DE102019120112B4 - Elektrische Netzwerkumschaltung - Google Patents

Elektrische Netzwerkumschaltung Download PDF

Info

Publication number
DE102019120112B4
DE102019120112B4 DE102019120112.8A DE102019120112A DE102019120112B4 DE 102019120112 B4 DE102019120112 B4 DE 102019120112B4 DE 102019120112 A DE102019120112 A DE 102019120112A DE 102019120112 B4 DE102019120112 B4 DE 102019120112B4
Authority
DE
Germany
Prior art keywords
lan
network
workstation
interface
period
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102019120112.8A
Other languages
English (en)
Other versions
DE102019120112A1 (de
Inventor
Claas Meyer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ge T GmbH
Ge-T GmbH
Original Assignee
Ge T GmbH
Ge-T GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ge T GmbH, Ge-T GmbH filed Critical Ge T GmbH
Priority to DE102019120112.8A priority Critical patent/DE102019120112B4/de
Publication of DE102019120112A1 publication Critical patent/DE102019120112A1/de
Application granted granted Critical
Publication of DE102019120112B4 publication Critical patent/DE102019120112B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/40Constructional details, e.g. power supply, mechanical construction or backplane
    • H04L49/405Physical details, e.g. power supply, mechanical construction or backplane of ATM switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/65Re-configuration of fast packet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2005Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication controllers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2002Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
    • G06F11/2007Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant using redundant communication media

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren zur physikalischen Umschaltung zwischen mindestens zwei Local-Area-Networks (LANs) mittels einer Netzwerkumschaltvorrichtung (1), die eine Stromversorgungsschnittstelle (1a), einen durch einen übergeordneten Server betätigbaren elektromechanischen Schalter, eine dem elektromechanischen Schalter zugeordnete Steuerschnittstelle (1b), mindestens zwei Netzwerkeingangsschnittstellen (2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b) und mindestens eine Clientschnittstelle (2, 3, 4, 5) aufweist, bei dem die Netzwerkumschaltung zwischen den einzelnen Netzwerkeingangsschnittstellen (2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b) der LANs von dem übergeordneten Server mittels des elektromechanischen Schalters selektiv auf einzelne Clientschnittstellen (2, 3, 4, 5) durchgeführt wird, wobei- von einem Benutzer ein Arbeitsplatz und der Zugang zu einem LAN am Arbeitsplatz über eine geeignete Applikation für einen vom Benutzer gewünschten Zeitraum angefragt wird,- der übergeordnete Server prüft, ob der Arbeitsplatz und das LAN für den angefragten Zeitraum verfügbar sind,- und, wenn beide Bedingungen erfüllt sind, der Server den Arbeitsplatz und das LAN für den gewünschten Zeitraum reserviert und eine LAN-Zugangsschnittstelle am Arbeitsplatz zu dem gebuchten LAN für den Zeitraum und den Arbeitsplatz mittels der Netzwerkumschaltvorrichtung (1) freischaltet.

