-
Die Erfindung betrifft ein Verfahren zur physikalischen Umschaltung zwischen mindestens zwei Local-Area-Networks (LANs).
-
In der Informationstechnik dient das OSI-Modell (Open System Interconnection Model) als Referenzmodell zur Beschreibung der Netzwerkprotokolle. Das Modell besteht aus sieben Schichten (auch Layer genannt). Die Kommunikation zweier IT-Komponenten erfolgt immer auf der gleichen Schicht. Höhere Layer durchlaufen dabei immer alle unteren Layer, um beim Empfänger auf gleicher Ebene empfangen und verarbeitet zu werden.
-
Layer 1: Bitübertragungsschicht (Physical Layer) - Die Bitübertragungsschicht ist die physikalische Verbindung. Hier werden die Daten Bit-weise übertragen.
-
Layer 2: Sicherungsschicht (Data Link Layer) - In der Sicherungsschicht werden Bits zu Frames (Rahmen) zusammengefasst. Durch Mac(Media Access Control)-Adressen identifizieren sich die Geräte.
-
Layer 3: Vermittlungsschicht (Network Layer) - Die Vermittlungsschicht besteht unter anderem aus Internet-Protocol-Paketen (IP-Pakete). Zur Authentifizierung werden IP-Adressen an alle Teilnehmer eines Netzwerks vergeben. Die Adressvergabe kann statisch, durch manuelle Vergabe oder automatisch durch einen DHCP (Dynamic-Host-Configuration-Protocol-Server)-Server erfolgen. Dieser kann auf einem Server oder auf einem Netzwerkteilnehmer, zum Beispiel einem Switch oder Router ausgeführt werden.
-
Layer 4: Transportschicht (Transport Layer) - Die Transportschicht beschreibt die auszuführende Anwendung (TCP (Transmission Control Protocol), UDP(User Datagram Protocol), etc.). Das TCP ist ein Handshake-Protokoll, bei dem jedes Paket auf der Gegenseite per ACK (Acknowledgment) bestätigt wird. Dieses Protokoll wird für eine sichere und stabile Kommunikation verwendet. Für Echtzeit-Anwendungen wird das UDP genutzt. Der Sender nummeriert die Pakete nicht durch und der Empfang von Paketen wird vom Empfänger nicht bestätigt.
-
Layer 5-7: Im einfachen OSI-Modell werden die obersten drei Layer als Anwendungs-OSI-Schicht bezeichnet. Dabei greifen Programme und Anwendungen direkt auf diese drei Schichten zu (Sitzungsschicht (Session Layer), Darstellungsschicht (Presentation Layer), Anwendungsschicht (Application Layer)).
-
In der Informationstechnik werden verschiedene Komponenten zu einer Infrastruktur zusammengeschaltet. IT-Komponenten können zum Beispiel Server, Speichersysteme, Netzwerkkomponenten sowie Clientsysteme sein. Die Infrastruktur kann aus einer Kabelverbindung und/oder einer Funkverbindung bestehen.
-
Die Kommunikation innerhalb einer IT-Infrastruktur findet auf Basis von Layer 1 sternförmig statt. Dabei bildet ein Switch oder Hub die zentrale Kommunikationsschnittstelle zwischen den IT-Komponenten.
-
Ein Switch bildet die intelligente Kommunikationsschnittstelle in einem Netzwerk. Der konventionelle Switch kommuniziert auf den Layern 1-2. Der Switch kann zwischen den angeschlossenen Komponenten unterscheiden und leitet die Informationen nur an diejenigen Schnittstellen weiter, an die die Informationen gesendet werden sollen.
-
Ein Router bildet einen Netzwerkabschluss und kommuniziert auf den Layern 1-3. Ein Router entscheidet, ob IP-Pakete das Netzwerk verlassen dürfen oder die Informationen ins World Wide Web (WWW) bzw. in ein Wide Area Network (WAN) weitergeleitet werden. Ein solcher Router ist beispielsweise aus dem Dokument „AVM GmbH" [Hrsg. Fritz!Box 7390. AVM GmbH, Einrichten und bedienen, recherchiert am 23.5.2016, 219 Seiten‟] bekannt.
-
In kritischen IT-Infrastrukturen gibt es besonders hohe Anforderungen an deren IT-Komponenten. Die IEC (International Electrotechnical Commission) und auch die ENX-Association (European Network Exchange Association) spezifizieren die Grundlagen und deren stetigen Verbesserungsprozess zur Informationssicherheit in ihren Leitfäden ISO27001 und TISAX (Trusted Information Security Assessment Exchange).
