DE102016100692A1 - Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten - Google Patents

Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten Download PDF

Info

Publication number
DE102016100692A1
DE102016100692A1 DE102016100692.0A DE102016100692A DE102016100692A1 DE 102016100692 A1 DE102016100692 A1 DE 102016100692A1 DE 102016100692 A DE102016100692 A DE 102016100692A DE 102016100692 A1 DE102016100692 A1 DE 102016100692A1
Authority
DE
Germany
Prior art keywords
source address
port number
message
dedicated
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102016100692.0A
Other languages
English (en)
Inventor
Fridtjof van den Berge
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Publication of DE102016100692A1 publication Critical patent/DE102016100692A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Abstract

Eine Netzwerkschutzentität (100) zum Schützen eines Kommunikationsnetzwerks gegen betrügerische Nachrichten umfasst das Folgende: ein physikalisches Interface (101, FE0) umfassend einen Verbindungs-Trunk (T1), der dem physikalischen Interface (101, FE0) zugeordnet ist, um eine Kommunikationsnachricht (102) zu empfangen, wobei die Kommunikationsnachricht (102) eine Nachrichtenquelladresse (X) und eine Portnummer (P) umfasst und wobei die Kommunikationsnachricht (102) an ein Ziel innerhalb des Kommunikationsnetzwerk gerichtet ist; einen Speicher (103) zum Speichern einer geeigneten Tabelle (105) welche dafür geeignet ist, eine dedizierte Quelladresse (A) und eine dedizierte Portnummer (P1) für das physikalische Interface (101, FE0) und den zugehörigen Verbindungs-Trunk (T1) anzuzeigen; und einen Prozessor (107), der ausgebildet ist, die dedizierte Quelladresse (A) und die dedizierte Portnummer (P1) aus dem Speicher abzufragen, und die Nachrichtenquelladresse (X) mit der dedizierten Quelladresse (A) und die Portnummer (P) mit der dedizierten Portnummer (P1) zu vergleichen, und ferner ausgebildet ist, die Kommunikationsnachricht (102) zu verwerfen, wenn entweder die Nachrichtenquelladresse (X) sich von der dedizierten Quelladresse (A) unterscheidet oder die Portnummer (P) sich von der dedizierten Portnummer (P1) unterscheidet.