Description

  • Die Erfindung betrifft ein Verfahren zur physikalischen Umschaltung zwischen mindestens zwei Local-Area-Networks (LANs).
  • In der Informationstechnik dient das OSI-Modell (Open System Interconnection Model) als Referenzmodell zur Beschreibung der Netzwerkprotokolle. Das Modell besteht aus sieben Schichten (auch Layer genannt). Die Kommunikation zweier IT-Komponenten erfolgt immer auf der gleichen Schicht. Höhere Layer durchlaufen dabei immer alle unteren Layer, um beim Empfänger auf gleicher Ebene empfangen und verarbeitet zu werden.
  • Layer 1: Bitübertragungsschicht (Physical Layer) - Die Bitübertragungsschicht ist die physikalische Verbindung. Hier werden die Daten Bit-weise übertragen.
  • Layer 2: Sicherungsschicht (Data Link Layer) - In der Sicherungsschicht werden Bits zu Frames (Rahmen) zusammengefasst. Durch Mac(Media Access Control)-Adressen identifizieren sich die Geräte.
  • Layer 3: Vermittlungsschicht (Network Layer) - Die Vermittlungsschicht besteht unter anderem aus Internet-Protocol-Paketen (IP-Pakete). Zur Authentifizierung werden IP-Adressen an alle Teilnehmer eines Netzwerks vergeben. Die Adressvergabe kann statisch, durch manuelle Vergabe oder automatisch durch einen DHCP (Dynamic-Host-Configuration-Protocol-Server)-Server erfolgen. Dieser kann auf einem Server oder auf einem Netzwerkteilnehmer, zum Beispiel einem Switch oder Router ausgeführt werden.
  • Layer 4: Transportschicht (Transport Layer) - Die Transportschicht beschreibt die auszuführende Anwendung (TCP (Transmission Control Protocol), UDP(User Datagram Protocol), etc.). Das TCP ist ein Handshake-Protokoll, bei dem jedes Paket auf der Gegenseite per ACK (Acknowledgment) bestätigt wird. Dieses Protokoll wird für eine sichere und stabile Kommunikation verwendet. Für Echtzeit-Anwendungen wird das UDP genutzt. Der Sender nummeriert die Pakete nicht durch und der Empfang von Paketen wird vom Empfänger nicht bestätigt.
  • Layer 5-7: Im einfachen OSI-Modell werden die obersten drei Layer als Anwendungs-OSI-Schicht bezeichnet. Dabei greifen Programme und Anwendungen direkt auf diese drei Schichten zu (Sitzungsschicht (Session Layer), Darstellungsschicht (Presentation Layer), Anwendungsschicht (Application Layer)).
  • In der Informationstechnik werden verschiedene Komponenten zu einer Infrastruktur zusammengeschaltet. IT-Komponenten können zum Beispiel Server, Speichersysteme, Netzwerkkomponenten sowie Clientsysteme sein. Die Infrastruktur kann aus einer Kabelverbindung und/oder einer Funkverbindung bestehen.
  • Die Kommunikation innerhalb einer IT-Infrastruktur findet auf Basis von Layer 1 sternförmig statt. Dabei bildet ein Switch oder Hub die zentrale Kommunikationsschnittstelle zwischen den IT-Komponenten.
  • Ein Switch bildet die intelligente Kommunikationsschnittstelle in einem Netzwerk. Der konventionelle Switch kommuniziert auf den Layern 1-2. Der Switch kann zwischen den angeschlossenen Komponenten unterscheiden und leitet die Informationen nur an diejenigen Schnittstellen weiter, an die die Informationen gesendet werden sollen.
  • Ein Router bildet einen Netzwerkabschluss und kommuniziert auf den Layern 1-3. Ein Router entscheidet, ob IP-Pakete das Netzwerk verlassen dürfen oder die Informationen ins World Wide Web (WWW) bzw. in ein Wide Area Network (WAN) weitergeleitet werden. Ein solcher Router ist beispielsweise aus dem Dokument „AVM GmbH" [Hrsg. Fritz!Box 7390. AVM GmbH, Einrichten und bedienen, recherchiert am 23.5.2016, 219 Seiten‟] bekannt.
  • In kritischen IT-Infrastrukturen gibt es besonders hohe Anforderungen an deren IT-Komponenten. Die IEC (International Electrotechnical Commission) und auch die ENX-Association (European Network Exchange Association) spezifizieren die Grundlagen und deren stetigen Verbesserungsprozess zur Informationssicherheit in ihren Leitfäden ISO27001 und TISAX (Trusted Information Security Assessment Exchange).