-
Ein Standard ist es, eine DMZ (Demilitarisierte Zone) von einem Firmennetzwerk oder Intranet abzutrennen. Häufig wird auch ein Verwaltungsnetzwerk für die Administration der IT-Infrastruktur vom Firmennetzwerk abgetrennt. Eine Anforderung der Leitfäden ist jedoch, separate Netzwerke für gesonderte Anwendungen bereit zu halten. So besteht insbesondere in größeren Unternehmen die Anforderung, für einzelne Abteilungen jeweils ein gesondertes Netzwerk zur Verfügung zu stellen, beispielsweise ein Produktions-, ein Verwaltungs-, ein Entwicklungs- und/oder ein Gast-Netzwerk. Dabei ist es wichtig, dass in jedem Raum nur ein Netzwerk verfügbar ist, um das Überbrücken von Netzwerken auszuschließen. Eine Unterteilung der Netzwerke kann durch verschiedene Wege erreicht werden:
- - Subnetting - Als Subnetz wird ein Teilnetz eines Netzwerks bezeichnet. Eine Trennung erfolgt durch die Maskierung der IP-Adresse. Durch das ändern der IP-Adresse kann eine Komponente in ein anderes Subnetz versetzt werden. Diese Unterteilung in Teilnetzwerke gilt als nicht sichere Aufteilung und sollte nur in Kombination mit weiteren Unterteilungen genutzt werden.
- - Segmentierung - Als Segmentierung bezeichnet man die Aufteilung in VLANs (Virtual Local Area Network). VLANs sind eine Trennung der physischen Netzwerke durch das Setzen eines VLAN-Tags im Frame (Layer 2). In einem VLAN ist es somit möglich, mehrere Netzwerkkomponenten in einem physikalischen Netzwerk zu verbinden, die aber nicht direkt kommunizieren dürfen. So ergibt sich die Möglichkeit, ein Netzwerk zu organisieren, ohne dass diese der physischen Organisation entsprechen.
- - Segregation - Eine weitere Möglichkeit ist die physikalische Unterteilung. Bei der physikalischen Unterteilung wird das Netzwerk physikalisch, also auf Layer 1, in getrennte Netzwerke unterteilt. Die Unterteilung des Eingangsnetzwerks kann durch eine Firewall oder z.B. durch einen Layer-4-Switch erfolgen. Besonders wichtig ist bei dieser Unterteilung, dass einmal getrennte Netzwerke nicht durch Netzwerkverteilungen, Switche oder Hubs wieder zusammengeführt werden.
-
Die hier genannten Lösungen sind statische Lösungen, d.h. der Umbau eines Netzwerks erfordert entweder physikalische Umbauarbeiten oder eine Umprogrammierung des VLANs. Jeder Umbau eines Netzwerks ist arbeitsaufwendig, fehleranfällig und insbesondere in kritischen Umgebungen mit einem großen Dokumentationsaufwand verbunden. VLANs sind außerdem anfällig gegen Hard- und Softwarefehler oder unsicher gegen Netzwerkangriffe. Ein Netzwerkangriff kann z.B. VLAN-Hopping sein. VLAN-Hopping unterteilt sich in zwei Angriffsmöglichkeiten:
- - Switch Spoofing - Beim Switch Spoofing werden die Ports des Switchs von Trunking-Protokollen (z.B. Multiple VLAN Registration Protocol, IEEE 802.1 Q, Dynamic Trunking Protocol) angesprochen und verändert. Anschließend können die Nachrichten anderer VLANs mitgelesen werden.
- - Double Tagging - Bei 802.1Q-fähigen Switchen kann ein zweiter VLAN-Tag dem Frame vorangesetzt werden. Dabei wird der äußere Frame vom ersten Switch als normales Paket behandelt. Sobald der manipulierte Frame den zweiten Switch erreicht, wird das Paket in das infiltrierte Netzwerk eingeschleust.
-
Des Weiteren sind die genannten Lösungen aus oben genannten Gründen (Hardwareumbau oder Umprogrammierung) nicht dafür geeignet, automatisiert und flexibel die verschiedenen Netzwerke an verschiedenen Standorten temporär zur Verfügung zu stellen.