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Offenbarung bezieht sich auf eine Netzwerkschutzentität zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten und auf ein Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten.
  • HINTERGRUND
  • Fraud-Nachrichten bzw. betrügerische Nachrichten gegenüber Kommunikationsnetzen haben in den letzten Jahrzehnten stetig zugenommen. Derzeit gibt es über 195 Länder und souveräne Staaten weltweit mit zunehmend wachsendem Potenzial von ethnischen und politischen Konflikten. Die Zahl von Providern und Zielnetzwerken wächst kontinuierlich. Clouds werden teilweise durch neue Konglomerate gestartet. Das Wachstum des mobil erzeugten und / oder bestimmten IP-Datenverkehrs wird in den nächsten Jahren dramatisch ansteigen. Da die Sicherheit von mobilen Endgeräten sehr anfällig für Angriffe ist, werden viele neuartige Angriffe auf Personen und / oder Einrichtungen erfolgen, die volles Vertrauen darauf setzen, dass sie nicht das Ziel von Angriffen auf ihre Rechner sind. Gerade in den letzten fünf Jahren ist die IP Kriminalität in Deutschland um rund 50 Prozent angestiegen. Aufgrund der bestehenden HTTP-Anonymität im IPv4 bzw. RFC 4941 für die „privacy extensions“ der „stateless IPv6-Adressen“ werden keine Vorsichtsmaßnahmen getroffen, noch ist hier eine Verbesserung zu erwarten. Weder eine Transparenz der IP-Adressen, noch eine voll funktionsfähige Prävention oder gar eine Verfolgung von IP-Kriminalität durch nationale Strafverfolgungsbehörden ist in naher Zukunft zu erwarten.
  • Es besteht ein Bedarf für einen besseren Schutz von Kommunikationsnetzwerken gegen betrügerische Nachrichten krimineller Anwender.
  • ZUSAMMENFASSUNG
  • Es ist die Aufgabe der vorliegenden Erfindung, einen solchen Schutz von Kommunikationsnetzen gegen betrügerische Nachrichten bereitzustellen.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Weitere Ausführungsformen sind aus den abhängigen Ansprüchen, der Beschreibung und den Figuren ersichtlich.
  • Die wesentliche Idee der Erfindung besteht darin, zu verhindern, dass über IP und Port Betrugsnachrichten ein Kommunikationsnetzwerk angegriffen werden kann, indem eine Netzwerkschutzentität, z.B. ein Gateway oder ein anbieterspezifischer Edge-Router des Kommunikationsnetzes bereitgestellt wird, der über eine eigene Intelligenz verfügt, um IP-Adressen und Port-Nummern von Kommunikationsnachrichten aufzuzeichnen, welche ein Ziel innerhalb des Bestimmungsnetzes haben (d.h. das oben genannte Kommunikationsnetzwerk, für welches das Gateway oder der Edge-Router verantwortlich ist) und ferner festzuhalten, welche Schnittstellen und Trunks vorgesehen sind, um diese Nachrichten in das Bestimmungsnetz zu leiten. Spezifika dieser Kommunikationsnachrichten können beispielsweise in Tabellen innerhalb eines Speichers der Netzwerkschutzentität abgelegt werden, um Betrugsmeldungen zu erfassen und um damit zu vermeiden, dass solche betrügerischen Nachrichten in das Kommunikationsnetz gelangen. Die Tabellen können in spezifischen Zeitabständen erneuert werden, um Veränderungen in der dynamischen IP-Adresskonfiguration zu ermöglichen. Die zuvor genannten Tabellen werden gefüllt, indem verschiedene Kombinationen von IP-Adressen und Port-Nummern mit einem auf Eins gesetzten Time-to-Live-Feld ausgesendet werden, was anzeigt, dass die entsprechende Nachricht nur bis zum nächsten Hop gelangt. Mit Hilfe dieses Prinzips kann die Netzwerkschutzentität für jede in ihrer Tabelle eingetragene spezifische IP-Adresse und Port-Nummer die entsprechende Schnittstelle und den entsprechenden Trunk initialisieren. Damit werden alle Pakete einer Datenverbindung von einer Datenquelle zu einem Datenziel, welche über IP-Adresse und Port-Nummer der Quelle und IP-Adresse und Port-Nummer des Ziels identifiziert sind, stets die gleiche Route nehmen, d.h. über dieselbe Schnittstelle und denselben Trunk in das Netzwerk gelangen und darüber das Netzwerk wieder verlassen.
  • Durch Verwendung einer solchen Initialisierung der Netzwerkschutzentität oder eines solchen Netzwerkschutzverfahrens, vorzugsweise an der Netzwerkgrenze des Netzwerkproviders werden anonyme IP Fraud Angriffe (betrügerische IP Angriff), die aufgrund der Lokalisierung des Angreifers im Ausland nur schwer aufzudecken und gesetzlich zu verfolgen sind, letztlich aussterben. Damit können unachtsame Netzwerknutzer nicht mehr durch Schadsoftware wie Viren beeinträchtigt werden, denn der gesamte IP-Datenverkehr, der nicht über das richtige Interface und den richtigen Trunk in die Netzwerkschutzentität gelangt, wird entsprechend verworfen und kann somit erst gar nicht das Zielnetzwerk erreichen.
  • Mit der Implementierung dieser Netzwerkschutzentität oder der entsprechenden Netzwerkschutzverfahren in Netzwerken können bösartige IP Datentransfers an andere Netzwerknutzer nur dann erfolgreich ausgeführt werden, indem sie echte IP Adressen und Ports nutzen. Damit kann jeder einzelne Schaden, gleich welcher Art, wesentlich leichter nachverfolgt werden und schneller und mit höherer Erfolgsaussicht vor Gericht gebracht werden.
  • Um die Erfindung im Detail zu beschreiben werden die folgenden Bezeichnungen, Abkürzungen und Begriffe verwendet:
    • HPLMN:
    Home Public Land Mobile Network, Mobilfunknetze
    IP:
    Internet Protokoll
    ISO:
    Internationale Standardisierungs-Organisation
    ISP:
    Internet Service Provider
    OSI:
    Open Systems Interconnection, Architekturmodell der ISO
    PE:
    Provider Edge; bzw. der Rand oder die Grenze eines Netzwerks
    TTL:
    Time-To-Live bzw. verbleibende Lebenszeit einer Nachricht
  • Verfahren und Vorrichtungen gemäß der Offenbarung können dazu ausgelegt sein, eine OSI Schicht 2 Inspektion von Datenpaketen oder Datenrahmen bereitzustellen. Das OSI Schicht 2 Referenzmodell (offiziell als ISO Standard 1984, 7498-1:1994 und CCITT Standard X.200 bekannt) wurde durch das Internet Architecture Board entwickelt und durch die IETF entworfen. OSI Schicht 2 spezifiziert die Datenverbindungsschicht für eine sichere und fehlerfreie Übertragung von Datagrammen. In dieser Schicht werden Datenpakete kodiert und in Bits dekodiert.
  • In dieser Schicht werden Datenpakete in Bits kodiert und dekodiert. Sie stellt Übertragungsprotokollwissen und -Management bereit und behandelt Fehler in der physikalischen Schicht sowie Flusskontrolle und Rahmensynchronisation. Die Datenverbindungsschicht wird in zwei Subschichten unterteilt: Die Media Access (MAC) Layer bzw. Medium-Zugangsschicht und die Logical Link Control (LLC) layer bzw. Logische Verbindungssteuerungsschicht. Die MAC Schicht steuert wie ein Computer in einem Netzwerk Zugang zu den Daten erhält und Erlaubnis, diese zu übertragen. Die LLC Schicht steuert die Rahmensynchronisation, die Flusskontrolle und die Fehlerprüfung.
  • Verfahren und Vorrichtungen gemäß der Offenbarung können eine geeignete Tabelle (oder einfach: eine Tabelle) verwenden, um eine dedizierte Quelladresse und eine dedizierte Portnummer für das physikalische Interface und den zugeordneten Verbindungs-Trunk (oder einfach: Trunk) an ein Ziel innerhalb des Empfangsnetzwerks anzuzeigen. Geeignet soll hierin bedeuten, dass jede Tabelle verwenden kann, die dafür geeignet oder passend oder dazu ausgelegt ist, um eine dedizierte Quelladresse und eine dedizierte Portnummer für das physikalische Interface und den zugehörigen Trunk zu speichern. Die Tabelle kann beispielsweise als ein dynamisches Feld aufgebaut sein oder als einfach eine Tabelle mit Zeilen und Spalten oder als jede andere Art von Speicherstruktur, die für diesen Zweck geeignet ist. Die Tabelle kann dazu eingerichtet sein, eine Abbildung der dedizierten Quelladresse und der dedizierten Portnummer auf das physikalische Interfache und den zugehörigen Verbindungs-Trunk zu speichern.
  • Die folgenden Absätze sind ohne die Ergänzung beschrieben, dass eine Nachricht, die an das Empfangsnetzwerk gesendet wird, dafür vorgesehen ist, von einer IP-Adresse und Portnummer des Ziels empfangen zu werden. Alle Datenpakete einer Verbindung, d.h. mit IP-Adresse und Portnummer einer Quelle und IP-Adresse und Portnummer eines Ziels werden stets über dieselbe Route geführt, über welche sie in das Empfangsnetzwerk gelangen und dieses wieder verlassen.
  • Gemäß einem ersten Aspekt betrifft die Erfindung eine Netzwerkschutzentität zum Schützen eines Kommunikationsnetzwerks gegen betrügerische Nachrichten, mit: einem physikalischen Interface umfassend einen Verbindungs-Trunk, der dem physikalischen Interface zugeordnet ist, um eine Kommunikationsnachricht zu empfangen, wobei die Kommunikationsnachricht eine Nachrichtenquelladresse und eine Portnummer umfasst und wobei die Kommunikationsnachricht an ein Ziel innerhalb des Kommunikationsnetzwerk gerichtet ist; einen Speicher zum Speichern einer geeigneten Tabelle welche dafür geeignet ist, eine dedizierte Quelladresse und eine dedizierte Portnummer für das physikalische Interface und den zugehörigen Verbindungs-Trunk anzuzeigen; und einen Prozessor, der ausgebildet ist, die dedizierte Quelladresse und die dedizierte Portnummer aus dem Speicher abzufragen, und die Nachrichtenquelladresse mit der dedizierten Quelladresse und die Portnummer mit der dedizierten Portnummer zu vergleichen, und ferner ausgebildet ist, die Kommunikationsnachricht zu verwerfen, wenn entweder die Nachrichtenquelladresse sich von der dedizierten Quelladresse unterscheidet oder die Portnummer sich von der dedizierten Portnummer unterscheidet.
  • Dies wird ermöglicht, indem eine Netzwerkschutzentität, z.B. ein Gateway oder ein anbieterspezifischer Edge-Router des Kommunikationsnetzes bereitgestellt wird, der über eine eigene Intelligenz verfügt, um IP-Adressen und Port-Nummern von Kommunikationsnachrichten aufzuzeichnen, welche ein Ziel innerhalb des Bestimmungsnetzes haben (d.h. das oben genannte Kommunikationsnetzwerk, für welches das Gateway oder der Edge-Router verantwortlich ist) und ferner festzuhalten, welche Schnittstellen und Trunks vorgesehen sind, um diese Nachrichten in das Bestimmungsnetz zu leiten. Spezifika dieser Kommunikationsnachrichten werden in der geeigneten Tabelle innerhalb des Speichers der Netzwerkschutzentität abgelegt, um Betrugsmeldungen zu erfassen und um damit zu vermeiden, dass solche betrügerischen Nachrichten in das Kommunikationsnetz gelangen. Dies kann einfach dadurch realisiert werden, dass Kommunikationsnachrichten, deren Nachrichtenquelladresse mit Portnummer sich von in der Tabelle gespeicherten erlaubten Quelladresse(n) mit entsprechenden Portnummern unterscheiden, verworfen werden.
  • In einer Implementierungsform gemäß dem ersten Aspekt ist der Prozessor ausgebildet, basierend auf über das physikalische Interface ausgesendeten IP Nachrichten, bei denen ein TTL Feld auf Eins gesetzt ist, die geeignete Tabelle mit Inhalt zu füllen.
  • Dies bietet den Vorteil, dass eine Vertrauensbeziehung aufgebaut werden kann, indem nur die Spezifika solcher Kommunikationsnachrichten in der Tabelle gespeichert werden, welche zuvor mit einem auf Eins gesetzten TTL Feld ausgesendet wurden. Am anderen, dem Empfangsende der Übertragung zeigt ein TTL = 1 Feld dem Empfangsknoten an, dass die Nachricht von dem letzten Hop zu dem Empfangsknoten gesendet wurde und somit wird das TTL = 1 Feld im Empfangsknoten zu TTL = 0 gesetzt und damit die Nachricht verworfen.
  • In einer Implementierungsform gemäß dem ersten Aspekt zeigt die geeignete Tabelle die dedizierte Quelladresse und die dedizierte Portnummer für eine Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk an.