  • Ein Standard ist es, eine DMZ (Demilitarisierte Zone) von einem Firmennetzwerk oder Intranet abzutrennen. Häufig wird auch ein Verwaltungsnetzwerk für die Administration der IT-Infrastruktur vom Firmennetzwerk abgetrennt. Eine Anforderung der Leitfäden ist jedoch, separate Netzwerke für gesonderte Anwendungen bereit zu halten. So besteht insbesondere in größeren Unternehmen die Anforderung, für einzelne Abteilungen jeweils ein gesondertes Netzwerk zur Verfügung zu stellen, beispielsweise ein Produktions-, ein Verwaltungs-, ein Entwicklungs- und/oder ein Gast-Netzwerk. Dabei ist es wichtig, dass in jedem Raum nur ein Netzwerk verfügbar ist, um das Überbrücken von Netzwerken auszuschließen. Eine Unterteilung der Netzwerke kann durch verschiedene Wege erreicht werden:
    • - Subnetting - Als Subnetz wird ein Teilnetz eines Netzwerks bezeichnet. Eine Trennung erfolgt durch die Maskierung der IP-Adresse. Durch das ändern der IP-Adresse kann eine Komponente in ein anderes Subnetz versetzt werden. Diese Unterteilung in Teilnetzwerke gilt als nicht sichere Aufteilung und sollte nur in Kombination mit weiteren Unterteilungen genutzt werden.
    • - Segmentierung - Als Segmentierung bezeichnet man die Aufteilung in VLANs (Virtual Local Area Network). VLANs sind eine Trennung der physischen Netzwerke durch das Setzen eines VLAN-Tags im Frame (Layer 2). In einem VLAN ist es somit möglich, mehrere Netzwerkkomponenten in einem physikalischen Netzwerk zu verbinden, die aber nicht direkt kommunizieren dürfen. So ergibt sich die Möglichkeit, ein Netzwerk zu organisieren, ohne dass diese der physischen Organisation entsprechen.
    • - Segregation - Eine weitere Möglichkeit ist die physikalische Unterteilung. Bei der physikalischen Unterteilung wird das Netzwerk physikalisch, also auf Layer 1, in getrennte Netzwerke unterteilt. Die Unterteilung des Eingangsnetzwerks kann durch eine Firewall oder z.B. durch einen Layer-4-Switch erfolgen. Besonders wichtig ist bei dieser Unterteilung, dass einmal getrennte Netzwerke nicht durch Netzwerkverteilungen, Switche oder Hubs wieder zusammengeführt werden.
  • Die hier genannten Lösungen sind statische Lösungen, d.h. der Umbau eines Netzwerks erfordert entweder physikalische Umbauarbeiten oder eine Umprogrammierung des VLANs. Jeder Umbau eines Netzwerks ist arbeitsaufwendig, fehleranfällig und insbesondere in kritischen Umgebungen mit einem großen Dokumentationsaufwand verbunden. VLANs sind außerdem anfällig gegen Hard- und Softwarefehler oder unsicher gegen Netzwerkangriffe. Ein Netzwerkangriff kann z.B. VLAN-Hopping sein. VLAN-Hopping unterteilt sich in zwei Angriffsmöglichkeiten:
    • - Switch Spoofing - Beim Switch Spoofing werden die Ports des Switchs von Trunking-Protokollen (z.B. Multiple VLAN Registration Protocol, IEEE 802.1 Q, Dynamic Trunking Protocol) angesprochen und verändert. Anschließend können die Nachrichten anderer VLANs mitgelesen werden.
    • - Double Tagging - Bei 802.1Q-fähigen Switchen kann ein zweiter VLAN-Tag dem Frame vorangesetzt werden. Dabei wird der äußere Frame vom ersten Switch als normales Paket behandelt. Sobald der manipulierte Frame den zweiten Switch erreicht, wird das Paket in das infiltrierte Netzwerk eingeschleust.
  • Des Weiteren sind die genannten Lösungen aus oben genannten Gründen (Hardwareumbau oder Umprogrammierung) nicht dafür geeignet, automatisiert und flexibel die verschiedenen Netzwerke an verschiedenen Standorten temporär zur Verfügung zu stellen.
