paare von Zufallszahlen Z1 und Z2 negativ ausfällt, geht der Ziel-Server von einem Fehlerfall bzw. von einem Manipulationsversuch aus, bricht seinerseits die durch das externe Computersystem aufgebaute Verbindung zu seinem selektiv freigeschalteten Ziel-Netzwerk-Port aus Sicherheitsgründen unmittelbar ab und schließt sowohl die selektiv freigeschaltete Kombination Quell-IP/Quell-Port/Ziel-Port sowie das hierfür bestehende Port Forwarding zu dem Port, auf dem der angesprochene Dienst (z.B. VPN) des Ziel-Servers real läuft. Dann befindet sich der Ziel-Server wieder im Initialzustand und lässt für keinerlei Computersystem über Netzwerk einen Verbindungsaufbau zu.
  • Wenn die Überprüfung der Paare von Zufallszahlen Z1 und Z2 durch den Ziel-Server erfolgreich abgeprüft worden ist, erfolgt eine Beschränkung der aufgebauten Verbindung ausschließlich auf die Kombination der freigeschalteten Quell-IP-Adresse in Verbindung mit dem Quell-Netzwerk-Port, von denen aus durch das externe Computersystem die unmittelbare Verbindung zum freigeschalteten Ziel-Netzwerk-Port des Ziel-Servers aufgebaut worden ist. Auf diese Weise beschränkt der Ziel-Server die aufgebaute Verbindung nicht nur auf die Quell-IP-Adresse, sondern auch auf die tatsächliche Quell-Verbindung via verwendetem Quell-Netzwerk-Port des autorisierten externen Computersystems. Weitere Verbindungen über die gleiche Quell-IP-Adresse, aber über andere Quell-Netzwerk-Ports auf den Ziel-Server werden dadurch unterbunden. Auch auf diese Weise werden mögliche Angriffsszenarien deutlich erschwert beziehungsweise unterbunden. Bei diesen Maßnahmen ist zu berücksichtigen, dass ggf. parallel stattfindende Verbindungsaufbauten mehrerer externer Computersysteme sich nicht gegenseitig beeinträchtigen.
  • Nach diesem Procedere steht somit lediglich eine selektiv aufgebaute Verbindung zwischen dem Quell-Netzwerk-Port des externen Computersystems (womöglich via maskiertem Quell-Netzwerk-Port eines NAT-Routers) und einem selektiv freigeschalteten Ziel-Netzwerk-Port am Ziel-Server. Im Weiteren kann dann eine applikationsspezifische Kommunikation vermittels dieser eingeschränkten Verbindung zwischen dem externen Computersystem und dem Ziel-Server innerhalb der Computernetz-Infrastruktur erfolgen.
  • Auf diese Weise hat das externe Computersystem über das erläuterte Verfahren eine selektive Freischaltung des Ziel-Servers für eine spezifische Kommunikation erwirkt. Dennoch ist das Verfahren im Gegensatz zu herkömmlichen Maßnahmen deutlich sicherer gegen Angriffe von außen. Insbesondere die erfolgreiche Ausnutzung von Sicherheitslücken im Ziel-Server, zum Beispiel von Zero-Day-Exploits, wird durch die für jede einzelne Freischaltung bestimmte zufällige Portnummer zur Freischaltung des korrespondierenden Netzwerk-Ports im Ziel-Server extrem unwahrscheinlich. Das bedeutet, dass Sicherheitslücken in der erläuterten Computernetz-Infrastruktur keine attraktive Angriffsmöglichkeit mehr bilden.
  • 2 zeigt eine schematisierte Darstellung zumindest eines Teils einer Computernetz-Infrastruktur gemäß einer zweiten Konfiguration. Die Computernetz-Infrastruktur gemäß 2 weist einen Task-Server 1 sowie einen Ziel-Server 1 auf, welche über ein Netzwerk N1 verbunden sind. Ferner weist die Computernetz-Infrastruktur einen Task-Server 2 sowie einen Ziel-Server 2 auf, die über ein separates Netzwerk N2 verbunden sind. Der Ziel-Server 1 sowie der Ziel-Server 2 sind wiederum über ein drittes separates Netzwerk N3 mit im Hintergrund arbeitenden Backend-Servern 1 und 2 verbunden. Ziel-Server 1 und/oder Ziel-Server 2 können beispielsweise als VPN-Server eingerichtet sein zum jeweiligen Freischalten einer selektiven VPN-Verbindung zu einem externen Computersystem. Auf den Backend-Servern 1 und 2 können beispielsweise applikationsabhängige Dienste eingerichtet sein, auf welche die Ziel-Server 1 und 2 jeweils zugreifen können oder an welche die Ziel-Server 1 und 2 eine externe Verbindung von einem externen Computersystem aus weitervermitteln können, damit das externe Computersystem derartige Dienste nutzen kann.