  • Wenn die geeignete Tabelle erlaubte IP Quelladressen mit entsprechenden Ports für eine Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk auf diesem physikalischen Interface speichert, kann die Detektion und Verteidigung gegen betrügerische Nachrichten weiter verbessert werden, weil ein höherer Grad an Konfigurationsinformation benötigt wird. Der Angreifer würde mehr Informationen und Einblicke in die spezifische Gateway bzw. Router-Konfiguration benötigen, um gefälschte Nachrichten für einen einzigen spezifischen Angriff zu erzeugen, welche in der Lage wären, die Netzwerkschutzentität zu passieren.
  • In einer Implementierungsform gemäß dem ersten Aspekt zeigt die geeignete Tabelle eine erlaubte Kombination aus einer IP Quelladresse und einer Portnummer für die Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk an.
  • Wenn die geeignete Tabelle erlaubte Quelladress-/Port Kombinationen speichert für existierende Kombinationen von physikalischem Interface/Verbindungstrunk, kann ein noch besserer Schutz gegen betrügerische Nachrichten realisiert werden, weil ein noch höherer Grad an Konfigurationsinformation benötigt wird. In diesem Fall haben vorzugsweise nur das Empfangsnetzwerk und seine Administratoren die hier erforderlichen Einblicke bzgl. der Konfiguration jeder Netzwerkschutzentität. Der Angreifer müsste wissen, welche Quelladressen und Portnummern auf welchen physikalischen Interfaces und Verbindungstrunks einer spezifischen Netzwerkschutzentität übertragen werden entsprechend jeder verschiedenen Route durch das Internet, denn es können eine Vielzahl von Routen von einer Quelle zu einem Ziel existieren.
  • Daher würde es extrem schwierig werden und auch wesentlich mehr Zeit in Anspruch nehmen, gefälschte Nachrichten zu erzeugen, die in der Lage sind, die hier beschriebene Netzwerkschutzentität zu passieren, welche das eigene Netzwerk vor betrügerischen IP Nachrichten schützt.
  • In einer Implementierungsform gemäß dem ersten Aspekt umfasst die Nachrichtenquelladresse und die zugehörige Portnummer der Kommunikationsnachricht ferner eine Netzwerkmaske, eine Anzahl von Bytes für eine maximale Übertragungseinheit und eine Geschwindigkeitsinformation; und die geeignete Tabelle zeigt eine erlaubte Kombination aus einer IP Quelladresse und einer Portnummer für die Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk an.
  • Wenn die geeignete Tabelle nur die spezifischen gespeicherten Parameter, d.h. die Kombinationen von Quelladresse, Portnummer, Netzwerkmaske, Anzahl von Bytes für die maximale Übertragungseinheit und Geschwindigkeitsinformation, etc., in einem IP-Header für spezifische Kombinationen des physikalischen Interface und des Verbindungstrunks zulässt, dann kann ein besonders hoher Schutzgrad gegen betrügerische Nachrichten erzielt werden, denn dann ist eine sehr große Anzahl an Konfigurationsinformationen notwendig in Abhängigkeit von der möglichen Verbindungsvarianten von verschieden möglichen Netzwerkschutzentitäten. Der Angreifer muss dann wissen für welches Routing welche IP Quelladresse und Portnummer, mit weiterhin welcher Netzwerkmaske, Anzahl von Bytes für die maximale Übertragungseinheit und Geschwindigkeitsinformation verwendet werden zu Übertragung auf welcher Kombination von physikalischem Interface und Verbindungstrunk auf welcher Netzwerkschutzentität. Daher ist es für den Angreifer sehr schwierig, gefälschte Nachrichten mit den korrekten Quellparametern zu erzeugen, welche in der Lage sind, die möglicherweise mehreren Netzwerkschutzentitäten im Zielnetzwerk zu passieren.
  • In einer Implementierungsform gemäß dem ersten Aspekt ist der Prozessor ausgebildet, die geeignete Tabelle auf Basis eines Zeitintervalls zu erneuern, um gültigen Kommunikationsnachrichten, deren Nachrichtenquelladressen dynamisch geändert werden, den Zutritt in das Kommunikationsnetzwerk zu gewähren.
  • Die Tabellen können in zeitlichen Abständen erneuert werden, um so eine dynamische IP Adressen Konfiguration zu ermöglichen, zum Beispiel um eine DHCP Konfiguration von IP Adressen zu ermöglichen oder um http-Anonymität zu erlauben, beispielsweise in IPv4 bzw. RFC 4941 für die „Privacy“-Erweiterungen von zustandslosen IPv6 Adressen.
  • In einer Implementierungsform gemäß dem ersten Aspekt ist der Prozessor ausgebildet, die Nachrichtenquelladresse und die Portnummer der Kommunikationsnachricht basierend auf einer OSI Schicht 2 Inspektion abzufragen.
  • Dies bietet den Vorteil, dass die OSI Schicht 2 (oder Datenverbindungsschicht) eine niedrige Schicht im OSI Referenzmodell ist und deshalb der Rechenaufwand zum Inspizieren der Datenpakete in Schicht 2 gering ist. Daher ist der Rechenaufwand für den Prozessor, der die OSI Schicht 2 Inspektion ausführt, gering. Dies bewirkt eine schnelle Ausführung jeder einzelnen Inspektionsaufgabe, in welcher das Überprüfen der Quelladresse mit Portnummer ausgeführt wird.
  • In einer Implementierungsform gemäß dem ersten Aspekt ist der Prozessor ausgebildet, vor dem Verwerfen der Kommunikationsnachricht einen Alarm auszulösen, wenn die Nachrichtenquelladresse der Kommunikationsnachricht sich von der dedizierten Quelladresse unterscheidet oder wenn die Portnummer der Kommunikationsnachricht sich von der dedizierten Portnummer unterscheidet.
  • Dies bietet den Vorteil, dass die Erkennung von betrügerischen Nachrichten und ihre Quelladressen mit Portnummer protokolliert werden kann und der Angreifer damit aufgespürt werden kann.
  • In einer Implementierungsform gemäß dem ersten Aspekt umfasst die Netzwerkschutzentität ein Konfigurationsinterface zum Füllen der geeigneten Tabelle mit konfigurierbaren Werten.
  • Dies bietet den Vorteil, dass die geeignete Tabelle entweder manuell aufgefüllt werden kann, z.B. von einem Netzwerkbetreiber, oder automatisch auf Anfrage.
  • In einer Implementierungsform gemäß dem ersten Aspekt ist die Netzwerkschutzentität ein Gateway oder ein Router, insbesondere ein Router an der Netzwerkgrenze des Netzwerkbetreibers.
  • Dies bietet den Vorteil, dass ein Gateway oder ein PE (Provider Edge) Router, der zum Verwalten eines Kommunikationsnetzwerks genutzt wird, auch dazu verwendet werden kann, die Netzwerkschutzentität zu implementieren. Dann müssten keine zusätzlichen Netzwerkelemente installiert werden, sondern eine Erweiterung bestehender Netzwerkelemente um die hier beschriebenen Merkmale der Netzwerkschutzentität wäre ausreichend.
  • Gemäß einem zweiten Aspekt betrifft die Erfindung ein Verfahren zum Schützen eines Kommunikationsnetzwerks gegen betrügerische Nachrichten, mit folgenden Schritten: Empfangen einer Kommunikationsnachricht über einen Verbindungs-Trunk eines physikalischen Interface, wobei die Kommunikationsnachricht eine Nachrichtenquelladresse und eine Portnummer umfasst und wobei die Kommunikationsnachricht an ein Ziel innerhalb des Kommunikationsnetzwerk gerichtet ist; Bereitstellen einer geeigneten Tabelle welche dafür geeignet ist, eine dedizierte Quelladresse und eine dedizierte Portnummer für das physikalische Interface und den Verbindungs-Trunk anzuzeigen; Abfragen der dedizierten Quelladresse und der dedizierten Portnummer aus der geeigneten Tabelle und Vergleichen der Nachrichtenquelladresse mit der dedizierten Quelladresse und der Portnummer mit der dedizierten Portnummer; und Verwerfen der Kommunikationsnachricht, wenn entweder die Nachrichtenquelladresse sich von der dedizierten Quelladresse unterscheidet oder die Portnummer sich von der dedizierten Portnummer unterscheidet.
  • Solch eine Netzwerkschutzverfahren ermöglicht einen besseren Schutz von Kommunikationsnetzwerken gegen betrügerische Nachrichten krimineller Nutzer. Dies kann ermöglicht werden, indem eine geeignete Tabelle bereitgestellt wird, der über eine eigene Intelligenz verfügt, um IP-Adressen und Port-Nummern von Kommunikationsnachrichten aufzuzeichnen, welche ein Ziel innerhalb des Bestimmungsnetzes haben (d.h. des oben genannten Kommunikationsnetzwerks, für welches das Schutzverfahren verantwortlich ist) und ferner festzuhalten, welche Schnittstellen und Trunks vorgesehen sind, um diese Nachrichten in das Bestimmungsnetz zu leiten. Spezifika dieser Kommunikationsnachrichten werden in der geeigneten Tabelle innerhalb des Speichers der Netzwerkschutzentität abgelegt, um Betrugsmeldungen zu erfassen und um damit zu vermeiden, dass solche betrügerischen Nachrichten in das Kommunikationsnetz gelangen. Dies kann einfach dadurch realisiert werden, dass Kommunikationsnachrichten, deren Nachrichtenquelladresse mit Portnummer sich von in der Tabelle gespeicherten erlaubten Quelladresse(n) mit entsprechenden Portnummern unterscheiden, verworfen werden.
  • In einer Implementierungsform gemäß dem zweiten Aspekt umfasst das Verfahren ein Bereitstellen der geeigneten Tabelle basierend auf über das physikalische Interface ausgesendeten IP Nachrichten, bei denen ein TTL Feld auf Eins gesetzt wurde.
  • Dies bietet den Vorteil, dass eine Vertrauensbeziehung aufgebaut werden kann, indem nur die Spezifika solcher Kommunikationsnachrichten in der Tabelle gespeichert werden, welche zuvor mit einem auf Eins gesetzten TTL Feld ausgesendet wurden. Am anderen, dem Empfangsende der Übertragung zeigt ein TTL = 1 Feld dem Empfangsknoten an, dass die Nachricht von dem letzten Hop zu dem Empfangsknoten gesendet wurde und somit wird das TTL = 1 Feld im Empfangsknoten zu TTL = 0 gesetzt und damit die Nachricht verworfen.
  • In einer Implementierungsform gemäß dem zweiten Aspekt umfasst das Verfahren ein Bereitstellen der geeigneten Tabelle, so dass die geeignete Tabelle die dedizierte Quelladresse und die dedizierte Portnummer für eine Kombination aus dem physikalischen Interface und dem Verbindungs-Trunk anzeigt.
  • Wenn die geeignete Tabelle erlaubte IP Quelladressen mit entsprechenden Ports für eine Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk auf diesem physikalischen Interface speichert, kann die Detektion und Verteidigung gegen betrügerische Nachrichten weiter verbessert werden, weil ein höherer Grad an Konfigurationsinformation benötigt wird. Der Angreifer würde mehr Informationen und Einblicke in die spezifische Gateway bzw. Router-Konfiguration benötigen, um gefälschte Nachrichten für einen einzigen spezifischen Angriff zu erzeugen, welche in der Lage wären, die Netzwerkschutzentität zu passieren.
  • In einer Implementierungsform gemäß dem zweiten Aspekt umfasst das Verfahren ein Empfangen der Kommunikationsnachricht, bei der die Nachrichtenquelladresse eine IP Quelladresse und eine Portnummer aufweist; und ein Verwerfen der Kommunikationsnachricht, falls die IP Quelladresse und die Portnummer sich von einer erlaubten Kombination aus einer IP Quelladresse und einer Portnummer für eine Kombination aus dem physikalischen Interface und dem Verbindungs-Trunk unterscheiden.
  • Wenn die geeignete Tabelle erlaubte Quelladress-/Portnummer Kombinationen für existierende Kombinationen von physikalischem Interface/Verbindungstrunk speichert, dann kann ein noch besserer Schutz gegen betrügerische Nachrichten erzielt werden, weil ein noch höherer Grad an Konfigurationsinformationen nötig ist. Vorzugsweise sind diese Konfigurationsinformationen über das Zielnetzwerk und ein solcher Einblick in die Netzwerkschutzelemente nur dem Zielnetzwerk selbst und seinen Administratoren bekannt, welche über die hierzu erforderlichen Rechte verfügen. Der Angreifer müsste wissen welche Quelladressen und Portnummern auf welche physikalischen Interfacen und Verbindungstrunks einer spezifischen Netzwerkschutzentität übertragen werden, und das abhängig von verschiedenen Routen durch das Internet, denn verschiedene Routen von Quelle zu Ziel können hier auftreten. Daher wird es dem Angreifer extrem schwierig gemacht und es würde ihn wesentlich mehr Zeitaufwand kosten, um betrügerische Nachrichten zu erzeugen, die in der Lage sind die hier beschriebene Netzwerkschutzlösung zum Schutz vor betrügerischen Nachrichten im eigenen Netzwerk zu passieren.