  • Es ist daher Aufgabe der Erfindung, eine Möglichkeit bereitzustellen, den Zugang zu verschiedenen Netzwerken (LANs) an unterschiedlichen Orten für die jeweils autorisierten Personen flexibel und automatisiert temporär bereitzustellen, wobei die Anwendung höchsten Sicherheitskriterien gerecht werden muss, um auch in kritischen und hochsensiblen IT-Infrastrukturen eingesetzt werden zu können.
  • Zur Lösung der Aufgabe schlägt die Erfindung ein Verfahren zur physikalischen Umschaltung zwischen mindestens zwei LANs mittels einer Netzwerkumschaltvorrichtung vor, wobei die Netzwerkumschaltvorrichtung eine Stromversorgungsschnittstelle, einen durch einen übergeordneten Server betätigbaren elektromechanischen Schalter, eine dem elektromechanischen Schalter zugeordnete Steuerschnittstelle, mindestens zwei Netzwerkeingangsschnittstellen und mindestens eine Clientschnittstelle aufweist, und wobei die Umschaltung zwischen den einzelnen Netzwerkeingangsschnittstellen der LANs von dem übergeordneten Server mittels des elektromechanischen Schalters selektiv auf einzelne Clientschnittstellen durchgeführt wird.
  • Durch dieses Verfahren ist es möglich, den einzelnen Benutzern Zugang zu einem einzelnen physikalisch separaten LAN zu gewähren, während die übrigen LANs physikalisch vom Benutzer getrennt und somit sicher gegenüber Angriffen und Ausspähung sind. Sobald ein Steuerbefehl zur Netzwerkumschaltung des übergeordneten Servers die Steuerschnittstelle der Netzwerkumschaltvorrichtung erreicht, wird der elektromechanische Schalter betätigt und das jeweilige LAN auf die Clientschnittstelle geschaltet. Über die Clientschnittstelle kann das an der Netzwerkseingangsschnittstelle anliegende LAN in die jeweiligen Bereiche weiter verteilt werden. D.h., dass beispielsweise über einen Hub weitere Unterverteilungen angeschlossen sind und somit Zugänge zum jeweiligen LAN in einen oder mehrere Besprechungsräume verteilt werden können. An den jeweiligen Client-Unteranschlüssen ist folglich nur ein Zugriff auf das jeweils durch die Netzwerkumschaltvorrichtung freigegebene LAN möglich.
  • Erfindungsgemäß ist vorgesehen, dass von einem Benutzer ein Arbeitsplatz und der Zugang zu einem LAN am Arbeitsplatz über eine geeignete Applikation für einen vom Benutzer gewünschten Zeitraum angefragt wird, ein übergeordneter Server prüft, ob der Arbeitsplatz und das LAN für den angefragten Zeitraum verfügbar sind, und, wenn beide Bedingungen erfüllt sind, der Server den Arbeitsplatz und das Netzwerk für den gewünschten Zeitraum reserviert und die Zugangsschnittstelle am Arbeitsplatz zu dem gebuchten LAN für den gebuchten Zeitraum und den Arbeitsplatz mittels der Netzwerkumschaltvorrichtung freischaltet. Bei dem Arbeitsplatz kann es sich um einen einzelnen Schreibtisch handeln, aber auch um einen oder mehrere Besprechungsräume, ein (Großraum-)Büro oder Ähnliches. Der Benutzer kann bei gegebener Freischaltung des LAN im gewünschten Zeitraum auf das LAN zugreifen, sofern er berechtigt ist und sich authentifizieren kann.
  • Falls die Kommunikation zur Steuerschnittstelle gestört ist, ist es zweckmäßig, wenn mittels der Netzwerkumschaltvorrichtung automatisch in einen sicheren Zustand geschaltet wird. Hierdurch kann sichergestellt werden, dass Manipulationen an der Steuerschnittstelle oder am übergeordneten Server unmittelbar zur Umschaltung führen und die angeschlossenen Clients nur an ein sicheres, also nicht an ein sensibles und/oder sicherheitsrelevantes LAN angeschlossen werden.
  • Zudem ist es vorteilhaft, wenn mehrere Benutzer einer Benutzergruppe zugeordnet werden, den Benutzergruppen vorbestimmte Berechtigungen für einzelne LANs zugewiesen werden und der Server überprüft, ob der jeweilige Benutzer über die vorbestimmten Berechtigungen verfügt. Durch die vorherige Identifizierung des Benutzers und die Zuordnung zu einer Benutzergruppe kann der übergeordnete Server bereits im Vorhinein prüfen, ob der Benutzer berechtigt ist, einen Zugang zu dem angefragten LAN zu erhalten. Ist der Benutzer nicht autorisiert, kann der übergeordnete Server die Anfrage direkt ablehnen und den Benutzer beispielsweise mit einer E-Mail hierüber informieren.