  • Bezüglich der Task-Server und der Ziel-Server zeigt 2 einen parallelen und redundanten Aufbau der entsprechenden Komponenten gemäß 1. Das bedeutet, dass Task-Server 1 und 2 sowie Ziel-Server 1 und 2 im Wesentlichen mit redundanter Funktionalität ausgelegt sind. Ein externes Computersystem kann, wie bei der Konstellation in 1, über Internet/externes Intranet eine Verbindung zu Task-Server 1 aufbauen und entsprechende Maßnahmen gemäß dem zu 1 erläuterten Verfahren einleiten (vergleiche oben erläuterte Schritte 1 bis 3), so dass schlussendlich eine Verbindung zwischen dem externen Computersystem und dem Ziel-Server 1 aufgebaut und genutzt werden kann. Für diese Maßnahmen sei auf die Erläuterungen zu 1 verwiesen.
  • Falls eine Kommunikation zum Task-Server 1 und/oder zum Ziel-Server 1 zum Beispiel aufgrund von Angriffen auf die Computernetz-Infrastruktur und/oder aufgrund von Defekten gestört bzw. unterbunden ist, kann das externe Computersystem stattdessen eine Verbindung zum Task-Server 2 aufbauen und entsprechende Maßnahmen zum Freischalten einer Verbindung zwischen dem externen Computersystem und dem Ziel-Server 2 einleiten. Dies erfolgt in einem Prozess mit den Schritten 1‘ bis 3‘, welche im Wesentlichen den Schritten 1 bis 3 bezüglich einer Kommunikation des externen Computersystems mit Task-Server 1 und Ziel-Server 1 gemäß dem oben erläuterten Verfahren entsprechen. Auch in Bezug auf diese Maßnahmen sei auf die Erläuterungen zu 1 analog verwiesen (mit dem Unterschied, dass der Prozess zwischen dem externen Computersystem, Task-Server 2 und Ziel-Server 2 durchgeführt wird). Auf diese Weise besteht bei der Konfiguration gemäß 2 eine geringere Abhängigkeit von einem angreifbaren System (zum Beispiel Task-Server 1 alleine). Vielmehr erlaubt die redundante Auslegung der Computernetz-Infrastruktur gemäß 2 eine flexiblere Handhabung einer Anfrage eines externen Computersystems zur Freischaltung einer Kommunikation mit einem entsprechenden Ziel-Server.
  • Im Normalbetrieb der Computernetz-Infrastruktur ist es auch denkbar, dass ein externes Computersystem einen der Task-Server 1 oder 2 zufällig ermittelt, den es dann entsprechend über einen Verbindungsweg 1 bzw. 1‘ anspricht. Ferner ist in der Konfiguration gemäß 2 über den doppelten bzw. redundanten Aufbau des Task-Server/Ziel-Server-Paares und dem wechselnden Ansprechen der Task-Server 1 oder 2 bzw. anschließend der zugeordneten Ziel-Server 1 oder 2 eine Hochverfügbarkeit und Lastverteilung realisiert. Die in 2 dargestellte Topologie kann natürlich durch weitere Task-Server und/oder Ziel-Server ausgebaut und/oder durch veränderte Kommunikationsbeziehungen variiert werden.
  • Optional ist auch denkbar, eine Topologie einzurichten, in der die Backend-Server 1 und 2 wegfallen.
  • 3 zeigt eine schematisierte Darstellung zumindest eines Teils einer Computernetz-Infrastruktur gemäß einer dritten Konfiguration. Diese stellt gewissermaßen eine Alternativlösung aus der Konfiguration gemäß 1 und der Konfiguration gemäß 2 dar. Die Computernetz-Infrastruktur gemäß 3 umfasst einen ersten Task-Server 1 und einen zweiten Task-Server 2. Diese beiden Task-Server können jeweils aus dem Internet/externen Intranet von einem externen Computersystem aus gemäß dem oben erläuterten Verfahren angesprochen werden. Ferner umfasst die Computernetz-Infrastruktur einen einzigen Ziel-Server. Wie in 1 und 2 kann der Ziel-Server auch in der Topologie gemäß 3 ein VPN-Server sein. Task-Server 1 ist über ein erstes Netzwerk N1 mit dem Ziel-Server verbunden. Task-Server 2 ist über ein zweites Netzwerk N2 ebenfalls mit dem Ziel-Server verbunden.