-
Es ist daher Aufgabe der Erfindung, eine Möglichkeit bereitzustellen, den Zugang zu verschiedenen Netzwerken (LANs) an unterschiedlichen Orten für die jeweils autorisierten Personen flexibel und automatisiert temporär bereitzustellen, wobei die Anwendung höchsten Sicherheitskriterien gerecht werden muss, um auch in kritischen und hochsensiblen IT-Infrastrukturen eingesetzt werden zu können.
-
Zur Lösung der Aufgabe schlägt die Erfindung ein Verfahren zur physikalischen Umschaltung zwischen mindestens zwei LANs mittels einer Netzwerkumschaltvorrichtung vor, wobei die Netzwerkumschaltvorrichtung eine Stromversorgungsschnittstelle, einen durch einen übergeordneten Server betätigbaren elektromechanischen Schalter, eine dem elektromechanischen Schalter zugeordnete Steuerschnittstelle, mindestens zwei Netzwerkeingangsschnittstellen und mindestens eine Clientschnittstelle aufweist, und wobei die Umschaltung zwischen den einzelnen Netzwerkeingangsschnittstellen der LANs von dem übergeordneten Server mittels des elektromechanischen Schalters selektiv auf einzelne Clientschnittstellen durchgeführt wird.
-
Durch dieses Verfahren ist es möglich, den einzelnen Benutzern Zugang zu einem einzelnen physikalisch separaten LAN zu gewähren, während die übrigen LANs physikalisch vom Benutzer getrennt und somit sicher gegenüber Angriffen und Ausspähung sind. Sobald ein Steuerbefehl zur Netzwerkumschaltung des übergeordneten Servers die Steuerschnittstelle der Netzwerkumschaltvorrichtung erreicht, wird der elektromechanische Schalter betätigt und das jeweilige LAN auf die Clientschnittstelle geschaltet. Über die Clientschnittstelle kann das an der Netzwerkseingangsschnittstelle anliegende LAN in die jeweiligen Bereiche weiter verteilt werden. D.h., dass beispielsweise über einen Hub weitere Unterverteilungen angeschlossen sind und somit Zugänge zum jeweiligen LAN in einen oder mehrere Besprechungsräume verteilt werden können. An den jeweiligen Client-Unteranschlüssen ist folglich nur ein Zugriff auf das jeweils durch die Netzwerkumschaltvorrichtung freigegebene LAN möglich.
-
Erfindungsgemäß ist vorgesehen, dass von einem Benutzer ein Arbeitsplatz und der Zugang zu einem LAN am Arbeitsplatz über eine geeignete Applikation für einen vom Benutzer gewünschten Zeitraum angefragt wird, ein übergeordneter Server prüft, ob der Arbeitsplatz und das LAN für den angefragten Zeitraum verfügbar sind, und, wenn beide Bedingungen erfüllt sind, der Server den Arbeitsplatz und das Netzwerk für den gewünschten Zeitraum reserviert und die Zugangsschnittstelle am Arbeitsplatz zu dem gebuchten LAN für den gebuchten Zeitraum und den Arbeitsplatz mittels der Netzwerkumschaltvorrichtung freischaltet. Bei dem Arbeitsplatz kann es sich um einen einzelnen Schreibtisch handeln, aber auch um einen oder mehrere Besprechungsräume, ein (Großraum-)Büro oder Ähnliches. Der Benutzer kann bei gegebener Freischaltung des LAN im gewünschten Zeitraum auf das LAN zugreifen, sofern er berechtigt ist und sich authentifizieren kann.
-
Falls die Kommunikation zur Steuerschnittstelle gestört ist, ist es zweckmäßig, wenn mittels der Netzwerkumschaltvorrichtung automatisch in einen sicheren Zustand geschaltet wird. Hierdurch kann sichergestellt werden, dass Manipulationen an der Steuerschnittstelle oder am übergeordneten Server unmittelbar zur Umschaltung führen und die angeschlossenen Clients nur an ein sicheres, also nicht an ein sensibles und/oder sicherheitsrelevantes LAN angeschlossen werden.
-
Zudem ist es vorteilhaft, wenn mehrere Benutzer einer Benutzergruppe zugeordnet werden, den Benutzergruppen vorbestimmte Berechtigungen für einzelne LANs zugewiesen werden und der Server überprüft, ob der jeweilige Benutzer über die vorbestimmten Berechtigungen verfügt. Durch die vorherige Identifizierung des Benutzers und die Zuordnung zu einer Benutzergruppe kann der übergeordnete Server bereits im Vorhinein prüfen, ob der Benutzer berechtigt ist, einen Zugang zu dem angefragten LAN zu erhalten. Ist der Benutzer nicht autorisiert, kann der übergeordnete Server die Anfrage direkt ablehnen und den Benutzer beispielsweise mit einer E-Mail hierüber informieren.