  • Es kann auch zweckmäßig sein, wenn am Arbeitsplatz angezeigt wird, welches LAN zur Verfügung steht. Es kann beispielsweise ein Anzeigepanel genutzt werden, um dem Benutzer am Arbeitsplatz anzuzeigen, welches LAN aktiv ist, welche speziellen Richtlinien beachtet werden müssen oder welche Geräte angeschlossen werden dürfen. Die Anzeige kann via Software-Umschaltung in Echtzeit oder über einen Datenbankeintrag angesteuert werden.
  • Im Folgenden wird die Erfindung anhand von Zeichnungen näher erläutert es zeigen:
    • 1a, 1b: Eine Vorder- und eine Rückansicht einer Netzwerksumschaltvorrichtung;
    • 2: Schematisch ein Blockschaltbild der Umgebung eines Netzwerksumschaltvorrichtung zur Durchführung eines erfindungsgemäßen Verfahrens;
    • 3: Schematisch einen ersten Ablaufplan eines erfindungsgemäßen Verfahrens;
    • 4: Schematisch einen zweiten Ablaufplan eines erfindungsgemäßen Verfahrens;
  • In den 1a und 1b ist eine Netzwerksumschaltvorrichtung mit dem Bezugszeichen 1 gekennzeichnet. Die Netzwerksumschaltvorrichtung 1 verfügt über eine Stromversorgungsschnittstelle 1a auf der Rückseite sowie eine Steuerschnittstelle 1b auf der Vorderseite. Des Weiteren befinden sich auf der Rückseite insgesamt acht Netzwerkseingangsschnittstellen 2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b, denen auf der Vorderseite paarweise vier Clientschnittstellen 2, 3, 4, 5 zugeordnet sind. Die Steuerschnittstelle 1b, die Netzwerkseingangsschnittstellen 2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b und die Clientschnittstellen 2, 3, 4, 5 sind hier jeweils als RJ45-Buchsen ausgestaltet. Die Anzahl der Eingangs- und Ausgangsschnittstellen in diesem Ausführungsbeispiel sind exemplarisch. Typischerweise sind auch in anderen Ausführungsformen zwei Netzwerkseingangsschnittstellen jeweils einer Clientschnittstelle zugeordnet. Denkbar ist aber auch, dass noch mehr Netzwerkseingangsschnittstellen einer Clientschnittstelle zugeordnet sind.
  • Schließlich ist in der Netzwerkumschaltvorrichtung 1 ein elektromechanischer Schalter angeordnet (hier nicht in dargestellt), der über die Steuerschnittstelle 1b ansteuerbar ist. Der elektromechanische Schalter ist dazu eingerichtet, zwischen einer Clientschnittstelle 2 und zwei zugeordneten Netzwerkseingangsschnittstellen 2a, 2b umzuschalten, sodass mit der Clientschnittstelle 2 entweder die Netzwerkseingangsschnittstelle 2a oder die Netzwerkseingangsschnittstelle 2b verbunden ist.
  • 2 zeigt schematisch ein Blockschaltbild der Netzwerkumschaltvorrichtung mit angeschlossener Peripherie. Die Funktion der elektrischen Netzwerkumschaltvorrichtung 1 kann als transparenter Schalter angesehen werden, der zwischen zwei oder mehr LANs umschalten kann. Dafür werden zwei verschiedene LANs (über Layer 1) an den Netzwerkeingangsschnittstellen 2a, 2b angeschlossen. Zu Beginn ist die Clientschnittstelle 2 mit der Netzwerkeingangsschnittstelle 2a verbunden. Über die Clientschnittstelle 2 kann also auf das an der Netzwerkeingangsschnittstelle 2a angeschlossene LAN A zugegriffen werden. Der Client an der Clientschnittstelle 2 der Netzwerkumschaltvorrichtung 1 kann sich am LAN A über die vorgesehenen Sicherheitsmechanismen authentifizieren (bspw. Layer 2 - MAC-Filter) und das LAN A in vollem Umfang nutzen. Dabei ist die Netzwerkumschaltvorrichtung 1 für alle angeschlossenen Netzwerkkomponenten unsichtbar. Sobald ein Steuerbefehl zur Netzwerkumschaltung an der Steuerschnittstelle 1b durch den übergeordneten Server die Netzwerkumschaltvorrichtung 1 erreicht, wird auf das LAN B umgeschaltet. Dabei wird auf Layer-1-Ebene mittels des elektromechanischen Schalters die physikalische Verbindung zum LAN A getrennt und an der Clientschnittstelle 2 das LAN B über die Netzwerkeingangsschnittstelle 2b bereitgestellt.