  • Ähnlich wie in der Topologie gemäß 2 sind die Task-Server 1 und 2 redundant ausgelegt. Ein externes Computersystem kann über die oben erläuterten Maßnahmen in den Schritten 1 bis 3 vermittels des Task-Servers 1 die Freischaltung des entsprechenden Netzwerk-Ports im Ziel-Server erreichen, um eine externe Verbindung zum Ziel-Server aufzubauen. Alternativ kann das externe Computersystem über die oben erläuterten Maßnahmen in den Schritten 1‘, 2‘ und 3 auch vermittels des Task-Servers 2 die Freischaltung des entsprechenden Netzwerk-Ports im Ziel-Server erreichen, um eine externe Verbindung zum Ziel-Server aufzubauen. Zu den entsprechenden Maßnahmen sei auf die obigen Erläuterungen im Zusammenhang mit den 1 und 2 verwiesen.
  • Die Computernetz-Infrastruktur aus 3 weist neben den genannten Komponenten zusätzlich einen Paket-Filter FW auf, welcher in den entsprechenden Netzwerken N1 und N2 zwischen die Task-Server 1 und 2 und den Ziel-Server geschaltet ist. Der Paket-Filter FW ist als Sicherheitsmaßnahme gegen Angriffe innerhalb der Computernetz-Infrastruktur eingerichtet. Der Paket-Filter FW dient im Wesentlichen der Vereitelung eines Angriffs auf den Ziel-Server ausgehend vom einem oder beiden der Task-Server 1 und 2. Ein Eindringling, der in Task-Server 1 oder 2 entsprechende Rechte (z. B. Administrator-Rechte) erlangt hat, hätte die Möglichkeit eines Angriffs auf den Ziel-Server mittels einer Fälschung einer IP-Adresse, ausgehend von Task-Server 1 oder 2, um sich beispielsweise als externer Client mit einer autorisierten externen IP-Adresse auszugeben (IP-Spoofing). So könnte ein optionaler Port-Filter auf dem Ziel-Server (der keinen Verbindungsaufbau von anderen Computersystemen zulässt) umgangen werden. Auf diese Weise könnte ausgehend von Task-Server 1 oder 2 über eine gefälschte IP-Adresse ein autorisierter Zugang zum Ziel-Server vorgetäuscht werden.
  • Als Gegenmaßnahme ist der Paket-Filter FW eingerichtet, der in der jeweiligen Kommunikationsrichtung von Task-Server 1 bzw. 2 zum Ziel-Server vorteilhaft lediglich Daten-Pakete einer bereits durch den Ziel-Server aufgebauten Verbindung („Established“ oder „Related“) zulässt, die die exakte IP-Adresse des jeweiligen Task-Servers 1 oder 2 verwendet. Andere Daten-Pakete werden am Paket-Filter FW in der entsprechenden Kommunikationsrichtung verworfen beziehungsweise ignoriert und nicht weitergeleitet. Somit gelangen zum Ziel-Server lediglich Daten-Pakete, die verlässlich und vertrauenswürdig von Task-Server 1 oder 2 stammen. IP-Spoofing wird dadurch extrem erschwert beziehungsweise unterbunden.
  • In umgekehrter Kommunikationsrichtung vom Ziel-Server hin zu den Task-Servern 1 oder 2 kann der Paket-Filter FW vorteilhaft lediglich Daten-Pakete zulassen, die einen speziellen Dienst an den Task-Servern 1 oder 2 (z. B. scp oder ssh oder eine Kombination davon, usw.) ansprechen.
  • Auf diese Weise sind die Task-Server 1 und 2 in Richtung Ziel-Server gänzlich abgeschnitten, so dass kein Angriff ausgehend vom Task-Server auf den Ziel-Server erfolgreich ist. In umgekehrter Richtung kann der Ziel-Server jedoch wie gemäß 1 erläutert beispielsweise ein Daten-Paket, enthaltend die generierte zufällige Portnummer und/oder eine Quell-IP-Adresse des externen Computersystems, über den Dienst scp vom entsprechenden Task-Server 1 oder 2 abholen.