  • Gemäß einem dritten Aspekt betrifft die Erfindung ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß dem zweiten Aspekt oder einer seiner Implementierungsformen, wenn das Computerprogramm auf einem Computer läuft.
  • Solch ein Programmcode kann leicht auf einem vorhandenen Gateway bzw. PE-Router implementiert werden. Damit kann ein Upgrade dieser Netzwerkelemente durchgeführt werden, um sie zu Netzwerkschutzelementen gemäß der Offenbarung zu machen.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Weitere Ausführungsbeispiele der Erfindung werden bezüglich der folgenden Figuren beschrieben. Es zeigen:
  • 1 ein Blockdiagramm, das eine Netzwerkschutzentität 100 zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten in einem Operationsmodus entsprechend einer Implementierungsform darstellt;
  • 2 ein Blockdiagramm, das die in 1 dargestellte Netzwerkschutzentität 100 in einem Konfigurationsmodus zum Sammeln der Interface und Trunkparameter in Abhängigkeit von IP Adressen und IP-Portnummern entsprechend einer Implementierungsform darstellt;
  • 3 eine dreidimensionale Darstellung eines Gateway 300 als einer Implementierung einer Netzwerkschutzentität entsprechend einer Implementierungsform;
  • 4 ein Blockdiagramm, das ein Kommunikationssystem 400 mit einem Heimatkommunikationsnetz, welches durch eine Netzwerkschutzentität 100 gegen betrügerische Nachrichten geschützt wird, entsprechend einer Implementierungsform; und
  • 5 ein schematisches Diagramm, das ein Verfahren 500 zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten entsprechend einer Implementierungsform darstellt.
  • DETAILLIERTE BESCHREIBUNG VON AUSFÜHRUNGSBEISPIELEN
  • In der folgenden ausführlichen Beschreibung wird auf die beiliegenden Zeichnungen Bezug genommen, die einen Teil hiervon bilden und in denen als Veranschaulichung spezifische Ausführungsformen gezeigt sind, in denen die Erfindung ausgeführt werden kann. Es versteht sich, dass auch andere Ausführungsformen genutzt und strukturelle oder logische Änderungen vorgenommen werden können, ohne von dem Konzept der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist deshalb nicht in einem beschränkenden Sinne zu verstehen.
  • Es versteht sich, dass Kommentare, die in Zusammenhang mit einem beschriebenen Verfahren gemacht wurden, auch für eine entsprechende Vorrichtung oder ein entsprechendes System gelten, um das Verfahren auszuführen oder umgekehrt. Wenn zum Beispiel ein spezifischer Verfahrensschritt beschrieben ist, kann eine entsprechende Vorrichtung eine Einheit umfassen, mit der der beschriebene Verfahrensschritt ausgeführt werden kann, selbst dann, wenn solch eine Einheit nicht explizit in der Beschreibung beschrieben oder in den Figuren illustriert ist. Ferner versteht es sich, dass die Merkmale der verschiedenen hierin beschriebenen Ausführungsbeispiele miteinander kombiniert werden können, sofern nicht spezifisch etwas anderes angegeben ist.
  • In der folgenden Beschreibung werden Verfahren und Vorrichtungen zum Schutz von Kommunikationsnetzwerken gegen betrügerische oder gefälschte Nachrichten beschrieben. Die beschriebenen Vorrichtungen und Systeme bezeichnen Funktionalitäten, können aber ander benannt werden, abhängig von Hersteller und Entwicklungsstatus solcher Einheiten bzw. Knoten. Die beschriebenen Vorrichtungen und Systeme können beispielsweise Schaltkreise mit logischen integrierten Schaltungen (ICs) und/oder passiven Schaltungen entsprechend verschiedener Technologien umfassen. Zum Beispiel können die Schaltkreise logische integrierte Schaltungen, analoge integrierte Schaltungen, gemischte (mixed signal) integrierte Schaltungen, optische Schaltkreise, Speicherschaltkreise und/oder integrierte passive Schaltungen umfassen.
  • In der folgenden Beschreibung werden Verfahren und Vorrichtungen vorgestellt, die das Time-To-Live (TTL) Nachrichtenfeld von Kommunikationsnachrichten, insbesondere IP Nachrichten ausnutzen. Das TTL Nachrichtenfeld oder die Begrenzung der Hop-Anzahl, d.h. der Anzahl von Netzwerkknoten auf der Route bzw. Strecke von der Quelle zum Ziel ist ein Mechanismus, der die Lebensspanne oder Lebensdauer von Daten bzw. Nachrichten in einem Computer oder einem Netzwerk begrenzt. TTL kann als ein Zähler oder ein Zeitstempel implementiert werden, der an dem Datenpaket angebracht ist oder in das Datenpaket integriert ist. Sobald das vorgeschriebene Ereignis auftritt oder die Zeitspanne abgelaufen ist, wird das Datenpaket verworfen bzw. gelöscht. TTL vermeidet damit, dass ein Datenpaket unendlich lange im Netzwerk umläuft. TTL beschreibt ferner eine Proximitäts(Nähen)-Beziehung zwischen zwei Netzwerkeinheiten bzw. Netzwerkentitäten. Eine Verringerung des TTL Felds charakterisiert eine Entfernung (in Zeit oder Raum) zwischen zwei Netzwerkeinheiten.
  • Gemäß dem Internet Protokoll (IP) ist TTL ein 8 bit Feld. In dem IPv4 Header ist TTL das neunte Oktett von 20. In dem IPv6 Header ist TTL das achte Oktett von 40. Der maximale Wert des TTL Felds ist 255, der maximale Wert eines einzelnen Oktetts. Der TTL-Wert kann eine Obergrenze der Zeit repräsentieren, die ein IP Datagramm in dem Internet System existieren kann. Das TTL Feld wird von dem Sender eines Datagramms gesetzt und dann durch jeden Router reduziert werden, den das Datagramm auf seinem Weg zum Ziel passiert. Der Zweck des TTL Felds ist es, eine Situation zu vermeiden, in der ein nicht auslieferbares Datagramm weiter und weiter im Internet zirkuliert, um damit eine stabile Leistungsfähigkeit zu gewährleisten. Gemäß IPv4 wird das TTL Feld in Sekunden gemessen und jeder Host, den das Datagramm passiert, muss das TTL Feld um zumindest eine Einheit reduzieren. In der Praxis jedoch wird das TTL Feld in jedem Hop um Eins reduziert. Um diese Praxis aufzuzeigen, ist das Feld in IPv6 als Hop Limit umbenannt worden.
  • In der folgenden Beschreibung werden Verfahren und Vorrichtungen beschrieben, die auf Trunks oder Verbindungstrunks basieren. Trunking bzw. Verbinden von Trunks bezieht sich auf ein Verfahren mit dem Netzwerkzugang für mehrere Clients bereitgestellt werden kann, indem ein Satz an Leitungen oder Zugängen unter den Clients aufgeteilt wird anstatt jedem Client seinen eigenen Zugang zu verschaffen. Ein Trunk kann definiert werden als eine permanente Punkt-zu-Punkt Kommunikationsleitung- oder Kommunikationsverbindung zwischen zwei Ports einer Kommunikationseinheit, z.B. eines Gateways. Im Zusammenhang mit Ethernet bezeichnet der Begriff „Ethernet Trunking“ das Tragen mehrerer VLANs (virtueller lokaler Netzwerke) durch einen einzigen Netzwerk-Link unter Verwendung eines Trunking Protokolls. Um die Verwendung mehrerer VLANs auf einem Link zu ermöglichen, werden Rahmen bzw. Datenpakete von individuellen VLANs definiert.
  • 1 zeigt ein Blockdiagramm, das eine Netzwerkschutzentität 100 zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten in einem Operationsmodus entsprechend einer Implementierungsform darstellt.
  • Die Netzwerkschutzentität 100 umfasst ein physikalisches Interface 101, FE0, einen Speicher 103 und einen Prozessor 107. Das physikalische Interface 101, FE0 ist dazu ausgelegt, eine Kommunikationsnachricht 102 zu empfangen. Die Kommunikationsnachricht 102 umfasst eine Nachrichtenquelladresse X. Der Speicher 103 wird dazu genutzt, eine geeignete Tabelle 105 zu speichern. Die geeignete Tabelle 105 zeigt zumindest eine erlaubte Quelladresse A für das physikalische Interface 101, FE0 an. Der Prozessor 107 ist dazu ausgelegt, die eine oder mehreren erlaubten Quelladressen A von dem Speicher 103 abzufragen und die Nachrichtenquelladresse X mit der einen oder mehreren erlaubten Quelladressen A zu vergleichen.
  • Der Prozessor 107 ist ferner dazu ausgelegt, die Kommunikationsnachricht 102 zu verwerfen, falls die Nachrichtenquelladresse X sich von der zumindest einen, erlaubten Quelladresse A unterscheidet. Der Prozessor 107 kann die geeignete Tabelle 105 basierend auf IP Nachrichten erzeugen, die über das physikalische Interface 101, FE0 empfangen wurden, in welchen ein TTL Feld auf Eins gesetzt ist, beispielsweise gemäß der Beschreibung zu 2. Das physikalische Interface 101, FE0 kann einen Verbindungstrunk umfassen, der dazu ausgelegt ist, die Kommunikationsnachricht 102 zu empfangen. Die geeignete Tabelle 105 kann die zumindest eine erlaubte Quelladresse A für eine Kombination des physikalische Interface 101, FE0 und des Verbindungstrunks anzeigen.
  • Die Nachrichtenquelladresse X der Kommunikationsnachricht 102 kann eine IP Quelladresse und eine Portnummer umfassen. Die geeignete Tabell 105 kann eine erlaubte Kombination von IP Quelladresse und Portnummber für die Kombination von physikalischem Interface 101, FE0 und Verbindungstrunk umfassen. Die Nachrichtenquelladresse X der Kommunikationsnachricht 102 kann ferner eine Netzwerkmaske, eine Anzahl an Bytes für die maximale Übertragungseinheit und eine Geschwindigkeitsinformation umfassen. Die geeignete Tabelle kann eine erlaubte Kombination von IP Quelladresse, Portnummer, Netzwerkmaske, Anzahl an Bytes für die maximale Übertragungseinheit und Geschwindigkeitsinformation für die Kombination von physikalischem Interface 101, FE0 und Verbindungstrunk umfassen.
  • Der Prozessor 107 kann die geeignete Tabelle 105 auf einer Zeitintervallbasis erneuern bzw. updaten, um so gültigen Kommunikationsnachrichten 102, deren Nachrichtenquelladressen X dynamisch verändert werden, zu erlauben das Kommunikationsnetzwerk zu betreten. Der Prozessor 107 kann konfiguriert sein, die Nachrichtenquelladresse X der Kommunikationsnachricht 102 basierend auf OSI Schicht 2 Inspektion abzufragen.
  • Der Prozessor 107 kann vor dem Verwerfen der Kommunikationsnachricht 102 einen Alarm aufsetzen, wenn die Nachrichtenquelladresse der Kommunikationsnachricht 102 sich von der zumindest einen, erlaubten Quelladresse A unterscheidet. Die Netzwerkschutzentität 100 kann ein Konfigurationsinterface aufweisen, um die geeignete Tabelle 105 mit Konfigurationswerten zu füllen.
  • Die Netzwerkschutzentität 100 kann zum Beispiel ein Gateway, ein Router oder ein PE Router sein.
  • Die in 1 dargestellte Netzwerkschutzentität 100 ist in einem Operationsmodus dargestellt, d.h. ein oder mehrere Kommunikationsnachrichten 102 kommen am physikalischen Interface 101, FE0 mit Quelladresse X und Portnummer P an und der Prozessor 107 überprüft, ob die Quelladresse X und die Portnummer P der Kommunikationsnachricht 102 zusammen mit einer Identifikation FE0, 101 des physikalischen Interface FE0 und des Verbindungstrunks T1 in der geeigneten Tabelle 105 des Speichers 103 gespeichert ist.
  • Wenn die Quelladresse X und der Port P in der Tabelle als ein erlaubter Eintrag für das Interface FE0 und den Verbindungstrunk T1 gespeichert sind, dann wird der Kommunikationsnachricht 102 erlaubt, das Kommunikationsnetzwerk zu betreten (was nicht in 1 illustriert ist, siehe hier z.B. 4). Andererseits wird der Kommunikationsnachricht 102 nicht erlaubt, das Kommunikationsnetzwerk zu betreten und die Kommunikationsnachricht 102 kann verworfen bzw. gelöscht werden.