  • Der Client muss sich nun am neuen LAN B authentifizieren und kann dieses ohne Kenntnisnahme der elektrischen Netzwerkumschaltung bzw. ohne Zugriffsrechte auf die Netzwerkumschaltvorrichtung 1 nutzen.
  • Damit die Transparenz und die Sicherheit der anliegenden LANs gewährleistet werden kann, sollte die Steuerschnittstelle 1b der Netzwerkumschaltvorrichtung 1 nur über ein Administrationsnetzwerk angesteuert werden können. Nur der Server oder berechtigte Clients können dann eine Schaltung der Netzwerkumschaltvorrichtung 1 anfordern.
  • Die Netzwerkumschaltvorrichtung 1 kann das LAN B durch eine automatische Umschaltung von LAN B auf LAN A in einen Schutzmodus versetzen. Dieser Sicherheitsmechanismus ist wichtig, wenn das LAN B als sicherheitskritisches Netzwerk oder Netzwerk mit besonders hohem Schutzbedarf eingestuft wird. Der Schutzmodus kann z.B. auftreten, wenn das Netzwerk an der Steuerschnittstelle 1b gestört wird oder zyklische Benachrichtigungen ausbleiben. Sollte ein solcher Fall eintreffen, so wechselt die Netzwerkumschaltvorrichtung innerhalb von Millisekunden auf das LAN A.
  • Weil die Netzwerkumschaltung für die Clientschnittstellen 2, 3, 4, 5 transparent und somit für die Netzwerkkomponenten nicht sichtbar ist, ist sie absolut manipulationssicher.
  • In 3 ist schematisch der Ablauf einer Buchung eines Besprechungsraumes und einer virtuellen Ressource gezeigt. In einem Anwendungsfall kann der Benutzer beispielsweise das LAN B selbständig durch das Buchen dieser virtuellen Ressource zu einem Arbeitsplatz zugehörig reservieren. Für die Buchung des LAN B können zum Beispiel das Mailprogramm oder Webapplikationen genutzt werden. Wenn der Benutzer einen Besprechungstermin mit zugeordnetem Arbeitsplatz anfragt, ist darauf zu achten, dass das LAN B als virtuelle Ressource und der Arbeitsplatz als Besprechungsraum, dem eine Netzwerkumschaltvorrichtung 1 zugeordnet ist, reserviert sind. Auf diese Weise wird verhindert, dass ein sicherheitskritisches LAN durch versehentliches Buchen desselbigen freigegeben wird. Ist der Anwender berechtigt, das LAN B zu buchen, und ist das LAN B für den angefragten Zeitraum verfügbar, erhält der Benutzer vom System einer Reservierungsbestätigung. Sobald der Besprechungstermin startet, prüft die Software, ob der Besprechungsraum und das LAN B als angefragte virtuelle Ressource gebucht sind und gibt das LAN B über die Netzwerkumschaltvorrichtung 1 des Besprechungsraums für den angefragten Zeitraum frei.
  • 4 zeigt die zyklische Netzwerküberprüfung durch den Server während eines Besprechungstermins. Die auf dem Server operierende Software kann zum Beispiel durch einen Cron-Job (zeitgesteuert) oder einen Service auf einem Microsoft Windows Exchange Server ausgeführt werden. Wenn ein reservierter Termin gestartet wird, wird die Software zyklisch aufgerufen und prüft, ob das LAN als virtuelle Ressource und der Arbeitsplatz vom gleichen Benutzer und zur gleichen Zeit gebucht sind. Sollte eine der Bedingungen nicht zutreffend sein, kann die Software unmittelbar einen Steuerbefehl senden, um auf ein nicht sicherheitskritisches LAN und somit in einen Schutzmodus umzuschalten.
  • Die Kommunikation erfolgt durch das UDP-Protokoll. Sollten mehrere Nachrichten die Netzwerkumschaltvorrichtung 1 nicht erreichen, versetzt sich die Netzwerkumschaltvorrichtung 1 ebenfalls in einen Schutzmodus, sodass über die Clientschnittstellen 2, 3, 4, 5 lediglich auf unkritische LANs zugegriffen werden kann.

Claims (4)

  1. Verfahren zur physikalischen Umschaltung zwischen mindestens zwei Local-Area-Networks (LANs) mittels einer Netzwerkumschaltvorrichtung (1), die eine Stromversorgungsschnittstelle (1a), einen durch einen übergeordneten Server betätigbaren elektromechanischen Schalter, eine dem elektromechanischen Schalter zugeordnete Steuerschnittstelle (1b), mindestens zwei Netzwerkeingangsschnittstellen (2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b) und mindestens eine Clientschnittstelle (2, 3, 4, 5) aufweist, bei dem die Netzwerkumschaltung zwischen den einzelnen Netzwerkeingangsschnittstellen (2a, 2b, 3a, 3b, 4a, 4b, 5a, 5b) der LANs von dem übergeordneten Server mittels des elektromechanischen Schalters selektiv auf einzelne Clientschnittstellen (2, 3, 4, 5) durchgeführt wird, wobei - von einem Benutzer ein Arbeitsplatz und der Zugang zu einem LAN am Arbeitsplatz über eine geeignete Applikation für einen vom Benutzer gewünschten Zeitraum angefragt wird, - der übergeordnete Server prüft, ob der Arbeitsplatz und das LAN für den angefragten Zeitraum verfügbar sind, - und, wenn beide Bedingungen erfüllt sind, der Server den Arbeitsplatz und das LAN für den gewünschten Zeitraum reserviert und eine LAN-Zugangsschnittstelle am Arbeitsplatz zu dem gebuchten LAN für den Zeitraum und den Arbeitsplatz mittels der Netzwerkumschaltvorrichtung (1) freischaltet.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass mittels der Netzwerkumschaltvorrichtung (1) automatisch in einen sicheren Zustand geschaltet wird, wenn die Kommunikation zur Steuerschnittstelle gestört ist.
  3. Verfahren nach einem der vorgenannten Ansprüche, dadurch gekennzeichnet, dass mehrere Benutzer einer Benutzergruppe zugeordnet werden, den Benutzergruppen vorbestimmte Berechtigungen für einzelne LANs zugewiesen werden und der Server überprüft, ob der jeweilige Benutzer aus der jeweiligen Benutzergruppe über die vorbestimmten Berechtigungen verfügt.
  4. Verfahren nach Anspruch 1, 2 oder 3, dadurch gekennzeichnet, dass am Arbeitsplatz angezeigt wird, welches LAN zur Verfügung steht.
DE102019120112.8A 2019-07-25 2019-07-25 Elektrische Netzwerkumschaltung Active DE102019120112B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019120112.8A DE102019120112B4 (de) 2019-07-25 2019-07-25 Elektrische Netzwerkumschaltung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019120112.8A DE102019120112B4 (de) 2019-07-25 2019-07-25 Elektrische Netzwerkumschaltung

Publications (2)

Publication Number Publication Date
DE102019120112A1 DE102019120112A1 (de) 2021-01-28
DE102019120112B4 true DE102019120112B4 (de) 2021-08-12

Family

ID=74098649

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019120112.8A Active DE102019120112B4 (de) 2019-07-25 2019-07-25 Elektrische Netzwerkumschaltung

Country Status (1)

Country Link
DE (1) DE102019120112B4 (de)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
AVM GmbH: FRITZ!Box 7390 Einrichten und bedienen. 01/2015. Berlin, 2015. S. 1-219. - Firmenschrift. - Originalschrift der NPL ist (aus urheberrechtlichen Gründen) in der DPMAprüfstoff-npl-datenbasis unter der ID136668 abgelegt; Ersatzdokument in der Akte
AVM GmbH" [Hrsg. Fritz!Box 7390. AVM GmbH, Einrichten und bedienen, recherchiert am 23.5.2016, 219 Seiten

Also Published As

Publication number Publication date
DE102019120112A1 (de) 2021-01-28

Similar Documents

Publication Publication Date Title
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE60028897T2 (de) Verfahren und Vorrichtung zur Umschaltung zwischen zwei Netzwerkzugangstechnologien ohne Unterbrechung der aktiven Netzwerkanwendungen
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60108927T2 (de) Komputersysteme, insbesondere virtuelle private Netzwerken
DE60113435T2 (de) Audio-video-telefonie mit firewalls und netzwerkadressübersetzung
DE69836271T2 (de) Mehrstufiges firewall-system
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE69818232T2 (de) Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE60009819T2 (de) Netzwerkgerätskonfigurationsverfahren und Vorrichtung
DE60038705T2 (de) Verfahren und vorrichtung für die aktivitäts-basierte zusammenarbeit eines rechnersystems, ausgestattet mit einem kommunikations-manager
DE60031274T2 (de) Mehrfachanschlussverfahren und -gerät für vituelle ports
DE60311297T2 (de) Gemeinsame port adressenumsetzung in einem router der als nat & nat-pt gateway agiert
WO2003081875A1 (de) Aaa serversystem zur effizienten zugangskontrolle und adresszuordnung
EP3142296B1 (de) Verfahren zur konfiguration eines modularen steuerungsgeräts eines industriellen automatisierungssystems und modulares steuerungsgerät
DE10330079B4 (de) Router und Verfahren zur Aktivierung eines deaktivierten Computers
EP3158695A1 (de) Verfahren zum übertragen von daten, sowie zugehöriger netzknoten und zugehöriges netzwerk
DE102019120112B4 (de) Elektrische Netzwerkumschaltung
EP3753205B1 (de) Datenübertragung in zeitsensitiven datennetzen
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
EP1699181A1 (de) Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
DE10234562B4 (de) Sichere Netzwerkarchitektur
EP2898635B1 (de) System und verfahren zur wartung einer werkzeugmaschine

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012903000

Ipc: H04L0045850000

R020 Patent grant now final