  • Der Paket-Filter FW gemäß 3 kann beispielsweise als speziell abgesicherter 1:1 NAT-Router (IP-Adress-Umsetzer) realisiert sein. Es ist auch denkbar, in diesem Router spezielle Überprüfungsmechanismen vorzusehen. Bei 1:1 NAT-Routing werden IP-Adressen eingehender Pakete statisch in andere IP-Adressen umgesetzt. Beispielsweise könnte ein eingehendes Paket mit der beispielhaften Adresse 10.10.10.10 in die IP-Adresse 11.11.11.11 umgesetzt werden.
  • Das hier dargestellte Verfahren hat den Vorteil, dass ein Freischalten externer Computersysteme für eine Kommunikation mit einem abgesicherten Bearbeitungs-Computersystem innerhalb einer Computernetz-Infrastruktur auf sichere Art und Weise möglich ist, ohne das Bearbeitungs-Computersystem (auch) für externe oder interne Angreifer zu öffnen.
  • Das beschriebene Verfahren kann sowohl für IPv4 als auch für IPv6 verwendet werden. Andere Übertragungsprotokolle können ebenfalls mit diesem Verfahren abgesichert werden. Die Installation eines entsprechenden Computerprogramms zur Durchführung des Verfahrens auf einem externen Client (externes Computersystem) kann auf einem „echten“ Client als auch auf einem hierzu speziell vorgesehenen System, welches die entsprechende Freischaltung vornimmt, implementiert werden. Die Verwendung eines speziellen Systems hat den Vorteil, dass es auf diese Funktionalität begrenzt und speziell abgesichert werden kann. Damit wird eine erhöhte Sicherheit ermöglicht.
  • Die Größe eines Anweisungs-Paketes, welches vom externen Computersystem zu einem Vermittlungs-Computersystem (Task-Server) übertragen wird, kann vorteilhaft begrenzt sein. Dies hat den Vorteil, dass ein Angreifer, der die generelle Schicht einer Verschlüsselung eines Anweisungs-Paketes überwunden hat, die Funktionalität des Vermittlungs-Computersystems nicht durch einen Speicherüberlauf behindern kann. Dasselbe gilt auch für andere verwendete Übertragungsverfahren bzw. Kommunikationen.
  • In nicht dargestellten Ausführungsformen ist es auch denkbar, in einem Verbindungspfad zwischen dem externen Computersystem und einem Task-Server bzw. einem Ziel-Server eine weitere Firewall bzw. Paketfilter (zum Beispiel integriert in einem Router) einzurichten. Diese Firewall bzw. Paketfilter kann vorteilhaft derart eingerichtet sein, dass eine Adress-Weiterleitung und/oder Port-Weiterleitung eines Verbindungsaufbaus vom externen Computersystem in die Computernetz-Infrastruktur zu den entsprechenden Task-Servern bzw. Ziel-Servern durchgeführt wird. Dies hat den Vorteil, dass ein externes Computersystem für eine verfahrensgemäße Freischaltung einer Verbindung zu einem entsprechenden Ziel-Server lediglich eine IP-Adresse zur Ansprechbarkeit der Firewall verwenden kann, ohne zwischen einer oder mehreren IP-Adressen von Task-Servern und einer oder mehreren IP-Adressen von Ziel-Servern unterscheiden zu müssen. Hierbei muss beachtet werden, dass Quell-Netzwerk-Port und Quell-IP-Adresse der Verbindungsaufbauten vom externen Computersystem zu einem Task-Server bzw. Ziel-Server nicht überschrieben werden und an beiden Computersystemen vorliegen.
  • Die dargestellten Ausführungsbeispiele einer Computernetz-Infrastruktur sind lediglich beispielhaft gewählt. Es ist beispielsweise denkbar, Topologien einer Computernetz-Infrastruktur vorzusehen, die Komponenten aus den dargestellten Ausführungsbeispielen miteinander kombinieren.
  • Bezugszeichenliste
    • Task-Server
    Vermittlungs-Computersystem
    Task-Server 1
    Vermittlungs-Computersystem
    Task-Server 2
    Vermittlungs-Computersystem
    Ziel-Server
    Bearbeitungs-Computersystem
    Ziel-Server 1
    Bearbeitungs-Computersystem
    Ziel-Server 2
    Bearbeitungs-Computersystem
    N, N1, N2, N3
    Netzwerk
    FW
    Paket-Filter, Firewall
    1 bis 3
    Verfahrensschritte
    1‘ bis 3‘
    Verfahrensschritte