  • Die geeignete Tabelle kann mehrere Quelladressen und Portnummern enthalten, die für entsprechende physikalische Interfaces und Verbindungstrunks erlaubt sind, z.B. Adresse B mit Port P2 für das physikalische Interface FE0 und den Verbindungstrunk T2 oder Adresse C mit Port P1 für das physikalische Interface FE1 und den Verbindungstrunk T1. Die geeignete Tabelle kann mehrere physikalische Interfaces und mehrere Verbindungstrunks pro physikalischen Interface umfassen, beispielsweise Quelladresse A und Port P1 erlaubt für physikalisches Interface FE0 und Trunk T1, Quelladresse B und Port P2 erlaubt für physikalisches Interface FE1 und Trunk T2, Quelladresse C und Port P1 erlaubt für physikalisches Interface FE1 und Trunk T1, Quelladresse D und Port P3 erlaubt für physikalisches Interface GE0 und Trunk T1, wie beispielsweise in 1 dargestellt.
  • Während 1 einen Operationsmodus der Netzwerkschutzentität 100 darstellt, in dem die geeignete Tabelle 105 existiert und mit erlaubter Adressinformation gefüllt wird, illustriert 2 den Konfigurationsmodus, in dem die Netzwerkschutzentität 100 Informationen gewinnt, um die geeignete Tabelle zu füllen.
  • 2 zeigt ein Blockdiagramm, das die in 1 dargestellte Netzwerkschutzentität 100 in einem Konfigurationsmodus zum Sammeln der Interface und Trunkparameter in Abhängigkeit von IP Adressen und IP-Portnummern entsprechend einer Implementierungsform darstellt.
  • Die in 2 gezeigte Netzwerkschutzentität 100 entspricht der in 1 dargestellten Netzwerkschutzentität 100. 2 stellt die beispielhafte Konfiguration der geeigneten Tabelle 105 gemäß einer Ausführungsform dar. Wenn ein Vertrauensnachricht 202 an dem physikalischen Interface 101 ankommt, z.B. eine IP Nachricht mit einem Nachrichtenfeld z.B. in einem Header der IP Nachricht, welche eine Time-to-Live (TTL) gleich Eins anzeigt, nimmt die Netzwerkschutzentität 100 an, dass diese Nachricht von dem nächsten Netzwerkelement stammt, z.B. dem nächsten Router (next hop router) oder Gateway (next hop gateway), d.h. einem sicheren Netzwerkelement, das nicht durch bösartige Angreifer korrumpiert ist. Deshalb wird die Nachrichtenquelladresse dieser Vertrauensnachricht 202 als eine gültige Quelladresse behandelt, die dazu zum Speichern in der geeigneten Tabelle 105 verwendet werden kann.
  • Der Prozessor 107 überprüft, ob ein TTL Nachrichtfeld in der Vertrauensnachricht 202 enthalten ist und falls solch eine Vertrauensbeziehung existiert, wird die Quelladresse A und die Portnummer P1 der Vertrauensnachricht 202 zusammen mit der Identifikation FE0 des physikalischen Interface 101 und der Verbindungstrunk T1 in der geeigneten Tabelle 105 gespeichert. Falls die eingehende Nachricht ein TTL = 1 Feld aufweist, wird sie verworfen, da der Empfangsknoten den Wert 1 von dem TTL Feld extrahiert und die Nachricht dann nicht mehr weiterleiten kann.
  • Alternativ können auch andere Vertrauensbeziehungen angewendet warden, um zu prüfen, ob die Nachricht 202 von einem sicheren Netzwerkelement stammt. Zum Beispiel kann selbst ein TTL Feld mit Wert 2 oder mit höheren Werten verwendet werden, falls die Netzwerkkonfiguration bekannt ist. Zum Beispiel, falls die Nachricht eine Vielzahl von Routern in einem nicht-anonymen Netzwerk passiert, beispielsweise einem Internet, kann der TTL Wert um die Anzahl bekannter Netzwerkelemente, welche eine Nachricht passieren muss bevor sie zu dem physikalischen Interface 101 gelangt, entsprechend erhöht werden. Anstelle des TTL Feldes können auch andere Nachrichtenfelder der Kommunikationsnachricht verwendet werden, die eine Vertrauensbeziehung bereitstellen, die nicht manipuliert werden kann, z.B. basierend auf einem Zeitstempel oder einer Folgenummer bzw. Sequenznummer, etc.
  • 3 zeigt eine dreidimensionale Darstellung eines Gateway 300 als einer Implementierung einer Netzwerkschutzentität entsprechend einer Implementierungsform.
  • Das Gateway 300 ist eine beispielhafte Ausführungsform einer Netzwerkschutzentität 100 gemäß der Beschreibung der 1 und 2. Andere Beispiele sind PE-Router und andere Netzwerkentitäten mit Routingfunktionalität an einer Netzwerkgrenze. Das in 3 gezeigte beispielhafte Gateway umfasst zwei Ethernet Schnittstellen bzw. Interfaces FE0 310, FE1 311, vier serielle Interfaces 0/0 320, 0/1 321, 0/2 322, 0/3 323 eines ersten Typs, vier serielle Interfaces 1/0 330, 1/1 331, 1/2 332, 1/3 333 eines zweiten Typs und zwei Management Interfaces 341, 342. Natürlich ist auch eine Implementierung anderer Interface-Konfigurationen möglich.
  • Das Gateway 300 eines Kommunikationsnetzwerks startet damit, seine eigene Intelligenz aufzubauen, welche Nachrichten mit welchen IP Adressen und Ports auf welchen Interfaces und Trunks eingehen. Die Spezifika dazu, z.B. offenbart durch TTL = 1 Nachrichten warden in Tabellen gespeichert und in den Tabellen in Zeitintervallen erneuert für zukünftige Vergleiche. Jedes Paket wird auf seinem Weg, wie es das Gateway mit spezifischer IP Adresse und Portnummer erreicht, überprüft. Diese Beziehung wird übersetzt in Interface und Trunk auf OSI Schicht 2.
  • Zum Beispiel kann das Nachrichtenquelladressfeld “142.213.32.1 1000 1500 80” eine IPv4-Adresse 142.213.32.1 255.255.255.252 beziehungsweise 142.213.32.1/30 mit Geschwindigkeit 1.000 MB/s, maximaler Übertragungseinheit (MTU) von 1.500 bytes und Port 80 bezeichnen.
  • Die beispielhafte Bezeichnung “FE0/9 access up” kann das Fast Ethernet Interface 0/9 in Upstream Richtung bezeichnen. Der Eintrag “FE0/22 trunk” oder “channel-group 22 mode” kann den 22-ten Trunk bezeichnen, der auch als Kanalgruppe 22 bezeichnet wird.
  • Falls diese Parameter zusammen mit den spezifischen IP Adressen und Ports in der Datenbasis bzw. den Tabellen des Gateways bzw. des PE Routers gesetzt sind, wird jedweden angeblichen IP-Adressen und Portnummern kein Zugang ermöglicht, da sie möglicherweise von falschen Interfaces und/oder Trunks kommen könnten.
  • 4 zeigt ein Blockdiagramm, das ein Kommunikationssystem 400 mit einem Heimatkommunikationsnetz, welches durch eine Netzwerkschutzentität 100 gegen betrügerische Nachrichten geschützt wird, entsprechend einer Implementierungsform.
  • Das Kommunikationssystem 400 umfasst ein Heimatkommunikationsnetzwerk 420, z.B. ein HPLMN (Home Public Land Mobile Network) und einen Heimat-ISP (Internet Service Provider), die über eine Netzwerkschutzentität, z.B. eine Vorrichtung 100 gemäß obiger Beschreibung zu den 1 bis 3, z.B. ein Gateway oder einen Router an das World Wide Web 410 oder ein anderes Transportkommunikationsnetzwerk gekoppelt sind. Eine Mehrzahl von fremden Internet Service Provider (ISP) Netzwerken 402a, 402b, 402c, 402x sind durch entsprechende Gateways 404a, 404b, 404c, 404x an das World Wide Web 410 gekoppelt, um die Kommunikation mit dem Kommunikationsnetzwerk 420 zu ermöglichen. Jedes der fremden Internet Service Provider (ISP) Netzwerke 402a, 402b, 402c, 402x umfasst eine Mehrzahl von Client-Terminals. In 4 umfasst das erste fremde Internet Service Provider (ISP) Netzwerk 402a die Client Terminals 403a, 405a, 407a; das zweite fremde Internet Service Provider (ISP) Netzwerk 402b umfasst die Client Terminals 403b, 405b, 407b; das dritte fremde Internet Service Provider (ISP) Netzwerk 402c umfasst die Client Terminals 403c, 405c, 407c; und das vierte fremde Internet Service Provider (ISP) Netzwerk 402x umfasst die Client Terminals 403x, 405x, 407x. Es versteht sich, dass jede andere Zahl von fremden Internet Service Provider (ISP) Netzwerken und jede andere Zahl von entsprechenden Client Terminals verwendet werden kann.
  • In dem Kommunikationssystem 400 stellt ein Terminal, z.B. das Terminal 407x den bösartigen Angreifer dar, der eine betrügerische Nachricht 430 mit schädlichem Inhalt im IP Paketstring unter der beispielhaften gefälschten IP Adresse 173.1.121.98 und der beispielhaften Portnummer 253 an einen Kunden des Heimatnetzwerkes 420 sendet, z.B. an eine Zieladresse eines der Client Terminals 423, 425, 427, 429. Die betrügerische Nachricht 430 passiert das World Wide Web 410 und wird zu der Netzwerkschutzentität 100 übertragen, welche die betrügerische Nachricht 430 empfängt.
  • Aufgrund der Konfiguration der Netzwerkschutzentität 100, wie oben zu den 1 bis 3 beschrieben, kommen die IP Pakete unter der gefälschten IP 173.1.121.98 und Portnummer 253 bei der Netzwerkschutzentität 100 auf einem falschen Interface und Trunk herein, z.B. einer Interface/Trunk Kombination, für welche die IP Adresse und die Port Nummer 173.1.121.98/31 253 nicht in der geeigneten Tabelle gespeichert sind. Als eine Konsequenz wird die betrügerische Nachricht 430 verworfen und kann nicht das Heimatnetzwerk 420 betreten.
  • In einer bespielhaften Implementierung kann die geeignete Tabelle der Netzwerkschutzentität 100 einen IPv4 String unter “142.213.32.1 1000 1500 80” aufweisen, der dem Interface FE0/9 mit dem Trunk der Kanalgruppe 22 zugeordnet ist. Dasselbe Interface mit dem identischen Trunk kann auch verschiedene andere IP Adressen und Ports mit identischer Abbildung bezeichnen, um so eine ausgewogene Last auf allen Interfaces und Trunks zu bewirken.
  • Die angebliche oder gefälschte IPv4 Adresse IP 173.1.121.98 und Port Nummer 253, welche von der Partei verwendet wurde, die den bösartigen Inhalt an das Client Terminal des Heimatkommunikationsnetzwerkes gesendet hat, wird aus dem Internet 410 kommend bei der Netzwerkschutzentität 100 eintreffen, z.B. über das Gateway Interface FE0/9 und den 22-ten Trunk, welche jedoch nicht die in der Datenbasis bzw. der geeigneten Tabelle gespeicherten Werte für IP 173.1.121.98 und Port 253 sind. Da das Paket auf einem falschen Interface und/oder Trunk ankommt, wird die Netzwerkschutzentität 100 oder das Gateway das Paket 430 verwerfen. Wie oben beschrieben, ist die korrekte IP Adresse 142.213.32.1 mit Portnummer 80, jedoch nicht die gefälschte IP Adresse 173.1.121.98 mit Portnummer 253 unter welcher die Nachricht gesendet wurde.
  • 5 zeigt ein schematisches Diagramm, das ein Verfahren 500 zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten entsprechend einer Implementierungsform darstellt.
  • Das Verfahren 500 umfasst ein Empfangen 501 einer Kommunikationsnachricht 102 über ein physikalisches Interface, z.B. ein physikalisches Interface 101, wie oben zu den 1 und 2 beschrieben oder eine physikalisches Interface 310, 311, 320, 321, 322, 323, 330, 331, 332, 333 wie oben zu 3 beschrieben. Die Kommunikationsnachricht umfasst eine Nachrichtenquelladresse, z.B. eine Nachrichtenquelladresse X wie oben zu 1 beschrieben, und eine Portnummer, z.B. eine Portnummer P wie oben zu 1 beschrieben. Das Verfahren 500 umfasst ferner ein Bereitstellen 502 einer geeigneten Tabelle, z.B. einer geeigneten Tabelle 105 wie oben zu den 1 und 2 beschrieben, wobei die geeignete Tabelle eine dedizierte Quelladresse und einen dedizierten Verbindungstrunk für das physikalische Interface und den Trunk anzeigt.
  • Das Verfahren 500 umfasst ferner ein Abfragen 503 der dedizierten Quelladresse und der dedizierten Portnummer aus der geeigneten Tabelle und ein Vergleichen der Nachrichtenquelladresse mit der dedizierten Quelladresse und der Portnummer mit der dedizierten Portnummer; und ein Verwerfen 504 der Kommunikationsnachricht, wenn entweder die Nachrichtenquelladresse sich von der dedizierten Quelladresse unterscheidet oder die Portnummer sich von der dedizierten Portnummer unterscheidet.