-
Es kann auch zweckmäßig sein, wenn am Arbeitsplatz angezeigt wird, welches LAN zur Verfügung steht. Es kann beispielsweise ein Anzeigepanel genutzt werden, um dem Benutzer am Arbeitsplatz anzuzeigen, welches LAN aktiv ist, welche speziellen Richtlinien beachtet werden müssen oder welche Geräte angeschlossen werden dürfen. Die Anzeige kann via Software-Umschaltung in Echtzeit oder über einen Datenbankeintrag angesteuert werden.
-
Im Folgenden wird die Erfindung anhand von Zeichnungen näher erläutert es zeigen:
- 1a, 1b: Eine Vorder- und eine Rückansicht einer Netzwerksumschaltvorrichtung;
- 2: Schematisch ein Blockschaltbild der Umgebung eines Netzwerksumschaltvorrichtung zur Durchführung eines erfindungsgemäßen Verfahrens;
- 3: Schematisch einen ersten Ablaufplan eines erfindungsgemäßen Verfahrens;
- 4: Schematisch einen zweiten Ablaufplan eines erfindungsgemäßen Verfahrens;
-
In den 1a und 1b ist eine Netzwerksumschaltvorrichtung mit dem Bezugszeichen 1 gekennzeichnet. Die Netzwerksumschaltvorrichtung 1 verfügt über eine Stromversorgungsschnittstelle 1a auf der Rückseite sowie eine Steuerschnittstelle 1b auf der Vorderseite. Des Weiteren befinden sich auf der Rückseite insgesamt acht Netzwerkseingangsschnittstellen 2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b, denen auf der Vorderseite paarweise vier Clientschnittstellen 2, 3, 4, 5 zugeordnet sind. Die Steuerschnittstelle 1b, die Netzwerkseingangsschnittstellen 2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b und die Clientschnittstellen 2, 3, 4, 5 sind hier jeweils als RJ45-Buchsen ausgestaltet. Die Anzahl der Eingangs- und Ausgangsschnittstellen in diesem Ausführungsbeispiel sind exemplarisch. Typischerweise sind auch in anderen Ausführungsformen zwei Netzwerkseingangsschnittstellen jeweils einer Clientschnittstelle zugeordnet. Denkbar ist aber auch, dass noch mehr Netzwerkseingangsschnittstellen einer Clientschnittstelle zugeordnet sind.
-
Schließlich ist in der Netzwerkumschaltvorrichtung 1 ein elektromechanischer Schalter angeordnet (hier nicht in dargestellt), der über die Steuerschnittstelle 1b ansteuerbar ist. Der elektromechanische Schalter ist dazu eingerichtet, zwischen einer Clientschnittstelle 2 und zwei zugeordneten Netzwerkseingangsschnittstellen 2a, 2b umzuschalten, sodass mit der Clientschnittstelle 2 entweder die Netzwerkseingangsschnittstelle 2a oder die Netzwerkseingangsschnittstelle 2b verbunden ist.
-
2 zeigt schematisch ein Blockschaltbild der Netzwerkumschaltvorrichtung mit angeschlossener Peripherie. Die Funktion der elektrischen Netzwerkumschaltvorrichtung 1 kann als transparenter Schalter angesehen werden, der zwischen zwei oder mehr LANs umschalten kann. Dafür werden zwei verschiedene LANs (über Layer 1) an den Netzwerkeingangsschnittstellen 2a, 2b angeschlossen. Zu Beginn ist die Clientschnittstelle 2 mit der Netzwerkeingangsschnittstelle 2a verbunden. Über die Clientschnittstelle 2 kann also auf das an der Netzwerkeingangsschnittstelle 2a angeschlossene LAN A zugegriffen werden. Der Client an der Clientschnittstelle 2 der Netzwerkumschaltvorrichtung 1 kann sich am LAN A über die vorgesehenen Sicherheitsmechanismen authentifizieren (bspw. Layer 2 - MAC-Filter) und das LAN A in vollem Umfang nutzen. Dabei ist die Netzwerkumschaltvorrichtung 1 für alle angeschlossenen Netzwerkkomponenten unsichtbar. Sobald ein Steuerbefehl zur Netzwerkumschaltung an der Steuerschnittstelle 1b durch den übergeordneten Server die Netzwerkumschaltvorrichtung 1 erreicht, wird auf das LAN B umgeschaltet. Dabei wird auf Layer-1-Ebene mittels des elektromechanischen Schalters die physikalische Verbindung zum LAN A getrennt und an der Clientschnittstelle 2 das LAN B über die Netzwerkeingangsschnittstelle 2b bereitgestellt.
-
Der Client muss sich nun am neuen LAN B authentifizieren und kann dieses ohne Kenntnisnahme der elektrischen Netzwerkumschaltung bzw. ohne Zugriffsrechte auf die Netzwerkumschaltvorrichtung 1 nutzen.
-
Damit die Transparenz und die Sicherheit der anliegenden LANs gewährleistet werden kann, sollte die Steuerschnittstelle 1b der Netzwerkumschaltvorrichtung 1 nur über ein Administrationsnetzwerk angesteuert werden können. Nur der Server oder berechtigte Clients können dann eine Schaltung der Netzwerkumschaltvorrichtung 1 anfordern.
-
Die Netzwerkumschaltvorrichtung 1 kann das LAN B durch eine automatische Umschaltung von LAN B auf LAN A in einen Schutzmodus versetzen. Dieser Sicherheitsmechanismus ist wichtig, wenn das LAN B als sicherheitskritisches Netzwerk oder Netzwerk mit besonders hohem Schutzbedarf eingestuft wird. Der Schutzmodus kann z.B. auftreten, wenn das Netzwerk an der Steuerschnittstelle 1b gestört wird oder zyklische Benachrichtigungen ausbleiben. Sollte ein solcher Fall eintreffen, so wechselt die Netzwerkumschaltvorrichtung innerhalb von Millisekunden auf das LAN A.
-
Weil die Netzwerkumschaltung für die Clientschnittstellen 2, 3, 4, 5 transparent und somit für die Netzwerkkomponenten nicht sichtbar ist, ist sie absolut manipulationssicher.
-
In 3 ist schematisch der Ablauf einer Buchung eines Besprechungsraumes und einer virtuellen Ressource gezeigt. In einem Anwendungsfall kann der Benutzer beispielsweise das LAN B selbständig durch das Buchen dieser virtuellen Ressource zu einem Arbeitsplatz zugehörig reservieren. Für die Buchung des LAN B können zum Beispiel das Mailprogramm oder Webapplikationen genutzt werden. Wenn der Benutzer einen Besprechungstermin mit zugeordnetem Arbeitsplatz anfragt, ist darauf zu achten, dass das LAN B als virtuelle Ressource und der Arbeitsplatz als Besprechungsraum, dem eine Netzwerkumschaltvorrichtung 1 zugeordnet ist, reserviert sind. Auf diese Weise wird verhindert, dass ein sicherheitskritisches LAN durch versehentliches Buchen desselbigen freigegeben wird. Ist der Anwender berechtigt, das LAN B zu buchen, und ist das LAN B für den angefragten Zeitraum verfügbar, erhält der Benutzer vom System einer Reservierungsbestätigung. Sobald der Besprechungstermin startet, prüft die Software, ob der Besprechungsraum und das LAN B als angefragte virtuelle Ressource gebucht sind und gibt das LAN B über die Netzwerkumschaltvorrichtung 1 des Besprechungsraums für den angefragten Zeitraum frei.
-
4 zeigt die zyklische Netzwerküberprüfung durch den Server während eines Besprechungstermins. Die auf dem Server operierende Software kann zum Beispiel durch einen Cron-Job (zeitgesteuert) oder einen Service auf einem Microsoft Windows Exchange Server ausgeführt werden. Wenn ein reservierter Termin gestartet wird, wird die Software zyklisch aufgerufen und prüft, ob das LAN als virtuelle Ressource und der Arbeitsplatz vom gleichen Benutzer und zur gleichen Zeit gebucht sind. Sollte eine der Bedingungen nicht zutreffend sein, kann die Software unmittelbar einen Steuerbefehl senden, um auf ein nicht sicherheitskritisches LAN und somit in einen Schutzmodus umzuschalten.
-
Die Kommunikation erfolgt durch das UDP-Protokoll. Sollten mehrere Nachrichten die Netzwerkumschaltvorrichtung 1 nicht erreichen, versetzt sich die Netzwerkumschaltvorrichtung 1 ebenfalls in einen Schutzmodus, sodass über die Clientschnittstellen 2, 3, 4, 5 lediglich auf unkritische LANs zugegriffen werden kann.