Claims (12)

  1. Verfahren zum Freischalten externer Computersysteme für eine Kommunikation mit abgesicherten Bearbeitungs-Computersystemen in einer Computernetz-Infrastruktur, umfassend die Schritte: – Übertragen eines Anweisungs-Paketes von einem externen Computersystem, welches außerhalb der Computernetz-Infrastruktur eingerichtet ist, an ein Vermittlungs-Computersystem innerhalb der Computernetz-Infrastruktur, – Generieren einer zufälligen Portnummer eines Netzwerk-Ports durch das Vermittlungs-Computersystem, – automatisiertes Übertragen der zufälligen Portnummer vom Vermittlungs-Computersystem an das externe Computersystem sowie an zumindest ein Bearbeitungs-Computersystem innerhalb der Computernetz-Infrastruktur, wobei das Bearbeitungs-Computersystem gegenüber dem externen Computersystem zumindest vorübergehend vorbestimmte Netzwerk-Ports geschlossen hält, so dass ein Zugriff auf das Bearbeitungs-Computersystem durch das externe Computersystem über Netzwerk vermittels dieser Netzwerk-Ports verhindert wird, – Freischalten des zur zufälligen Portnummer korrespondierenden Netzwerk-Ports durch das Bearbeitungs-Computersystem für eine Kommunikation mit dem externen Computersystem, – Aufbauen einer Verbindung zum freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems durch das externe Computersystem.
  2. Verfahren nach Anspruch 1, wobei das Bearbeitungs-Computersystem gegenüber dem Vermittlungs-Computersystem zumindest vorübergehend vorbestimmte Netzwerk-Ports geschlossen hält, so dass ein Zugriff auf das Bearbeitungs-Computersystem durch das Vermittlungs-Computersystem über Netzwerk vermittels dieser Netzwerk-Ports verhindert wird, wobei jedoch das Bearbeitungs-Computersystem auf das Vermittlungs-Computersystem zugreifen kann, um die zufällige Portnummer und/oder andere Informationen vom Vermittlungs-Computersystem abzuholen.
  3. Verfahren nach Anspruch 1 oder 2, wobei nach dem Aufbauen einer Verbindung zum selektiv freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems folgender zusätzlicher Schritt durchgeführt wird: – Begrenzen der Kommunikation zwischen dem Bearbeitungs-Computersystem und dem externen Computersystem auf den freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems und einen Netzwerk-Port des externen Computersystems, der dem Bearbeitungs-Computersystem durch die aufgebaute Verbindung bekannt ist.
  4. Verfahren nach einem der Ansprüche 1 bis 3, umfassend die zusätzlichen Schritte: – Übertragen einer ersten Zufallszahl vom externen Computersystem an das Vermittlungs-Computersystem, – Generieren einer zweiten Zufallszahl durch das Vermittlungs-Computersystem, – Übertragen der zweiten Zufallszahl vom Vermittlungs-Computersystem an das externe Computersystem sowie – Übertragen der ersten und zweiten Zufallszahl vom Vermittlungs-Computersystem an das Bearbeitungs-Computersystem.
  5. Verfahren nach Anspruch 4, wobei die erste Zufallszahl vor dem Übertragen mit einer Signatur des externen Computersystems signiert wird und wobei die im Vermittlungs-Computersystem generierte zweite Zufallszahl vor dem Übertragen mit einer Signatur des Vermittlungs-Computersystems signiert wird.
  6. Verfahren nach Anspruch 5, wobei nach Übertragen der signierten ersten Zufallszahl vom externen Computersystem an das Vermittlungs-Computersystem die Signatur der ersten Zufallszahl mit einer weiteren Signatur des Vermittlungs-Computersystems signiert wird und wobei nach Übertragen der signierten zweiten Zufallszahl vom Vermittlungs-Computersystem an das externe Computersystem die Signatur der zweiten Zufallszahl mit einer weiteren Signatur des externen Computersystems signiert wird.
  7. Verfahren nach einem der Ansprüche 4 bis 6, wobei nach dem Aufbauen einer Verbindung zum selektiv freigeschalteten Netzwerk-Port des Bearbeitungs-Computersystems durch das externe Computersystem folgende Schritte durchgeführt werden: – Übertragen der ersten und zweiten Zufallszahl vom externen Computersystem unmittelbar auf das Bearbeitungs-Computersystem vermittels der aufgebauten Verbindung sowie – Prüfen einer jeweiligen Übereinstimmung der ersten und zweiten Zufallszahl, die durch das Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem übertragen wurden, mit der ersten und zweiten Zufallszahl, die durch das externe Computersystem unmittelbar auf das Bearbeitungs-Computersystem übertragen wurden, im Bearbeitungs-Computersystem.