  • Das Verfahren 500 kann ferner umfassen: Bereitstellen 502 der geeigneten Tabelle basierend auf über das physikalische Interface ausgesendeten IP Nachrichten, bei denen ein TTL Feld auf Eins gesetzt wurde, z.B. wie oben zu 2 beschrieben wurde. Das Verfahren 500 kann ferner umfassen: Empfangen 501 der Kommunikationsnachricht über einen Verbindungstrunk und ein physikalisches Interface; und Bereitstellen 502 der geeigneten Tabelle, so dass die geeignete Tabelle die dedizierte Quelladresse und die dedizierte Portnummer für eine Kombination aus dem physikalischen Interface und dem Verbindungs-Trunk anzeigt, z.B. wie oben zu 1 beschrieben. Das Verfahren 500 kann ferner umfassen: Empfangen 502 der Kommunikationsnachricht, bei der die Nachrichtenquelladresse eine IP Quelladresse und eine Portnummer aufweist; und Verwerfen 504 der Kommunikationsnachricht, falls die IP Quelladresse und die Portnummer sich von einer erlaubten Kombination aus einer IP Quelladresse und einer Portnummer für eine Kombination aus dem physikalischen Interface FE0 und dem Verbindungs-Trunk T1 unterscheiden, z.B. entsprechend der Beschreibung zu den 1, 2 und 4.
  • Die hier beschriebenen Verfahren, Systeme und Vorrichtungen können als elektrische und oder optische Schaltkreise innerhalb eines Chips oder eines integrierten Schaltkreises (IC) oder eines anwendungsspezifischen Schaltkreises (ASIC) implementiert sein. Die Erfindung kann in digitalen, analogen und/oder optischen Schaltungen implementiert werden.
  • Die hier beschriebenen Verfahren, Systeme und Vorrichtungen können als Software in einem digitalen Signalprozessor (DSP), in einem Mikrocontroller oder in jeder anderen Art von Nebenprozessor oder als Hardwareschaltung mit anwendungsspezifischen integrierten Schaltkreisen (ASIC) oder einem Digitalen Signalprozessor implementiert werden.
  • Die Erfindung kann in digitalen elektronischen Schaltkreisen oder in Computer Hardware, Firmware, Software oder Kombinationen davon implementiert werden, z.B. in verfügbarer Hardware konventioneller optischer Transceiver oder in neuer Hardware, die dazu bestimmt ist, die hier vorgestellten Verfahren auszuführen.
  • Ein Aspekt der Erfindung umfasst auch ein Computerprogrammprodukt, das direkt in den internen Speicher eines digitalen Computers geladen werden kann und Softwarecodeabschnitte umfasst, mit denen das zu 5 beschriebene Verfahren 500 oder die zu den 1 bis 4 beschriebenen Techniken ausgeführt werden können, wenn das Produkt auf einem Computer läuft. Das Computerprogrammprodukt kann auf einem computergeeigneten nicht-transitorischen Medium gespeichert sein und computerlesbare Programmittel umfassen, die einen Computer veranlassen, das Verfahren 500 auszuführen. Der Programmcode kann das Verfahren 500 gemäß 5 ausführen.
  • Im Folgenden werden spezifische Beispiele gemäß der Erfindung aufgezeigt.
  • Beispiel 1 ist eine Netzwerkschutzentität zum Schützen eines Kommunikationsnetzwerks gegen betrügerische Nachrichten, mit: einem physikalischen Interface umfassend einen Verbindungs-Trunk, der dem physikalischen Interface zugeordnet ist, um eine Kommunikationsnachricht zu empfangen, wobei die Kommunikationsnachricht eine Nachrichtenquelladresse und eine Portnummer umfasst und wobei die Kommunikationsnachricht an ein Ziel innerhalb des Kommunikationsnetzwerk gerichtet ist; einen Speicher zum Speichern einer geeigneten Tabelle welche dafür geeignet ist, eine dedizierte Quelladresse und eine dedizierte Portnummer für das physikalische Interface und den zugehörigen Verbindungs-Trunk anzuzeigen; und einen Prozessor, der ausgebildet ist, die dedizierte Quelladresse und die dedizierte Portnummer aus dem Speicher abzufragen, und die Nachrichtenquelladresse mit der dedizierten Quelladresse und die Portnummer mit der dedizierten Portnummer zu vergleichen, und ferner ausgebildet ist, die Kommunikationsnachricht zu verwerfen, wenn entweder die Nachrichtenquelladresse sich von der dedizierten Quelladresse unterscheidet oder die Portnummer sich von der dedizierten Portnummer unterscheidet.
  • In Beispiel 2 kann der Gegenstand von Beispiel 1 optional enthalten, dass der Prozessor ausgebildet ist, basierend auf über das physikalische Interface ausgesendeten IP Nachrichten, bei denen ein TTL Feld auf Eins gesetzt ist, die geeignete Tabelle mit Inhalt zu füllen.
  • In Beispiel 3 kann der Gegenstand von Beispiel 1 oder 2 optional enthalten, dass die geeignete Tabelle die dedizierte Quelladresse und die dedizierte Portnummer für eine Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk anzeigt.
  • In Beispiel 4 kann der Gegenstand von Beispiel 3 optional enthalten, dass die geeignete Tabelle eine erlaubte Kombination aus einer IP Quelladresse und einer Portnummer für die Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk anzeigt.
  • In Beispiel 5 kann der Gegenstand von Beispiel 4 optional enthalten, dass die Nachrichtenquelladresse und die zugehörige Portnummer der Kommunikationsnachricht ferner eine Netzwerkmaske, eine Anzahl von Bytes für eine maximale Übertragungseinheit und eine Geschwindigkeitsinformation umfasst; und dass die geeignete Tabelle eine erlaubte Kombination aus einer IP Quelladresse und einer Portnummer für die Kombination aus dem physikalischen Interface und dem zugehörigen Verbindungs-Trunk anzeigt.
  • In Beispiel 6 kann der Gegenstand nach einem der Beispiele 1 bis 5 optional enthalten, dass der Prozessor ausgebildet ist, die geeignete Tabelle auf Basis eines Zeitintervalls zu erneuern, um gültigen Kommunikationsnachrichten, deren Nachrichtenquelladressen dynamisch geändert werden, den Zutritt in das Kommunikationsnetzwerk zu gewähren.
  • In Beispiel 7 kann der Gegenstand nach einem der Beispiele 1 bis 6 optional enthalten, dass der Prozessor ausgebildet ist, die Nachrichtenquelladresse und die Portnummer der Kommunikationsnachricht basierend auf einer OSI Schicht 2 Inspektion abzufragen.
  • In Beispiel 8 kann der Gegenstand nach einem der Beispiele 1 bis 7 optional enthalten, dass der Prozessor ausgebildet ist, vor dem Verwerfen der Kommunikationsnachricht einen Alarm auszulösen, wenn die Nachrichtenquelladresse der Kommunikationsnachricht sich von der dedizierten Quelladresse unterscheidet oder wenn die Portnummer der Kommunikationsnachricht sich von der dedizierten Portnummer unterscheidet.
  • In Beispiel 9 kann der Gegenstand nach einem der Beispiele 1 bis 8 optional ein Konfigurationsinterface zum Füllen der geeigneten Tabelle mit konfigurierbaren Werten enthalten.
  • In Beispiel 10 kann der Gegenstand nach einem der Beispiele 1 bis 9 optional enthalten, dass die Netzwerkschutzentität ein Gateway oder ein Router ist, insbesondere ein Router an der Netzwerkgrenze des Netzwerkbetreibers.
  • Beispiel 11 ist ein Verfahren zum Schützen eines Kommunikationsnetzwerks gegen betrügerische Nachrichten, mit folgenden Schritten: Empfangen einer Kommunikationsnachricht über einen Verbindungs-Trunk eines physikalischen Interface, wobei die Kommunikationsnachricht eine Nachrichtenquelladresse und eine Portnummer umfasst und wobei die Kommunikationsnachricht an ein Ziel innerhalb des Kommunikationsnetzwerk gerichtet ist; Bereitstellen einer geeigneten Tabelle welche dafür geeignet ist, eine dedizierte Quelladresse und eine dedizierte Portnummer für das physikalische Interface und den Verbindungs-Trunk anzuzeigen; Abfragen der dedizierten Quelladresse und der dedizierten Portnummer aus der geeigneten Tabelle und Vergleichen der Nachrichtenquelladresse mit der dedizierten Quelladresse und der Portnummer mit der dedizierten Portnummer; und Verwerfen der Kommunikationsnachricht, wenn entweder die Nachrichtenquelladresse sich von der dedizierten Quelladresse unterscheidet oder die Portnummer sich von der dedizierten Portnummer unterscheidet.
  • In Beispiel 12 kann der Gegenstand nach Beispiel 11 optional folgendes enthalten: Bereitstellen der geeigneten Tabelle basierend auf über das physikalische Interface ausgesendeten IP Nachrichten, bei denen ein TTL Feld auf Eins gesetzt wurde.
  • In Beispiel 13 kann der Gegenstand nach Beispiel 11 oder 12 optional folgendes enthalten: Bereitstellen der geeigneten Tabelle, so dass die geeignete Tabelle die dedizierte Quelladresse und die dedizierte Portnummer für eine Kombination aus dem physikalischen Interface und dem Verbindungs-Trunk anzeigt.
  • In Beispiel 14 kann der Gegenstand nach Beispiel 13 optional folgendes enthalten: Empfangen der Kommunikationsnachricht, bei der die Nachrichtenquelladresse eine IP Quelladresse und eine Portnummer aufweist; und Verwerfen der Kommunikationsnachricht, falls die IP Quelladresse und die Portnummer sich von einer erlaubten Kombination aus einer IP Quelladresse und einer Portnummer für eine Kombination aus dem physikalischen Interface und dem Verbindungs-Trunk unterscheiden.
  • Beispiel 15 ist ein Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß einem der Beispiele 11 bis 14, wenn das Computerprogramm auf einem Computer läuft.
  • Auch wenn ein bestimmtes Merkmal oder ein bestimmter Aspekt der Offenbarung in Bezug auf nur eine oder einige Implementierungen offenbart wurde, so versteht es sich, dass solche Merkmale oder Aspekte mit einem oder mehreren anderen Merkmalen oder Aspekten von anderen Implementierungen kombiniert werden können, wie es beispielsweise für jede gegebene oder teilweise Anwendung gewünscht oder vorteilhaft sein kann. Ferner sind die Begriffe „enthalten“, „haben“ „mit“ oder andere Varianten daraus, welche entweder in der detaillierten Beschreibung oder den Ansprüchen verwendet wurden, nicht in einem einschränkenden Sinne zu verstehen sondern in einer Art und Weise ähnlich dem Begriff „umfassen“. Auch die Begriffe „beispielsweise“, „zum Beispiel“ und „z.B.“ sind rein als Beispiele zu begreifen und nicht im Sinne einer bestmöglichen oder optimalen Implementierung. Die Begriffe „gekoppelt“ und „verbunden“ sollen so verstanden werden, dass diese Begriffe so verwendet werden sein können, um anzuzeigen, dass zwei Elemente miteinander kooperieren oder interagieren, egal ob sie in direktem physikalischen oder elektrischen Kontakt stehen, oder ob sie nicht in direktem Kontakt zueinander stehen.
  • Es wurden bestimmte Ausführungsformen hierin veranschaulicht und beschrieben, doch für den Fachmann ist es offensichtlich, dass eine Vielzahl von alternativen und/oder gleichartigen Implementierungen anstelle der gezeigten und beschriebenen Ausführungsformen verwirklicht werden können, ohne vom Konzept der vorliegenden Erfindung abzuweichen. Diese Anmeldung umfasst auch jedwede Anpassungen oder Variationen der hierin vorgestellten spezifischen Aspekte.
  • Obwohl die Elemente in den folgenden Ansprüchen in einer bestimmten Reihenfolge zitiert werden und eine entsprechende Markierung aufweisen, so sind diese Elemente nicht notwendigerweise darauf beschränkt, in der speziellen Reihenfolge implementiert zu werden, es sei denn in den Ansprüchen ist explizit eine spezifische Reihenfolge angegeben.
  • Für den Fachmann sind viele Alternativen, Modifikationen und Variationen im Lichte der offenbarten Lehre anwendbar. Für den Fachmann ist es selbstverständlich, dass sich neben den hier aufgeführten Anwendungen und Implementierungen eine Vielzahl alternativer Implementierungen der hier vorgestellten Lehre ergeben, die in diesem Text nicht beschrieben sind. Während die vorliegende Erfindung in Bezug auf eines oder mehrere spezifische Ausführungsbeispiele beschrieben ist, erkennt der Fachmann jedoch, dass viele Änderungen daran gemacht werden können ohne von dem Konzept der vorliegenden Erfindung abzuweichen. Es versteht sich daher, dass innerhalb des Umfangs der angegebenen Ansprüche und ihrer Äquivalente die Erfindung auch in anderer Weise praktiziert werden kann, als hier spezifisch beschrieben ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • RFC 4941 [0002]
    • ISO Standard 1984, 7498-1:1994 [0010]
    • RFC 4941 [0026]

Claims (15)

  1. Netzwerkschutzentität (100) zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten, mit: einem physikalischen Interface (101, FE0) umfassend einen Verbindungs-Trunk (T1), der dem physikalischen Interface (101, FE0) zugeordnet ist, um eine Kommunikationsnachricht (102) zu empfangen, wobei die Kommunikationsnachricht (102) eine Nachrichtenquelladresse (X) und eine Portnummer (P) umfasst und wobei die Kommunikationsnachricht (102) an ein Ziel innerhalb des Kommunikationsnetzwerks gerichtet ist; einen Speicher (103) zum Speichern einer geeigneten Tabelle (105) welche dafür geeignet ist, eine dedizierte Quelladresse (A) und eine dedizierte Portnummer (P1) für das physikalische Interface (101, FE0) und den zugehörigen Verbindungs-Trunk (T1) anzuzeigen; und einen Prozessor (107), der ausgebildet ist, die dedizierte Quelladresse (A) und die dedizierte Portnummer (P1) aus dem Speicher abzufragen, und die Nachrichtenquelladresse (X) mit der dedizierten Quelladresse (A) und die Portnummer (P) mit der dedizierten Portnummer (P1) zu vergleichen, und ferner ausgebildet ist, die Kommunikationsnachricht (102) zu verwerfen, wenn entweder die Nachrichtenquelladresse (X) sich von der dedizierten Quelladresse (A) unterscheidet oder die Portnummer (P) sich von der dedizierten Portnummer (P1) unterscheidet.
  2. Netzwerkschutzentität (100) gemäß Anspruch 1, wobei der Prozessor (107) ausgebildet ist, basierend auf über das physikalische Interface ausgesendeten IP Nachrichten, bei denen ein TTL Feld auf Eins gesetzt ist, die geeignete Tabelle (105) mit Inhalt zu füllen.
  3. Netzwerkschutzentität (100) gemäß Anspruch 1 oder 2, wobei die geeignete Tabelle (105) die dedizierte Quelladresse (A) und die dedizierte Portnummer (P) für eine Kombination aus dem physikalischen Interface (101, FE0) und dem zugehörigen Verbindungs-Trunk (T1) anzeigt.
  4. Netzwerkschutzentität (100) gemäß Anspruch 3, wobei die geeignete Tabelle (105) eine erlaubte Kombination aus einer IP Quelladresse (X) und einer Portnummer (P) für die Kombination aus dem physikalischen Interface (101, FE0) und dem zugehörigen Verbindungs-Trunk (T1) anzeigt.
  5. Netzwerkschutzentität (100) gemäß Anspruch 4, wobei die Nachrichtenquelladresse (X) und die zugehörige Portnummer (P) der Kommunikationsnachricht (102) ferner eine Netzwerkmaske, eine Anzahl von Bytes für eine maximale Übertragungseinheit und eine Geschwindigkeitsinformation umfasst; und wobei die geeignete Tabelle (105) eine erlaubte Kombination aus einer IP Quelladresse (X) und einer Portnummer (P) für die Kombination aus dem physikalischen Interface (101, FE0) und dem zugehörigen Verbindungs-Trunk (T1) anzeigt.
  6. Netzwerkschutzentität (100) gemäß einem der vorstehenden Ansprüche, wobei der Prozessor (107) ausgebildet ist, die geeignete Tabelle (105) auf Basis eines Zeitintervalls zu erneuern, um gültigen Kommunikationsnachrichten (102), deren Nachrichtenquelladressen (X) dynamisch geändert werden, den Zutritt in das Kommunikationsnetzwerk zu gewähren.
  7. Netzwerkschutzentität (100) gemäß einem der vorstehenden Ansprüche, wobei der Prozessor (107) ausgebildet ist, die Nachrichtenquelladresse (X) und die Portnummer (P) der Kommunikationsnachricht (102) basierend auf einer OSI Schicht 2 Inspektion abzufragen.
  8. Netzwerkschutzentität (100) gemäß einem der vorstehenden Ansprüche, wobei der Prozessor (107) ausgebildet ist, vor dem Verwerfen der Kommunikationsnachricht (102) einen Alarm auszulösen, wenn die Nachrichtenquelladresse (X) der Kommunikationsnachricht (102) sich von der dedizierten Quelladresse (A) unterscheidet oder wenn die Portnummer der Kommunikationsnachricht (102) sich von der dedizierten Portnummer (P1) unterscheidet.
  9. Netzwerkschutzentität (100) gemäß einem der vorstehenden Ansprüche, mit: einem Konfigurationsinterface zum Füllen der geeigneten Tabelle (105) mit konfigurierbaren Werten.
  10. Netzwerkschutzentität (100) gemäß einem der vorstehenden Ansprüche, wobei die Netzwerkschutzentität (100) ein Gateway oder ein Router ist, insbesondere ein Router an der Netzwerkgrenze des Netzwerkbetreibers.
  11. Verfahren (500) zum Schützen eines Kommunikationsnetzwerks gegen betrügerische Nachrichten, mit folgenden Schritten: Empfangen (501) einer Kommunikationsnachricht (102) über einen Verbindungs-Trunk (T1) eines physikalischen Interface (101, FE0), wobei die Kommunikationsnachricht (102) eine Nachrichtenquelladresse (X) und eine Portnummer (P) umfasst und wobei die Kommunikationsnachricht (102) an ein Ziel innerhalb des Kommunikationsnetzwerk gerichtet ist; Bereitstellen (502) einer geeigneten Tabelle (105) welche dafür geeignet ist, eine dedizierte Quelladresse (A) und eine dedizierte Portnummer (P1) für das physikalische Interface (101, FE0) und den Verbindungs-Trunk (T1) anzuzeigen; Abfragen (503) der dedizierten Quelladresse (A) und der dedizierten Portnummer (P1) aus der geeigneten Tabelle (105) und Vergleichen der Nachrichtenquelladresse (X) mit der dedizierten Quelladresse (A) und der Portnummer (P) mit der dedizierten Portnummer (P1); und Verwerfen (504) der Kommunikationsnachricht (102), wenn entweder die Nachrichtenquelladresse (X) sich von der dedizierten Quelladresse (A) unterscheidet oder die Portnummer (P) sich von der dedizierten Portnummer (P1) unterscheidet.
  12. Verfahren (500) nach Anspruch 11, mit: Bereitstellen (502) der geeigneten Tabelle (105) basierend auf über das physikalische Interface ausgesendeten IP Nachrichten, bei denen ein TTL Feld auf Eins gesetzt wurde.
  13. Verfahren (500) nach Anspruch 11 oder 12, mit: Bereitstellen (502) der geeigneten Tabelle (105), so dass die geeignete Tabelle (105) die dedizierte Quelladresse (A) und die dedizierte Portnummer (P) für eine Kombination aus dem physikalischen Interface (FE0) und dem Verbindungs-Trunk (T1) anzeigt.
  14. Verfahren (500) nach Anspruch 13, mit: Empfangen (502) der Kommunikationsnachricht, bei der die Nachrichtenquelladresse eine IP Quelladresse und eine Portnummer aufweist; und Verwerfen (504) der Kommunikationsnachricht, falls die IP Quelladresse und die Portnummer sich von einer erlaubten Kombination aus einer IP Quelladresse und einer Portnummer für eine Kombination aus dem physikalischen Interface (FE0) und dem Verbindungs-Trunk (T1) unterscheiden.
  15. Computerprogramm mit einem Programmcode zum Ausführen des Verfahrens gemäß einem der Ansprüche 11 bis 14, wenn das Computerprogramm auf einem Computer läuft.
DE102016100692.0A 2015-03-27 2016-01-18 Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten Withdrawn DE102016100692A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP15161362.7 2015-03-27
EP15161362.7A EP3073701B1 (de) 2015-03-27 2015-03-27 Netzwerkschutzeinheit und verfahren zum schutz eines kommunikationsnetzwerks gegen betrugsnachrichten

Publications (1)

Publication Number Publication Date
DE102016100692A1 true DE102016100692A1 (de) 2016-09-29

Family

ID=52813935

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016100692.0A Withdrawn DE102016100692A1 (de) 2015-03-27 2016-01-18 Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten

Country Status (13)

Country Link
US (1) US20180097776A1 (de)
EP (2) EP3073701B1 (de)
JP (1) JP6513819B2 (de)
KR (1) KR20170131424A (de)
CN (1) CN107431707A (de)
CA (1) CA2980531A1 (de)
DE (1) DE102016100692A1 (de)
ES (1) ES2654165T3 (de)
HR (1) HRP20171946T1 (de)
HU (1) HUE035296T2 (de)
NO (1) NO3073701T3 (de)
PL (1) PL3073701T3 (de)
WO (1) WO2016155949A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11070523B2 (en) * 2017-04-26 2021-07-20 National University Of Kaohsiung Digital data transmission system, device and method with an identity-masking mechanism
DE102019210226A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1459171B1 (de) * 2001-09-21 2012-12-26 Cisco Technology, Inc. Schutz von netzwerkverkehr vor nachrichten mit gefälschtem domain-namensystem (dns)
CN100359885C (zh) * 2002-06-24 2008-01-02 武汉烽火网络有限责任公司 以策略流方式转发数据的方法和数据转发设备
JP2007129283A (ja) * 2005-11-01 2007-05-24 Alaxala Networks Corp データ転送装置
US8051474B1 (en) * 2006-09-26 2011-11-01 Avaya Inc. Method and apparatus for identifying trusted sources based on access point
WO2011030490A1 (ja) * 2009-09-10 2011-03-17 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
US20120023593A1 (en) * 2010-07-26 2012-01-26 Puder George System and method for filtering internet content & blocking undesired websites by secure network appliance
US9467363B2 (en) * 2012-01-30 2016-10-11 Nec Corporation Network system and method of managing topology
CN103647716A (zh) * 2013-11-22 2014-03-19 上海斐讯数据通信技术有限公司 一种数据包快速转发方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ISO Standard 1984, 7498-1:1994

Also Published As

Publication number Publication date
PL3073701T3 (pl) 2018-03-30
KR20170131424A (ko) 2017-11-29
WO2016155949A1 (en) 2016-10-06
CN107431707A (zh) 2017-12-01
US20180097776A1 (en) 2018-04-05
EP3275152A1 (de) 2018-01-31
EP3073701A1 (de) 2016-09-28
JP2018509832A (ja) 2018-04-05
JP6513819B2 (ja) 2019-05-15
EP3073701B1 (de) 2017-10-04
HRP20171946T1 (hr) 2018-01-26
CA2980531A1 (en) 2016-10-06
NO3073701T3 (de) 2018-03-03
ES2654165T3 (es) 2018-02-12
HUE035296T2 (en) 2018-05-02

Similar Documents

Publication Publication Date Title
DE60206856T2 (de) Verfahren und Vorrichtung zum Schutz von Internetanlagen gegen Denial-of-Service Angriffen
DE102014224694B4 (de) Netzwerkgerät und Netzwerksystem
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
DE69730452T2 (de) Verfahren und vorrichtung zur cachespeicherung von politik zur verwendung in einem kommunikationsgerät
CN106790193B (zh) 基于主机网络行为的异常检测方法和装置
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE60315521T2 (de) Kreuzungen von virtuellen privaten Netzwerken basierend auf Zertifikaten
DE602004009356T2 (de) Verfahren und Vorrichtung zum Schutz einer Netzwerkinfrastruktur und zur gesicherten Kommunikation von Kontrollinformationen
US20170339165A1 (en) Automatic generation of attribute values for rules of a web application layer attack detector
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE112013002272T5 (de) ARP/ND-Cache vor Denial-Of-Service-Angriffen schützen
DE112016002952T5 (de) Systeme und Verfahren zum Verarbeiten von Paketen in einem Computernetz
DE60201716T2 (de) Verfahren und Vorrichtung zum Schutz von E-Commerce-Site gegen Distributed-Denial-of-Service Angriffen
DE60313501T2 (de) System und Verfahren zur Verwaltung passiver Netzwerkeinrichtungen unter Verwendung von Umsetzverbindungen
EP1721235B1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten
DE102019210226A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk
DE102012208290B4 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
CH693921A5 (de) Verfahren, Datentraeger, Computersystem und Computerprogrammprodukt zur Erkennung und Abwehr von Angriffen auf Serversysteme von Netzwerk-Diensteanbietern und -betreibern.
EP3059926B1 (de) Verfahren zum erkennen eines denial-of-service angriffs in einem kommunikationsnetzwerk
Ballmann Network Hacks-Intensivkurs
EP2493122B1 (de) IPv6 Quellenadressextrapolation
EP2887604B1 (de) Verfahren und Telekommunikationsnetz zur Erhöhung der Sicherheit beim paketorientierten Datenaustausch
DE102005050584B4 (de) Verfahren zum Ermitteln eines unerwünschten Zugriffs auf ein Datenpaket

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R082 Change of representative