  8. Verfahren nach Anspruch 7, wobei die Verbindung zwischen dem externen Computersystem und dem Bearbeitungs-Computersystem durch das Bearbeitungs-Computersystem abgebaut wird, wenn das Prüfen der jeweiligen Übereinstimmung der ersten und zweiten Zufallszahlen negativ ist.
  9. Verfahren nach einem der Ansprüche 2 bis 8, wobei das Übertragen der zufälligen Portnummer oder anderer Informationen vom Vermittlungs-Computersystem auf das Bearbeitungs-Computersystem die folgenden Schritte umfasst: – Senden einer vorbestimmten Daten-Sequenz vom Vermittlungs-Computersystem oder vom externen Computersystem an das Bearbeitungs-Computersystem, wobei die vorbestimmten Netzwerk-Ports des Bearbeitungs-Computersystems geschlossen sind und wobei die Sequenz in einer vorbestimmten Reihenfolge einen oder mehrere Netzwerk-Ports des Bearbeitungs-Computersystems anspricht, – Überprüfen der gesendeten Daten-Sequenz auf Übereinstimmung mit einer vordefinierten Sequenz im Bearbeitungs-Computersystem, sowie – Veranlassen des Übertragens der zufälligen Portnummer oder anderer Informationen durch das Bearbeitungs-Computersystem, falls die Überprüfung der gesendeten Sequenz positiv ist, wobei das Bearbeitungs-Computersystem seinerseits eine Verbindung zum Vermittlungs-Computersystem aufbaut und die zufällige Portnummer oder andere Informationen vom Vermittlungs-Computersystem abholt.
  10. Verteiltes Rechnernetz mit – einer Computernetz-Infrastruktur, welche zumindest ein Vermittlungs-Computersystem und ein Bearbeitungs-Computersystem umfasst, und – zumindest einem externen Computersystem, welches sich außerhalb der Computernetz-Infrastruktur befindet, wobei das externe Computersystem eingerichtet ist, ein Anweisungs-Paket an das Vermittlungs-Computersystem zu übertragen zur Anweisung einer Kommunikation mit dem Bearbeitungs-Computersystem, wobei das Vermittlungs-Computersystem eingerichtet ist, automatisiert eine zufällige Portnummer eines Netzwerk-Ports zu generieren und die zufällige Portnummer sowohl an das Bearbeitungs-Computersystem als auch an das externe Computersystem zu übertragen, und wobei das Bearbeitungs-Computersystem eine Zugriffssteuereinheit aufweist, die eingerichtet ist, zumindest vorübergehend vorbestimmte Netzwerk-Ports geschlossen zu halten, so dass ein Zugriff auf das Bearbeitungs-Computersystem durch das externe Computersystem über ein Netzwerk vermittels dieser Netzwerk-Ports verhindert ist, jedoch ein Verbindungsaufbau zwischen dem Bearbeitungs-Computersystem und dem Vermittlungs-Computersystem erlaubt ist, um die zufällige Portnummer oder andere Informationen auszutauschen, wobei die Zugriffssteuereinheit ferner eingerichtet ist, einen zur zufälligen Portnummer korrespondierenden Netzwerk-Port für eine Kommunikation mit dem externen Computersystem freizuschalten.
  11. Verteiltes Rechnernetz nach Anspruch 10, welches eingerichtet ist, ein Verfahren nach einem der Ansprüche 1 bis 9 durchzuführen.
  12. Computerprogramm-Produkt, welches eingerichtet ist, auf einem oder mehreren Computersystemen ausgeführt zu werden und welches bei Ausführung ein Verfahren nach einem der Ansprüche 1 bis 9 durchführt.
DE102015116601.1A 2015-06-30 2015-09-30 Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt Withdrawn DE102015116601A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2017526518A JP6425816B2 (ja) 2015-06-30 2016-06-27 コンピュータ・ネットワーク・インフラストラクチャーにおいて外部コンピュータ・システムをブロック解除する方法、かかるコンピュータ・ネットワーク・インフラストラクチャーをもつ分散コンピュータ・ネットワークおよびコンピュータ・プログラム・プロダクト
US15/535,168 US10313305B2 (en) 2015-06-30 2016-06-27 Method of unblocking external computer systems in a computer network infrastructure, distributed computer network having such a computer network infrastructure as well as computer program product
PCT/EP2016/064862 WO2017001342A1 (de) 2015-06-30 2016-06-27 Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt
EP16732610.7A EP3318033B1 (de) 2015-06-30 2016-06-27 Anti-cracking verfahren mit hilfe eines vermittlungscomputer

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015110501 2015-06-30
DE102015110501.2 2015-06-30

Publications (1)

Publication Number Publication Date
DE102015116601A1 true DE102015116601A1 (de) 2017-01-05

Family

ID=57582495

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015116601.1A Withdrawn DE102015116601A1 (de) 2015-06-30 2015-09-30 Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt

Country Status (1)

Country Link
DE (1) DE102015116601A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060168136A1 (en) * 2004-12-02 2006-07-27 Desktopsites Inc. System and method for launching a resource in a network
US20070067625A1 (en) * 2005-08-29 2007-03-22 Schweitzer Engineering Laboratories, Inc. System and method for enabling secure access to a program of a headless server device
US20070180126A1 (en) * 2004-04-08 2007-08-02 Thomas Merkh Systems and methods for establishing and validating secure network sessions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070180126A1 (en) * 2004-04-08 2007-08-02 Thomas Merkh Systems and methods for establishing and validating secure network sessions
US20060168136A1 (en) * 2004-12-02 2006-07-27 Desktopsites Inc. System and method for launching a resource in a network
US20070067625A1 (en) * 2005-08-29 2007-03-22 Schweitzer Engineering Laboratories, Inc. System and method for enabling secure access to a program of a headless server device

Similar Documents

Publication Publication Date Title
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
EP3443705B1 (de) Verfahren und anordnung zum aufbauen einer sicheren kommunikation zwischen einer ersten netzwerkeinrichtung (initiator) und einer zweiten netzwerkeinrichtung (responder)
EP3518492B1 (de) Verfahren und system zur offenlegung mindestens eines kryptographischen schlüssels
DE602004011864T2 (de) Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router
DE102016124383A1 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
WO2007045395A1 (de) Vorrichtungen und verfahren zum durchführen von kryptographischen operationen in einem server-client-rechnernetzwerksystem
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
DE102014107783B4 (de) Routing-Verfahren zur Weiterleitung von Task-Anweisungen zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP3105898B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen sowie computernetz-infrastruktur
DE102014107793A1 (de) Verfahren zur Weiterleitung von Daten zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP3170295B1 (de) Erhöhen der sicherheit beim port-knocking durch externe computersysteme
EP3152880B1 (de) Verfahren zur kommunikation zwischen abgesicherten computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
DE102014112478A1 (de) Verfahren zur Verteilung von Tasks zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
DE102015116601A1 (de) Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP2186285B1 (de) Verfahren und einrichtung zur authentisierung übertragener nutzdaten
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
DE102016203534A1 (de) Verfahren und Analysemodul zur Überprüfung von verschlüsselten Datenübertragungen
DE102015013949A1 (de) Eine Soft- u. Hardwarekombination genannt "Dome-Ware" für den verschlüsselten und gegen Manipulationen gesicherten Datenaustausch zwischen mindestens zwei prozessorgesteuerten Endgeräten, geeignet um "Man-In-The-Middle"-Angriffe zu erkennen und abzuwehre
DE102022208754A1 (de) Authentifizierungsverfahren
EP4228204A1 (de) Zero trust für ein operational technology netzwerk transport protokoll
DE102020106505A1 (de) Verwalten einer Entschlüsselung von durch eine Netzwerkeinrichtung fließenden Netzwerk-Datenströmen
DE202020005698U1 (de) Netzwerkeinrichtung zum Korrelieren von durch eine Proxy-Einrichtung fließenden Netzwerk-Datenströmen
DE102016107644A1 (de) Verfahren zur erzwungenen Prozessierung von Datensätzen zwischen Computersystemen in einer Computernetz-Infrastruktur, Computernetz-Infrastruktur sowie Computerprogramm-Produkt

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R084 Declaration of willingness to licence
R016 Response to examination communication
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee