DE10241974B4 - Monitoring of data transmissions - Google Patents
Monitoring of data transmissions Download PDFInfo
- Publication number
- DE10241974B4 DE10241974B4 DE2002141974 DE10241974A DE10241974B4 DE 10241974 B4 DE10241974 B4 DE 10241974B4 DE 2002141974 DE2002141974 DE 2002141974 DE 10241974 A DE10241974 A DE 10241974A DE 10241974 B4 DE10241974 B4 DE 10241974B4
- Authority
- DE
- Germany
- Prior art keywords
- data
- control system
- network
- proxy
- ids
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 82
- 230000005540 biological transmission Effects 0.000 title claims abstract description 63
- 238000012546 transfer Methods 0.000 claims abstract description 91
- 238000004891 communication Methods 0.000 claims abstract description 25
- 238000000034 method Methods 0.000 claims description 40
- 238000007726 management method Methods 0.000 claims description 7
- 238000012550 audit Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 claims 1
- 230000029305 taxis Effects 0.000 claims 1
- 238000004458 analytical method Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 5
- 238000001152 differential interference contrast microscopy Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000013459 approach Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000013515 script Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
Sicherheitsumgebung
zur Überwachung
netzwerkbasierter Datenübertragungen,
mit
– wenigstens
einem Kontrollsystem (FW, PROXY, IDS), das jeweils wenigstens mit
einer Kommunikationsverbindung (NW1, NW2) für Datenübertragungen zwischen einem
ersten Netzwerk (NW1) und einem zweiten Netzwerk (NW2) verbunden
ist, jeweils zur Kontrolle von ersten Datenübertagungen zwischen dem ersten
Netzwerk (NWI) und dem zweiten Netzwerk (NW2) und jeweils zur Ausgabe von
charakterisierenden Daten, die jeweils einzelne der Datenübertragungen
charakterisieren, und
– einem Überwachungssystem
(AS) zum Empfang der jeweiligen charakterisierenden Daten und zum
Ermitteln aus den charakterisierenden Daten, ob die Datenübertragungen
für das
wenigstens eine Kontrollsystem (FW, PROXY, IDS) jeweils vorgegebene
Sicherheitsanforderungen erfüllen,
dadurch
gekennzeichnet, dass
– nur
das Überwachungssystem
(AS) eine Speichereinheit (AS-MEM) aufweist, um die charakterisierenden
Daten und die Daten der jeweiligen charakterisierenden Daten zu speichern,
die eine Verletzung der vorgegebenen Sicherheitsanforderungen angeben.Security environment for monitoring network-based data transmissions, with
- at least one control system (FW, PROXY, IDS), each connected to at least one communication link (NW1, NW2) for data transfers between a first network (NW1) and a second network (NW2), respectively for controlling first data transfers between the first network (NWI) and the second network (NW2) and each for outputting characterizing data characterizing each one of the data transfers, and
A monitoring system (AS) for receiving the respective characterizing data and for determining from the characterizing data whether the data transmissions for the at least one control system (FW, PROXY, IDS) respectively fulfill predetermined security requirements,
characterized in that
- Only the monitoring system (AS) has a memory unit (AS-MEM) to store the characterizing data and the data of the respective characterizing data indicating a violation of the specified security requirements.
Description
Gebiet der ErfindungTerritory of invention
Die vorliegende Erfindung betrifft die Sicherheit bei netzwerkbasierten Datenübertragungen und insbesondere Sicherheitsaspekte bei Datenübertragungen zwischen wenigstens zwei Netzwerken, auch unter Berücksichtigung von Datenübertragungen innerhalb eines Netzwerks, die zur Übertragung in ein anderes Netzwerk vorgesehen sind.The The present invention relates to network-based security data transfers and in particular security aspects of data transfers between at least two networks, also considering of data transmissions within a network that is ready to be transferred to another network are provided.
Hintergrund der Erfindungbackground the invention
Um die Sicherheit bei Datenübertragungen zwischen zwei Netzwerken zu gewährleisten, werden üblicherweise als sogenannte "Firewalls" bezeichnete Systeme verwendet. Der Begriff "Netzwerk", wie er hier verwendet wird, umfasst einzelne oder mehrere Einheiten umfassende Anordnungen, beispielsweise in Form von Rechnersystemen, von und zu denen Daten übertragen werden können. Beispiele hierfür sind das Internet, Intranets, einzelne, beispielsweise als Personal-Computer ausgeführte Rechnereinheiten umfassende Anordnungen mit Einrichtungen oder damit verbundenen Vorrichtungen für Datenübertragungen zu und von anderen Systemen und dergleichen.Around the security of data transmissions between two networks to ensure become common as so-called "firewalls" designated systems used. The term "network" as used here includes single or multi-unit arrangements, for example in the form of computer systems to and from which data is transferred can be. Examples of this are the Internet, intranets, individual, for example, as a personal computer running computer units comprehensive arrangements with facilities or related Devices for data transfers to and from other systems and the like.
Eine Firewall dient im Wesentlichen dazu, nicht erwünschte, unzulässige Datenübertragungen von einem Netzwerk zu einem anderen Netzwerk zu verhindern. Im Allgemeinen schützt eine Firewall ein Netzwerk auch vor unerlaubten Zugriffen aus einem anderen Netzwerk, wobei hierfür üblicherweise für einen Zugriff erforderliche und/oder einen Zugriff einleitende Datenübertragungen aus einem anderen Netzwerk verhindert werden, wenn sie zu einem unerlaubten Zugriff führen würden.A Firewall essentially serves unwanted, unauthorized data transfers from one network to another network. In general protects a firewall a network even against unauthorized access from one other network, and this usually for one Access required and / or access-initiating data transfers prevented from another network when they become one lead to unauthorized access would.
In dem Buch „Firewall-Systeme" von Norbert Pohlman wird ein Firewall-System beschrieben, das ein Übertragungssystem mit einem separatem Rechnersystem aufweist, welcher mit einem eigenen, angepassten Betriebssystem betrieben wird.In the book "Firewall Systems" by Norbert Pohlman describes a firewall system that has a transmission system with a has separate computer system, which with its own, customized operating system is operated.
Um unerwünschte, unerlaubte Datenübertragungen und Zugriffe zu verhindern und erwünschte, erlaubte Datenübertragungen und Zugriffe zuzulassen, verwendet eine Firewall im Allgemeinen eine sogenannte Paketfilterung. Bei netzwerkbasierten Datenübertagungen werden Daten im Allgemeinen paketweise übertragen, wobei die Pakete Informationen umfassen, die beispielsweise die Quelle der zu übertragenden Daten, das Ziel, zu dem die Daten übertragen werden sollen, zur Erstellung der zu übertragenden Daten verwendete Protokolle (z.B. Protokolle zur Erstellung von Textdokumenten, Grafikdokumenten, Video/Audio-Dokumente, ausführbaren Softwareco des, beispielsweise in Form von Softwareprogrammen, und dergleichen) etc. angeben. Bei einer Paketfilterung werden Regeln definiert, die beispielsweise Datenübertragungen von bestimmten Quellen und/oder zu bestimmten Zielen verhindern sollen. Gemäß solcher Regeln verhindert eine Firewall Datenübertragungen von einem Netzwerk zu einem anderen Netzwerk oder lässt solche zu. Da bei einer Paketfilterung zu übertragende Daten zumeist nicht selbst überprüft werden, ist es üblich, Filterregeln zu definieren, die eine Klassifizierung von Dateninhalten, beispielsweise auf der Grundlage von bei der Erstellung zu übertragender Daten verwendeter Protokolle, zulassen. Auf diese Weise ist es beispielsweise möglich, mittels einer Firewall Datenübertragungen von Textdaten zuzulassen, während Daten, die einen ausführbaren Code oder Bilddaten umfassen, nicht übertragen werden.Around unwanted, unauthorized data transmissions and to prevent access and desired, allowed data transmissions and to allow access uses a firewall in general a so-called packet filtering. For network-based data transmissions In general, data is transmitted packet by packet, with the packets Information includes, for example, the source of the information to be transmitted Data, the destination to which the data is to be transmitted Creation of the transfer Data used protocols (e.g., protocols for creating Text documents, graphic documents, video / audio documents, executables Softwareco of, for example, in the form of software programs, and the like) etc. specify. Packet filtering becomes rules defines, for example, data transfers from certain sources and / or to prevent certain goals. According to such Rules prevents firewall data transfers from a network to another network or lets such too. As with packet filtering data to be transmitted usually not even be checked it is usual, Define filter rules that define a classification of data content, for example, on the basis of to be transferred at the time of creation Allow data of used protocols. That's the way it is for example possible, using a firewall data transfers while allowing text data Data that has an executable Code or image data include, not be transmitted.
Für Datenübertragungen zwischen zwei Netzwerken ist es oftmals erforderlich, in einem Netzwerk einen sogenannten Proxy zu verwenden, der Datenübertragungen von diesem Netzwerk zu einem anderen Netzwerk überhaupt erst ermöglicht. Folglich werden Proxy's oftmals auch als Sicherheitssysteme für Datenübertragungen verwendet. Da ein Proxy eines Rechnersystems, das den Proxy zur Kommunikation mit anderen Netzwerken oder Systemen benötigt, eine Vorraussetzung für Datenübertragung von und zu diesem Netzwerk darstellt, kann der Proxy auch dazu verwendet werden, nur bestimmte Datenübertragungen zuzulassen bzw. zu verhindern. Beispielsweise ist es möglich, mittels eines Proxy's dem Benutzer eines Netzwerks Zugriffe auf bestimmte von einem anderen Netzwerk bereitgestellte Dienste und/oder Daten zu ermöglichen. Hierfür können zum Beispiel im Zusammenhang mit den Diensten und/oder Daten des Netzwerks, auf das zugegriffen werden soll, verwendete Protokolle zugrundegelegt werden. Beispiele hierfür sind sogenannte HTTP-Proxy's und FTP-Proxy's, die lediglich Datenübertragungen gemäß HTTP bzw. FTP zulassen. Des Weiteren ist es bekannt, mittels eines Proxy's für einen Virenschutz bei Datenübertragungen zu sorgen.For data transfers between two networks, it is often necessary in a network to use a so-called proxy, which transmits data from this network to another network at all only possible. Consequently, proxy's often used as security systems for data transfers. There a proxy of a computer system that uses the proxy to communicate required with other networks or systems, a prerequisite for data transmission from and to this network, the proxy can also be used only certain data transfers to allow or prevent. For example, it is possible by means of a proxy's Users of a network accesses certain of another Network provided services and / or data. For this purpose can Example related to the services and / or data of the network, to be accessed, logs used become. Examples of this are so-called HTTP proxy's and FTP proxy's that only data transfers according to HTTP or Allow FTP. Furthermore, it is known by means of a proxy for a Virus protection during data transmissions to care.
Eine Firewall oder ein Proxy gewährleisten nicht, dass unerwünschte, nicht zulässige Datenübertragungen stattfinden. Um einen solchen, im Folgenden als Angriff bezeichneten Vorgang zu erkennen, ist es bekannt sogenannte "Intrusion Detection" Systeme (IDS) zu verwenden. Die Aufgabe eines IDS's besteht im Wesentlichen darin, die Verletzung von Sicherheitsbestimmung bzw. -anforderungen zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. Um einen Angriff erkennen zu können, ist es erforderlich, dass ein IDS mit Informationen zu versehen ist, die angeben, woran ein Angriff zu erkennen ist. Üblicherweise setzen unberechtigte Dritte bestimmte, sich oftmals wiederholende Techniken ein, um einen Angriff durchzuführen. Das heißt, Angriffe auf ein Netzwerk erfolgen nach Mustern, die auf diesem Gebiet als Signaturen bezeichnet werden. Derartige Signaturen umfassen TCP-Port Scans, UDP-Port Scans, IP-Pakete mit falschen Parametern, tunneln, einkapseln, überfluten und dergleichen. Da diese Signaturen auf dem Gebiet bekannt sind, wird an dieser Stelle auf eine nähere Beschreibung verzichtet.A Firewall or proxy not that unwanted, not allowed data transfers occur. To such, hereinafter referred to as attack It is known to use so-called "Intrusion Detection" systems (IDS). The task an IDS exists in essence, the violation of safety regulation or requirements and appropriate countermeasures initiate. In order to detect an attack, it is necessary that an IDS should be provided with information indicating what an attack can be recognized. Usually set unauthorized third, certain often repetitive Techniques to perform an attack. That is, attacks on a network are made according to patterns in the field as Signatures are called. Such signatures include TCP port Scans, UDP port scans, IP packets with wrong parameters, tunnels, encapsulate, flood and the same. Since these signatures are known in the art, will be closer to this point Description omitted.
Auch wenn die zuvor genannten Systeme für eine gewisse Sicherheit bei Datenübertragungen sorgen, gibt es grundlegende Probleme, die die Sicherheit wesentlich beeinträchtigen. So werden beispielsweise sogenannte Log-Dateien erstellt, die einzelne Datenübertragungsvorgänge protokollieren. Im Allgemeinen werden in solchen Log-Dateien alle Datenübertragungsvorgänge aufgezeichnet, was es für einen Systemadministrator nahe zu unmöglich macht, bei einer Vielzahl von Datenübertragungsvorgängen diejenigen zu identifizieren, die einen Angriff auf ein Netzwerk darstellen. Des Weiteren ist es für einen Angreifer möglich, eine Log-Datei zu verändern, um einen Angriff zu verschleiern.Also if the aforementioned systems for a certain security at data transfers Worry, there are fundamental issues that make security essential affect. For example, so-called log files are created, the individual ones Log data transfer operations. In general, all data transfer operations are recorded in such log files. what it is for makes a system administrator close to impossible in a variety of data transfer operations those identify those who are attacking a network. Furthermore, it is for an attacker possible, to change a log file to disguise an attack.
Des Weiteren ist es bei den zuvor genannten, bekannten Sicherheitssystemen nicht gewährleistet, dass die jeweiligen definierten Sicherheitsbestimmungen bzw. -regeln, ab wann eine Datenübertragung zu verhindern ist und wann nicht, nicht abschließend vorab definiert werden können. Es ist zwar möglich, Charakteristika bekannter Angriffsverfahren zu definieren und dementsprechende Sicherheitsüberwachungsregeln aufzustellen. Diese Vorgehensweise greift aber nicht, wenn ein Angreifer eine einem den Sicherheitssystemen nicht bekannten Angriffsvorgang durchführt.Of Further, it is in the aforementioned, known security systems does not guarantee that the respective defined safety regulations or rules, from when a data transfer is not to be defined in advance, and when not can. It is possible, Define characteristics of known attack methods and corresponding ones Security monitoring rules set up. This approach does not work if an attacker an attack process unknown to security systems performs.
Die genannten Beispiele von Nachteilen bekannter Sicherheitssysteme bei Datenübertragungen zwischen Netzwerken sind lediglich als beispielhaft zu verstehen. Da die Probleme und Nachteile bekannter Sicherheitssysteme, zur Kontrolle von Datenübertragungen zwischen Netzwerken, auf dem Gebiet gut bekannt sind, wird an dieser Stelle auf eine nähere Diskussion verzichtet.The mentioned examples of disadvantages of known safety systems during data transfers between networks are to be understood as exemplary only. Since the problems and disadvantages of known security systems, for Control of data transfers between networks, well-known in the field, will be at this Place on a closer Discussion omitted.
Stand der TechnikState of technology
In dem Artikel "Aktiver Schutz durch Content Inspection " von M. Frank in LANLine Special "Das sichere Netz", III/2001, Jahr 2001, Seiten 80-82 ist ein als Softwareanwendung ausgeführtes Verfahren offenbart, um auf Gateway – und Desktop-Ebene Informationsströme zu überwachen. Insbesondere werden mit dem Verfahren Inhalte von Daten überprüfen, die bereits eine Firewall eines internen Netzwerk passiert haben. Das Verfahren umfasst Schritte, die auf Gateway-Ebene durchgeführt werden. Mittels eines Policy-Managers können von zentraler Stelle aus Sicherheitspläne erstellt werden, gemäß denen Daten kontrolliert werden, die Gateways passieren. Mittels eines Audit-Viewers können Log-Files bereitgestellt werden, die sämtliche Datenprüfung und entdeckte Sicherheitsverletzungen angeben. Das Verfahren umfasst ferner Schritte, die auf Desktop-Ebene durchgeführt werden. Dabei werden Daten, die beispielsweise mittels tragbarer Speichermedien oder tragbare Computer in das interne Netzwerk übertragen werden können, überprüft. Von den einzelnen Sicherheitseinrichtungen, wie z. B. Gateways, Fi rewalls, werden bei der Überprüfung von Informationsströmen erhaltene jeweils lokal gespeichert.In the article "Active Content Inspection Protection "by M. Frank in LANLine Special "The secure network ", III / 2001, Year 2001, pages 80-82 is a software application process revealed to Gateway - and Desktop level information flows to monitor. In particular, the method will review contents of data that have already passed a firewall of an internal network. The procedure includes steps that are performed at the gateway level. By means of a policy manager can from a central point, security plans are prepared according to which Data are controlled, pass through the gateways. By means of a Audit viewers can Log files are provided that complete all data verification and specify discovered security breaches. The method comprises further steps that are performed at the desktop level. This data, for example by means of portable storage media or portable Computer can be transferred to the internal network, checked. From the individual safety devices, such. Gateways, fi rewalls, be in the review of Information streams obtained each stored locally.
WO 00/73876 A2 offenbart einen Proxy-Server mit einer Datenbank, einer Netzwerkschnittstelle, einem Prozessor und einem Speicher. Die Datenbank speichert Informationen über Benutzer. Die Netzwerkschnittstelle verbindet den Proxy-Server mit einem Netzwerk zum Austausch von Daten mit einem Computer eines Benutzers und einem Zielserver. Der Prozessor ist mit der Netzwerkschnittstellenkarte, der Datenbank und dem Speicher verbunden. Der Speicher weist ausführbare Steuerbefehle für den Prozessor auf, um eine Datenanfrage abzufangen, die an den Zielserver gerichtet ist, Benutzerinformationen aus der Datenbank auszulesen, die Benutzerinformationen zu verschlüsseln, die Datenanfrage zu vergrößern, indem die verschlüsselten Benutzerinformationen hinzugefügt werden, und die vergrößerte Datenanfrage zu dem Zielserver zu senden. Mittels der hinzugefügten Benutzerinformationen ist es vergleichbar zu einem Cookie möglich, dem Zielserver Informationen bereitzustellen.WHERE 00/73876 A2 discloses a proxy server with a database, a Network interface, a processor and a memory. Database stores information about User. The network interface connects the proxy server a network for exchanging data with a computer User and a destination server. The processor is connected to the network interface card, connected to the database and the memory. The memory has executable control commands for the Processor on to intercept a data request sent to the destination server is directed to read user information from the database, to encrypt the user information, the data request enlarge by the encrypted Added user information and the enlarged data request to send to the destination server. By means of the added user information is it comparable to a cookie possible to the destination server information provide.
US 2003/0069356 A1 offenbart eine integrierte Sicherheitsvorrichtung für Gateways. Die Sicherheitsvorrichtung verbindet ein internes Netzwerk und ein externes Netzwerk so, dass von einem Netzwerk zu dem andern Netzwerk übertragene Daten blockiert werden können. Zu überprüfende Daten werden mittels eines Moduls dupliziert. Unter Verwendung eines Servers, der weder für das interne Netzwerk noch für das externe Netzwerk sichtbar ist, wird eine Analyse der duplizierten Daten durchgeführt. Werden dabei Daten oder den Daten zugeordnete Informationen entdeckt, die ein Sicherheitsrisiko darstellen, wird die Übertragung der Daten verhindert.US 2003/0069356 A1 discloses an integrated safety device for gateways. The security device connects an internal network and a external network so that transmitted from one network to the other network Data can be blocked. Data to be checked are duplicated by means of a module. Using a server, neither for the internal network still for the external network is visible, an analysis of the duplicated Data performed. If data or information associated with the data is detected, which pose a security risk, the transmission of the data is prevented.
US 2003/0093527 A1 offenbart eine Benutzerschnittstelle für ein Netzwerksicherheitssystem und ein entsprechendes Verfahren. Dabei werden alle verfügbaren Daten von einer zentralen Softwareeinrichtung mitprotokolliert.US 2003/0093527 A1 discloses a user interface for a network security system and a corresponding method. This will include all available data logged by a central software device.
Aufgabe der ErfindungTask of invention
Die Aufgabe der vorliegenden Erfindung besteht im Allgemeinen darin, Nachteile bekannter Sicherheitsmaßnahmen und -verfahren bei Datenübertragungen, insbesondere zwischen Netzwerken, zu beseitigen. Im Speziellen soll es die vorliegende Erfindung ermöglichen, die bei bekannten, als Firewall, Proxy und IDS bezeichneten Sicherheitssystemen existierenden Nachteile vermeiden, um die Sicherheit bei Datenübertragungen zwischen Netzwerken zu erhöhen und darüber hinaus für anwendungsspezifische, individuelle und benutzerfreundliche Sicherheitslösungen zu sorgen.The The object of the present invention is generally Disadvantages of known security measures and procedures Data transfers, especially between networks. In particular, it should enable the present invention the known security systems called firewall, proxy and IDS avoid existing disadvantages to security during data transfers between networks and above out for application-specific, customizable and easy-to-use security solutions to care.
Kurzbeschreibung der ErfindungSummary the invention
Der der zur Lösung der genannten Aufgabe zugrundeliegende Ansatz der vorliegenden Erfindung besteht im Allgemeinen darin, Systeme zur Überwachung, Kontrolle und Analyse von Datenübertragungen zwischen Netzwerken in einer Weise gemeinsam zu verwenden, die es erlaubt, die einzelnen Sicherheitsmaßnahmen unterschiedlicher Systeme sowie deren eigene Systemsicherheit zu erhöhen und andererseits Sicherheitsmaßnahmen unterschiedlicher Systeme so zu kombinieren und Synergieeffekte zu nutzen, dass die Sicherheit insgesamt erhöht wird und auch, vorzugsweise laufend, angepasst werden kann. Insbesondere erlaubt es die vorliegende Erfindung, einzelne Sicherheitssysteme in Abhängigkeit von einander und unter Berücksichtigung von Sicherheitsmaßnahmen, Datenüberwachungsergebnissen (z.B. in Form von entsprechenden Protokollen) und dergleichen einzelner Sicherheitssysteme an die aktuell gewünschten und erforderlichen Sicherheitsanforderungen anzupassen.Of the the solution the underlying task of the present invention It generally consists of systems for monitoring, control and analysis of data transmissions to share between networks in a way that it does allows the individual security measures of different systems as well as their own system security increase and on the other hand security measures different systems to combine and synergy effects to use that security is increased overall and also, preferably ongoing, can be adjusted. In particular, it allows the present Invention, individual security systems depending on each other and under consideration of security measures, Data monitoring results (e.g., in the form of corresponding protocols) and the like Security systems to the currently required and required security requirements adapt.
Hinsichtlich der Sicherheit von Sicherheitssystemen an sich verfolgt die vorliegende Erfindung den Ansatz, einzelne Sicherheitssysteme so auszuführen, dass sie im Wesentlichen nur die Mittel (z.B. Hardware und Software) aufweisen, die für ihren vorgesehenen Betrieb unmittelbar erforderlich sind. So ist es beispielsweise gemäß der vorliegenden Erfindung vorgesehen, dass zur Inbetriebnahme ("Booten") und zum eigentlichen Betrieb erforderliche Daten nicht in einzelnen Sicherheitsvorrichtungen lokal gespeichert, sondern zentral bereitgestellt werden. Des Weiteren ist es erfindungsgemäß vorgesehen, dass zum Betrieb erforderliche Softwareprogramme, beispielsweise in Form von Betriebssystemen, auf ein zum eigentlichen Betrieb erforderliches Mindestmaß reduziert sind. Darüber hinaus lehrt die folgende Erfindung, Daten und Informationen, die von einzelnen Sicherheitssystemen hinsichtlich von Datenübertragungen durch Netzwerke ermittelt/erzeugt werden, nicht in den entsprechenden Sicherheitssystemen lokal vorzuhalten, sondern zentral zu protokollieren. Hierbei kann eine mit einer Datenbank vergleichbare Einheit verwendet werden.Regarding The security of security systems per se follows the present Invention the approach to run individual security systems so that they are essentially just the means (e.g., hardware and software) have, for their intended operation are immediately required. So is for example, according to the present Invention provided that for commissioning ("booting") and the actual operation required Data not stored locally in individual security devices, but be provided centrally. Furthermore, it is provided according to the invention software programs required for operation, for example in the form of operating systems, reduced to a minimum required for actual operation are. About that In addition, the following invention teaches data and information that of individual security systems with regard to data transmissions determined by networks, not in the corresponding ones Security systems locally, but centrally log. In this case, a unit comparable to a database can be used become.
Zur Umsetzung des der vorliegenden Erfindung zugrundeliegenden Ansatzes, werden, wie in den Ansprüchen definiert, einzelne Sicherheitssysteme bereitgestellt, die, in Abhängigkeit ihrer Aufgabe, hinsichtlich der Sicherheit von Datenübertragungen zwischen Netzwerken erfindungsgemäß ausgeführt sind. Zum Aufbau eines erfindungsgemäßen Gesamtsicherheitssystems können einzelne oder mehrere erfindungsgemäße Sicherheitssysteme verwendet werden. Alternativ ist es möglich, ein vorhandenes Gesamtsicherheitssystem so zu modifizieren, dass es insgesamt oder wenigstens hinsichtlich sicherheitsrelevanter Komponenten erfindungsgemäß arbeitet. Entsprechendes gilt für die in den Ansprüchen definierten, erfindungsgemäßen Verfahren.In order to implement the approach on which the present invention is based, individual security systems are provided, as defined in the claims, which, depending on their task, are designed according to the invention with regard to the security of data transmissions between networks. To build of an overall security system according to the invention, one or more security systems according to the invention can be used. Alternatively, it is possible to modify an existing overall security system in such a way that it works according to the invention as a whole or at least as regards safety-relevant components. The same applies to the process of the invention as defined in the claims.
Insbesondere stellt die vorliegende Erfindung ein Sicherheitssystem gemäß Anspruch 1 und ein Verfahren gemäß Anspruch 31 bereit.Especially the present invention provides a security system according to claim 1 and a method according to claim 31 ready.
Hierbei
werden von den unten aufgeführten
Begriffen jeweils folgendes umfasst:
Darüber hinaus stellt die vorliegende Erfindung Softwareprodukte gemäß den Ansprüchen 54 und 55 bereit, die die Durchführung einzelner oder mehrerer Schritte einzelner oder mehrerer erfindungsgemäßer Verfahren ermöglichen.Furthermore The present invention provides software products according to claims 54 and 55 ready to carry out the single or multiple steps of one or more methods according to the invention enable.
Weitere Merkmale und Vorteile der vorliegenden Erfindung ergeben sich jeweils aus entsprechenden, von den oben genannten Ansprüchen abhängigen Ansprüchen.Further Features and advantages of the present invention will be apparent from corresponding, dependent on the above claims claims.
Kurzbeschreibung der ZeichnungenBrief description of the drawings
Bei der folgenden Beschreibung bevorzugter Ausführungsformen der vorliegenden Erfindung wird auf die beigefügten Figuren Bezug genommen, von denen zeigen:In the following description of preferred embodiments of the present invention is on the attached figures, of which show:
Beschreibung bevorzugter Ausführungsformendescription preferred embodiments
Wie
in
Im Folgenden wird, ohne damit eine Einschränkung zu beabsichtigen, angenommen, dass das erste Netzwerk NW1 ein als Intranet ausgeführtes Netzwerk ist. Neben einem für das erste Netzwerk NW1 verwendeten Router R1 umfasst das erste Netzwerk NW1 mehrere als Client CL1, ... CLn bezeichnete Rechnervorrichtungen. Datenübertragungen von und zu den Client's CL1, ..., CLn erfolgen hinsichtlich des zweiten Netzwerks NW2 über den Router R1. Datenübertragungen zwischen den Client's CL1, ..., CLn erfolgen innerhalb des ersten Netzwerkes NW1 über die in dieser Figur nicht gezeigten Verbindungen zwischen den Client's CL1, ..., CLn.in the The following is intended, without intending to be limiting, the first network NW1 is an intranet network is. In addition to a for the first network NW1 used router R1 comprises the first network NW1 multiple as client CL1, ... CLn designated computing devices. data transfers from and to the client's CL1, ..., CLn take place with respect to the second network NW2 via the Router R1. data transfers between the client's CL1, ..., CLn occur within the first network NW1 via the in this figure, not shown connections between the client's CL1, ..., CLn.
Des Weiteren wird im Folgenden angenommen, dass das zweite Netzwerk NW2 das Internet ist, wobei für Datenübertragungen von und zu dem zweiten Netzwerk NW2 ein Router R2 vorgesehen ist.Of Further, it is assumed below that the second network NW2 the internet is, being for data transfers from and to the second network NW2 a router R2 is provided.
Abweichend
von
Daten, die von dem zweiten Netzwerk NW2 zu dem ersten Netzwerk NW1 übertragen werden sollen, werden von dem Router R2 zu einem Datentypenkontrollsystem FW übertragen.Dates, transmitted from the second network NW2 to the first network NW1 become a data type control system from the router R2 FW transferred.
Das Datentypenkontrollsystem FW dient u.a. zur Paketfilterung von für Datenübertragungen aus dem zweiten Netzwerk NW2 verwendeten Datenpaketen. Daher kann das Datentypenkontrollsystem FW in dieser Hinsicht mit einer Firewall verglichen werden.The Data type control system FW serves i.a. for packet filtering of data transmissions from the second network NW2 used data packets. Therefore, can the data type control system FW in this regard with a firewall be compared.
Ein mit dem Datenkontrollsystem FW zusammenarbeitendes Dateninhaltskontrollsystem PROXY gilt als Stellvertreter-Server für Netzwerkdienste und/oder -protokolle wie z.B. HTTP, HTTPS, DNS, SMTP, FTP und dergleichen. Daher kann das Dateninhaltskontrollsystem PROXY in dieser Hinsicht mit einem Proxy-Server verglichen werden. Des Weiteren dient das Dateninhaltskontrollsystem PROXY dazu, IP-Datenströme zu trennen, über das Datentypenkontrollsystem FW übertragene Daten inhaltlich zu kontrollieren (z.B. hinsichtlich pornografischer Inhalte), Virenschutz bereitzustellen, hinsichtlich von Datenübertragungen von und zu dem zweiten Netzwerk NW2 durchgeführte Aktivitäten zu protokollieren und dergleichen. Nach außen, d.h. seitens des zweiten Netzwerks NW2 ist lediglich die IP-Adresse des außenliegenden Routers R2 erkennbar. Das Dateninhaltskontrollsystem PROXY verrichtet, aus Sicht des zweiten Netzwerks NW2, seine Dienste anonym. Dies kann auch hinsichtlich des ersten Netzwerks NW1 zutreffen.One Data content control system cooperating with the data control system FW PROXY is considered a proxy server for network services and / or protocols such as e.g. HTTP, HTTPS, DNS, SMTP, FTP and the like. Therefore, the data content control system PROXY in this regard be compared with a proxy server. Furthermore, this serves Data content control system PROXY to separate IP data streams over the Data type control system FW transmitted To control the content of the content (for example pornographic Content) to provide antivirus protection with regard to data transmissions Log activities performed by and to the second network NW2 and the same. Outward, i.e. from the second network NW2 is just the IP address of the outside Routers R2 recognizable. The data content control system PROXY performs, from the point of view of the second network NW2, its services anonymous. This may also apply to the first network NW1.
Ein von der Sicherheitsumgebung SU umfasstes Datenübertragungsanalysesystem IDS, das mit dem Datentypenkontrollsystem FW und dem Dateninhaltskontrollsystem PROXY zusammenarbeitet, dient zur Erkennung von bei unerlaubten Zugriffen bzw. Angriffen aus dem zweiten Netzwerk NW2 auf das erste Netzwerk NW1 verwendeten Angriffsmustern oder Signaturen. In dieser Hinsicht ist das Datenübertragungsanalysesystem IDS mit einem bekannten Intrusion Detection System vergleichbar.A data transmission analysis system IDS encompassed by the security environment SU that is connected to the Data type control system FW and the data content control system PROXY cooperates, is used for detecting unauthorized accesses or attacks from the second network NW2 on the first network NW1 used attack patterns or signatures. In this regard, the data transfer analysis system IDS is comparable to a known intrusion detection system.
Mittels eines Überwachungssystems AS werden Protokolleinträge der Datentypenkontroll-, Inhaltskontroll- und Datenübertragungsanalysesysteme FW, PROXY, IDS, beispielsweise in Form von Log-Dateien, empfangen und gespeichert. Hierfür verwendet das Überwachungssystem AS eine in dieser Figur lediglich beispielhaft als baueinheitlich integriert dargestellte Datenbank, in der eine Protokollierung von Daten und/oder Informationen hinsichtlich von Datenübertragung protokolliert werden. Eine solche, unter anderem auch vom Gesetzgeber geforderte Protokollierung umfasst Angriffe/Einbrüche und Einbruchs/Angriffs-Versuche, Datenübertragungen zu dem ersten Netzwerk NW1 sowie von diesem über die Sicherheitsumgebung SU in ein anderes Netzwerk, beispielsweise in das zweite Netzwerk NW2 und dergleichen.through a surveillance system AS become log entries the data type control, content control and data transfer analysis systems FW, PROXY, IDS, for example in the form of log files and saved. Therefor uses the monitoring system AS one in this figure, only as an example as a unitary integrated database containing a log of Data and / or information regarding data transmission be logged. Such, among others, by the legislature required logging includes attacks / burglaries and Burglary / attack attempts, data transfers to the first Network NW1 as well as from this over the security environment SU to another network, for example into the second network NW2 and the like.
Aufgrund seiner Aufgabe kann das Überwachungssystem AS auch als Audit-Server bezeichnet werden. Das Überwachungssystem AS kommuniziert mit den zuvor genannten Systemen FW, PROXY und IDS über ein internes Bussystem BUS-INT oder eine damit vergleichbare Kommunikationsverbindung, das z.B. als Kommunikationsnetzwerk ausgeführt sein kann. Das interne Bussystem BUS-INT ist physikalisch von Kommunikationsverbindungen, beispielsweise in Form von Bussen, Kabeln und dergleichen, die für Datenübertragungen zwischen den Netzwerken NW1 und NW2 bzw. den Routern R1 und R2 verwendet werden, physikalisch getrennt.by virtue of his task may be the monitoring system AS also be referred to as an audit server. The monitoring system AS communicates with the previously mentioned systems FW, PROXY and IDS via internal bus system BUS-INT or a comparable communication connection, the e.g. can be designed as a communication network. The internal Bus system BUS-INT is physically of communication links, for example, in the form of buses, cables and the like used for data transmissions between the networks NW1 and NW2 and the routers R1 and R2 be physically separated.
Die zentrale Verwaltung und Steuerung der zuvor genannten Systeme der Sicherheitsumgebung SU erfolgen mittels eines Steuerungssystems BM. Dementsprechend kann das Steuerungssystem BM auch als Boot- und Managementserver für die Sicherheitsumgebung SU bezeichnet werden. Auch das Steuerungssystem BM kommuniziert innerhalb der Sicherheitsumgebung SU über das interne Bussystem BUS-INT mit den anderen Komponenten.The central management and control of the aforementioned systems of Safety environment SU done by means of a control system BM. Accordingly, the control system BM can also be used as a boot and management server for the security environment SU are designated. Also the control system BM communicates within the security environment SU via the internal bus system BUS-INT with the other components.
Zur
Erhöhung
der Sicherheit kann, im Gegensatz zu
Im
Folgenden werden die einzelnen Komponenten einer Sicherheitsumgebung
SU hinsichtlich ihres Aufbaus, ihres Betriebs und Ihres Zusammenwirkens
detaillierter beschrieben. Dabei wird auf die nicht redundant ausgeführte Sicherheitsumgebung
SU gemäß
DATENTYPENKONTROLLSYSTEM ("Firewall")DATA TYPE CONTROL SYSTEM ( "Firewall")
Das Datentypenkontrollsystem FW kontrolliert Datenströme zwischen dem zweiten Netzwerk NW2 und dem ersten Netzwerk NW1. Hierbei werden Datenpakete mit bestimmten Datentypen (z.B. Realaudio) und Datenpakete, die nicht identifiziert werden können standardmäßig nicht weitergeleitet. Diese sind dann auch nicht zu kontrollieren. Allerdings werden die Datenpakte protokolliert und zur Analyse, insbesondere hinsichtlich einer Angriffserkennung, verwendet. Ein vollständiges Blockieren von Daten ist ebenfalls möglich. Das Datentypenkontrollsystem FW lässt nur solche Datenpakete durch, deren Herkunft, deren Inhalt und deren Ziel vorgegebenen Regeln entsprechen.The Data type control system FW controls data streams between the second network NW2 and the first network NW1. Here are Data packets with certain types of data (e.g., real audio) and data packets, that can not be identified not by default forwarded. These are then not controllable. Indeed the data packets are logged and analyzed, in particular in terms of attack detection. Complete blocking Data is also possible. The data type control system FW leaves only such data packets by whose origin, their content and their purpose Comply with rules.
Das Datentypenkontrollsystem FW ist mit einer Verkehrsampel vergleichbar. Die Ampel steuert lediglich den Verkehrsfluss, kontrolliert aber nicht den Inhalt der Wagen (hier Daten). Das bewerkstelligt das Datentypenkontrollsystem FW ebenfalls nicht, da dann der Verkehrsfluss (Datenübertragungen) nicht mehr möglich wäre. Eine Inhaltskontrolle bei Datenübertragungen erfolgt hier mittels des Dateninhaltskontrollsystems PROXY und des Datenübertragungsanalysesystems IDS.The Data type control system FW is comparable to a traffic light. The traffic light controls only the traffic flow, but controls not the contents of the car (here data). That accomplishes that Data type control system FW also not, because then the traffic flow (Data transmissions) no longer possible. A Content control during data transfers takes place here by means of the data content control system PROXY and the Data transfer analysis system IDS.
Wie
in
Als Betriebssystem wird für das Datentypenkontrollsystem FW ein spezieller, sehr kleiner Unixkernel verwendet, bei dem nahezu alle nicht unbedingt erforderlichen Services entfernt sind. In erste Line wird nur ein Netzwerkartentreiber unterstützt. Wie unten ausgeführt, ist im Allgemeinen auch keine Unterstützung für Wiedergabe- und Eingabeeinheiten (z.B. Monitor, Maus, Tastatur etc.) vorgesehen. Dadurch wird der Kernel sehr schnell und sehr stabil und kann schnell aktualisiert werden ("Update"). Des weiteren kann der Kernel auch keinen fremden Code (z.B. bei einem Angriff) ausführen, da der Kernel hierfür keine Services vorhält. Vielmehr werden nur bekannte Soft- und Hardware unterstützt. Die daraus resultierende Inflexibilität des Datentypenkontrollsystems FW führt zu einer erhöhten Sicherheit.When Operating system is for the data type control system FW uses a special, very small Unixkernel, where almost all nonessential services are removed are. In the first line only one network type driver is supported. As running down, is also generally not support for playback and input devices (e.g., monitor, mouse, keyboard, etc.). This will be the Kernel very fast and very stable and can be updated quickly become ("Update"). Furthermore, can The kernel also does not execute any foreign code (for example, in an attack) the kernel for this no services available. Rather, only known software and hardware are supported. The resulting inflexibility of the data type control system FW leads to an increased Safety.
Des weiteren kann das Datentypenkontrollsystem FW eine Schnittstelleneinheit FW-INT umfassen, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Datentypenkontrollsystems FW z.B. per Telefon. Um zu verhindern, dass auf das Datentypenkontrollsystem FW von einem der Netzwerke NW1 und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit FW-INT so ausgeführt sein, dass sie nicht über eines dieser Netzwerke NW1 und NW2 erreichbar ist. Ein solcher "remote" Zugriff ist nur mit Genehmigung und Unterstützung eines Benutzers möglich, da die Schnittstelleneinheit FW-INT im Normalfall ausgeschaltet ist. Bei Be darf muss der Benutzer die Schnittstelleneinheit FW-INT aktivieren, einen Zugriff auf das Datentypenkontrollsystem FW zu ermöglichen. Hierfür kann auch die Übermittlung eines Passworts erforderlich sein. Zur Kontrolle werden solche Vorgänge ebenfalls mittels des Überwachungssystems AS protokolliert. Nach Beendigung wird die Schnittstelleneinheit FW-INT wieder deaktiviert, um weitere Zugriffe zu verhindern.Of Furthermore, the data type control system FW can be an interface unit FW-INT, e.g. in the form of a modem or a computer interface. This allows for support of the data type control system FW e.g. via phone. To prevent, that on the data type control system FW from one of the networks NW1 and NW2, in particular from the network NW2 as an external network, can be accessed, the interface unit FW-INT so accomplished be that they do not over one of these networks NW1 and NW2 can be reached. Such a "remote" access is only with permission and support a user possible, because the interface unit FW-INT normally switched off is. If required, the user must use the interface unit FW-INT enable access to the data type control system FW. Therefor can also be the transmission a password will be required. To control such operations as well by means of the monitoring system AS logs. Upon completion, the interface unit becomes FW-INT deactivated again to prevent further access.
Die zentrale Steuerung und Verwaltung des Datentypenkontrollsystems FW erfolgt über das Steuerungssystem BM. Insbesondere kann die Benutzerverwaltung des Datentypenkontrollsystems FW nur lokal an dem Steuerungssystem BM selbst vorgenommen werden. Alternativ ist es auch möglich dies unmittelbar am Datentypenkontrollsystem FW vorzunehmen, wofür zusätzliche Einrichtungen, wie zum Beispiel eine Tastatur, ein Monitor und dergleichen, verwendet werden können. In beiden Fällen ist es erforderlich, unmittelbar zu dem Steuerungssystem BM bzw. dem Datentypenkontrollsystem FW zu gelangen, was schon physiklisch eine unerlaubte Modifikation das Datentypenkontrollsystems FW erschwert. Als zusätzliche Sicherheit können weitere Maßnahmen ergriffen werden, wie z.B. eine Erfassung biometrischer Daten ("Fingerabdruck") und Eingabe von Pass- oder Codewörtern.The Central control and management of the data type control system FW takes place via the control system BM. In particular, the user management can of the data type control system FW only locally on the control system BM itself be made. Alternatively it is also possible this directly on the data type control system FW, for which additional Devices such as a keyboard, a monitor, and the like, can be used. In both cases It is necessary, directly to the control system BM or to get the data type control system FW, which is already physically an unauthorized modification makes the data type control system FW more difficult. As additional Security can further measures be taken, such. a collection of biometric data ("fingerprint") and input of Passwords or codewords.
Das Datentypenkontrollsystem FW startet ("booted") vom Steuerungssystem BM aus. Neue Einstellungen, Betriebsmodi, Regel und dergleichen für das Datentypenkontrollsystem FW können mittels des Steuerungssystems BM zentral vorgenommen werden. Eine Besonderheit besteht darin, dass in einem Speicher des Datentypenkontrollsystems FW vorhandene Einstellungen, Betriebsparameter und dergleichen beim Booten nicht benutzt werden. Wie jedes Rechnersystem, ist es auch zum Betrieb des Datentypenkontrollsystems erforderlich, Dateien, Parameter, Daten, Informationen etc. für ein Betriebssystem des Datentypenkontrollsystems FW zu verwenden, um dieses zu betreiben. So werden beispielsweise Dateien verwendet, in denen Benutzerinformationen, Benutzernamen, Kennworte und dergleichen enthalten sind, die bei einer Kontrolle von Datenübertragungen von dem Datentypenkontrollsystem FW verwendet werden. Diese Dateien können beispielsweise eines Angriffs sein. Hierbei wird versucht, diese Dateien zu modifizieren. Sollte eine Modifikation durch einen Angriff erfolgreich durchgeführt worden sein, ist es weiterhin erforderlich, dass das Datentypenkontrollsystem FW erneut gestartet ("rebooted") wird, um die Änderungen dieser Dateien wirksam werden zu lassen. Bei herkömmlichen als Firewall dienenden Sicherheitssystemen würde dann auf die modifizierte Dateien zurückgegriffen werden, wodurch es einem Angreifer ermöglicht wird, aufgrund der geänderten Kontrollregeln, die Firewall zu überwinden.The Data type control system FW starts ("booted") from the control system BM. New Settings, modes of operation, rule and the like for the data type control system FW can be made centrally by means of the control system BM. A Special feature is that in a memory of the data type control system FW existing settings, operating parameters and the like Boats are not used. Like any computer system, so is it required to operate the data type control system, files, Parameters, data, information, etc. for an operating system of the data type control system FW to use this to operate. For example Files that contain user information, usernames, Passwords and the like are included in a control of data transmissions be used by the data type control system FW. These files can for example, an attack. This will try this Modify files. Should be a modification by an attack successfully performed It is still necessary that the data type control system FW will restart ("rebooted") the changes of these files. In conventional Security systems serving as firewalls would then be based on the modified Files are used which makes it possible for an attacker, due to the changed Control rules to overcome the firewall.
Dies wird bei der Sicherheitsumgebung SU dadurch verhindert, dass die zum Betrieb des Datentypenkontrollsystems FW erforderlichen Informationen nicht lokal gespeichert werden, sondern von dem Steuerungssystem BM zur Verfügung gestellt werden. Insbesondere werden zum Betrieb des Datentypenkontrollsystems erforderliche Informationen in einem Speicher des Steuerungssystems BM gespeichert. Beim Booten des Datentypenkontrollsystems FW wird dann auf solche Daten zurückgegriffen. Aufgrund der Verwendung des internen Bussystems BUS-INT, das von für Datenübertragungen zwischen den Netzwerken NW1 und NW2 verwendeten Kommunikationsverbindungen physikalisch getrennt ist, ist es einem Angreifer nicht möglich, auf das Steuerungssystem BM und insbesondere auf dessen Speicher zuzugreifen.This is prevented in the security environment SU, that the Information required to operate the data type control system FW not stored locally but by the control system BM available be put. In particular, the operation of the data type control system required information in a memory of the control system BM saved. When booting the data type control system FW becomes then resorted to such data. Due to the use of the internal bus system BUS-INT, which is used for data transfers between communication networks NW1 and NW2 physically separated, it is not possible for an attacker the control system BM and in particular to access its memory.
Für das Datentypenkontrollsystem werden Regeln oder Regelsätze definiert, gemäß derer das Datentypenkontrollsystem FW Datenübertragungen aus dem zweiten Netzwerk NW2 zulässt oder verhindert. Solche Regelsätze definieren, wer von wo wohin welche Daten übertragen und auf welche Daten zugreifen kann. Üblicherweise werden solche Regeln in einer sogenannten flachen Datei gespeichert. Ein Nachteil dieser Vorgehensweise besteht darin, dass der mittels solcher in einer derartigen Datei gespeicherten Regeln definierte Schutz nicht in einzelne Regeln unterteilt werden kann. Dies hat im Allgemeinen zur Folge, dass eine als Firewall dienende Sicherheitsvorrichtung nicht von unterschiedlichen Benutzern unterschiedlich administriert werden kann.For the data type control system, rules or rule sets are defined according to which the data type control system FW allows or prevents data transmissions from the second network NW2. Such rule sets define who can transmit which data from where, where and which data to access. Usually such rules are stored in a so-called flat file. A disadvantage of this Vorge It is a fact that the protection defined by means of such rules stored in such a file can not be subdivided into individual rules. This generally means that a security device serving as a firewall can not be administrated differently by different users.
Dies wird dadurch verhindert, dass zum Betrieb des Datentypenkontrollsystems FW vorgesehene Regelsätze in einer dem Steuerungssystem BM zugeordneten Datenbank vorhanden sind. In dieser Regelsatzdatenbank, die beispielsweise für mehrere Sicherheitsumgebungen SU verfügbar ist, werden einzelne Regeln oder Regelsätze definiert, gemäß derer entsprechende Datentypenkontrollsysteme FW Datenübertragungen überwachen bzw. kontrollieren. Des Weiteren ist es vorgesehen, dass den einzelnen Regeln und Regelsätzen der Regelsatzdatenbank Informationen darüber zugeordnet sind, welche Sicherheitsumgebung welche Regeln und/oder Regelsätze verwenden darf. Dies betrifft auch Änderungen von Regeln und Regelsätzen der Regelsatzdatenbank, wie sie im Folgenden im Zusammenhang mit Änderungen von Regeln und Regelsätzen für das Datentypenkontrollsystem FW beschrieben sind.This This prevents the operation of the data type control system FW provided rule sets in a database associated with the control system BM are. In this rule set database, for example, for multiple Security environments SU available is, individual rules or rule sets are defined according to which corresponding data type control systems FW monitor data transmissions or check. Furthermore, it is envisaged that the individual Rules and rule sets of Rule set database information is associated with which Security environment using rules and / or rule sets may. This also applies to changes of rules and rulesets the ruleset database, as described below in the context of changes of rules and rulesets for the data type control system FW are described.
Regeln und Regelsätze werden anwendungsspezifisch erstellt. Mittels einer graphischen Benutzungsschnittstelle des Steuerungssystems BM können Regeln und Regelsätze eingegeben werden. Die Regeln und Regelsätze werden im Allgemeinen als sogenannte Scriptdateien von dem Steuerungssystem BM gespeichert. Eine Änderung von Regeln und Reglesätzen kann im Allgemein nicht unmittelbar an dem Datentypenkontrollsystem FW durchgeführt werden.regulate and rulesets are created application-specific. By means of a graphic User interface of the control system BM can rules and rulesets be entered. The rules and rule sets are generally considered so-called script files stored by the control system BM. A change of rules and rules generally can not be directly related to the data type control system FW performed become.
Von dem Datentypenkontrollsystem FW erstellte Protokollierungen werden, im Gegensatz zu bekannten Firewalls, ebenfalls nicht lokal gespeichert. Vielmehr werden über das interne Bussystem BUS-INT Protokollinformationen des Datentypenkontrollsystems FW beispielsweise in Form von Log-Dateien, zu dem Überwachungssystem AS übertragen und dort in einer Daten bank zur späteren Verwendung gespeichert. Dies macht es einem Angreifer unmöglich, auf von dem Datentypenkontrollsystem FW erstellte Protokollierungen zuzugreifen und diese zu verändern. D.h., dass ein Angreifer nicht in der Lage ist, seine "Spuren", d.h. seinen Angriff angebende Protokollierungen, zu verändern oder zu löschen. Es ist vorgesehen, dass die Protokollierung in Echtzeit erfolgt und die Daten verschlüsselt zum Überwachungssystem AS übertragen werden.From Logs created for the data type control system FW become unlike known firewalls, also not stored locally. Rather, over the internal bus system BUS-INT Log information of the data type control system FW, for example in the form of log files, to the monitoring system Transfer AS and stored there in a database for later use. This makes it impossible for an attacker to rely on the data type control system FW created logs and to change them. that is, that an attacker is unable to recover his "traces", i. logging his attack, to change or delete. It is envisaged that the logging takes place in real time and the data is encrypted to the monitoring system Transfer AS become.
Wie unten näher erläutert, erlaubt es die Kombination von Protokollierungen mittels des Überwachungssystems AS sicherheitsrelvante Vorgänge besser zu erkennen, als dies bei herkömmlichen Firewalls möglich ist (z.B.:. Herr Müller darf HTTP-Übertragungen durch das Datentypenkontrollsystem FW durchführen. Bei einer herkömmlichen Firewall würde ein sich Herr Müller ausgebender Angreifer die Firewall durchdringen können, obwohl überhaupt keine Datenübertagungen von dem echten Herr Müller stammen, dieser z.B. nicht an seinem Arbeitsplatz (PC) arbeitet. Dies wird aber von der Sicherheitsumgebung SU erkannt.).As below closer explains allows the combination of logging by means of the monitoring system AS safety-relevant processes better to recognize than with conventional firewalls is possible (For example: Mr. Müller allows HTTP transfers through the data type control system FW. In a conventional Firewall would Mr. Müller issuing attackers can penetrate the firewall, though at all no data transfers from the real Mr. Müller are derived, this e.g. does not work at his workplace (PC). However, this is recognized by the security environment SU.).
Im Fall eines Angriffs hat die Auslastung des Datentypenkontrollsystems FW eine entscheidende Bedeutung, da dabei das Rechnersystem FW Rechenzeit zur Bearbeitung der Datenpakete benötigt. Je mehr Ressourcen vorhanden sind, desto besser und desto mehr Angriffe können von dem Datentypenkontrollsystem FW abgewehrt werden. Daher ist es vorgesehen, dass das Datentypenkontrollsystem FW im Normalfall in einem Bereich von 5–10 % und hinsichtlich seines Speichers bis zu 15 % ausgelastet ist. Dies stellt für Angriffe genügend Reserven zur Verfügung.in the Case of an attack has the utilization of the data type control system FW a crucial meaning, since thereby the computer system FW calculation time needed for processing the data packets. The more resources available the better and the more attacks can be made by the data type control system FW are repelled. Therefore, it is envisaged that the data type control system FW normally in a range of 5-10% and in terms of its Memory is used up to 15%. This provides enough reserves for attacks to disposal.
Bei Verwendung mehrerer Datentypenkontrollsysteme FW erfolgt eine Lastverteilung über das IP-Routing. Bei einer Lastverteilung ist insbesondere zu beachten, dass die im Falle eines Angriffs verfügbare Leistung des Datentypenkontrollsystems FW ausreicht, um einen Angriff zu erkennen und gegebenenfalls abzuwehren.at Using multiple data type control systems FW load distribution takes place via IP routing. In a load distribution, it should be noted in particular that the available power in case of an attack of the data type control system FW is sufficient to attack recognize and ward off if necessary.
DATENINHALTSKONTROLLSYSTEM ("Proxy-Server")SPECIFICATIONS CONTENTS CONTROL SYSTEM ( "Proxy server")
Wie oben erläutert, ermöglicht das Dateninhaltskontrollsystem PROXY die Verbindungen von Außen nach Innen und umgekehrt, d.h. vom zweiten Netzwerk NW2 zum ersten Netzwerk NW1 und umgekehrt. Das Dateninhaltskontrollsystem PROXY erhält alle von dem Datentypenkontrollsystem FW durchgelassenen Daten, z.B. als HTTP-, FTP-, SMTP- und DNS-Pakete. Diese werden von dem Dateninhaltskontrollsystem PROXY hinsichtlich ihrer Inhalte untersucht und gegebenenfalls gefiltert. Hierbei können statische Filterverfahren verwendet werden, um zu Beispiel Worte und Begriffe, die eine besondere Bedeutung haben oder haben könnten (z.B. Worte mit pornographischer Bedeutung, Worte mit geschäftlichem Bezug wie z.B. "Geschäftsbericht", "Intern", "Vertraulich", etc.) zu erkennen. Datenpakete mit solchen "unsauberen" und internen Inhalten können dann von dem Dateninhaltskontrollsystem PROXY erkannt werden. Dies gilt nicht nur für Datenübertragungen von dem zweiten Netzwerk NW2 zu dem ersten Netzwerk NW1, sondern auch in umgekehrter Richtung. Eine weitere Aufgabe des Dateninhaltskontrollsystems PROXY ist Virenschutz.As explained above, the data content control system PROXY enables the connections from outside to inside and vice versa, ie from the second network NW2 to the first network NW1 and vice versa. The data content control system PROXY receives all data passed by the data type control system FW, eg as HTTP, FTP, SMTP and DNS packets. These are examined by the data content control system PROXY with respect to their content and filtered if necessary. Static filtering techniques may be used to identify, for example, words and phrases that may or may have special meaning (eg, words of pornographic meaning, words of business relevance such as "business report,""internal,""confidential," etc.). to recognize. Data packets with such "dirty" and internal contents can then be recognized by the data content control system PROXY. This does not just apply to data transfers from the second network NW2 to the first network NW1, but also in the reverse direction. Another task of the data content control system PROXY is virus protection.
Von dem Dateninhaltskontrollsystem PROXY erstellte Protokollierungen werden ebenfalls nicht lokal gespeichert. Vielmehr werden über das interne Bussystem BUS-INT Protokollinformationen des Dateninhaltskontrollsystems PROXY, beispielsweise in Form von Log-Dateien, zu dem Überwachungssystem AS übertragen und dort in einer Datenbank zur späteren Verwendung gespeichert. Dies macht es einem Angreifer unmöglich, auf von dem Dateninhaltskontrollsystem PROXY erstellte Protokollierungen zuzugreifen und diese zu verändern. Dies wird zusätzlich noch dadurch erschwert, indem für das Dateninhaltskontrollsystem PROXY lokale Firewalls vorgesehen sind. Es ist vorgesehen, dass die Protokollierung in Echtzeit erfolgt und die Daten verschlüsselt zum Überwachungssystem AS übertragen werden.From Logs created for the data content control system PROXY are also not stored locally. Rather, over the internal bus system BUS-INT Log information of the data content control system PROXY, for example in the form of log files, to the monitoring system Transfer AS and stored there in a database for later use. This makes it impossible for an attacker to get off the data content control system PROXY created logs and to change them. This will be added still aggravated by this for provided the data content control system PROXY local firewalls are. It is envisaged that the logging takes place in real time and the data is encrypted to the monitoring system Transfer AS become.
Wie unten näher erläutert, erlaubt es die Kombination von Protokollierungen mittels des Überwachungssystems AS sicherheitsrelvante Vorgänge besser zu erkennen, als dies bei herkömmlichen Proxy-Servern möglich ist.As below closer explains allows the combination of logging by means of the monitoring system AS safety-relevant processes better to recognize than is possible with conventional proxy servers.
Wie
in
Des weiteren kann das Dateninhaltskontrollsystem PROXY eine Schnittstelleneinheit PROXY-INT umfassen, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Dateninhaltskontrollsystems PROXY z.B. per Telefon. Um zu verhindern, dass auf das Dateninhaltskontrollsystem PROXY von einem der Netzwerke NW1 und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit PROXY-INT so ausgeführt sein, dass sie nicht über eines dieser Netzwerke NW1 und NW2 erreichbar ist. Ein solcher "remote" Zugriff ist nur mit Genehmigung und Unterstützung eines Benutzers möglich, da die Schnittstelleneinheit PROXY-INT im Normalfall ausgeschaltet. Bei Bedarf muss der Benutzer die Schnittstelleneinheit PROXY-INT aktivieren und einen Zugriff auf das Dateninhaltskontrollsystem PROXY zu ermöglichen. Hierfür kann auch die Übermittlung eines Passworts erforderlich sein. Zur Kontrolle werden solche Vorgänge ebenfalls mittels des Überwachungssystems AS protokolliert. Nach Beendigung wird die Schnittstelleneinheit PROXY-INT wieder deaktiviert, um weitere Zugriffe zu verhindern.Of Further, the data content control system PROXY may have an interface unit Include PROXY-INT, e.g. in the form of a modem or a computer interface. This allows a support the data content control system PROXY e.g. via phone. To prevent, that on the data content control system PROXY from one of the networks NW1 and NW2, in particular from the network NW2 as an external network, can be accessed, the interface unit PROXY-INT so executed be that they do not over one of these networks NW1 and NW2 can be reached. Such a "remote" access is only with permission and support a user possible, because the interface unit PROXY-INT normally switched off. If necessary, the user must use the interface unit PROXY-INT enable and access the data content control system PROXY to allow. Therefor can also be the transmission a password will be required. To control such operations as well by means of the monitoring system AS logs. Upon completion, the interface unit becomes PROXY-INT deactivated again to prevent further access.
Die zentrale Steuerung und Verwaltung des Dateninhaltskontrollsystems PROXY erfolgt über das Steuerungssystem BM, die nur lokal an dem Steuerungssystem BM selbst vorgenommen werden. Alternative ist es auch möglich dies unmittelbar am Dateninhaltskontrollsystem PROXY vorzunehmen, wofür zusätzliche Einrichtungen, wie zum Beispiel eine Tastatur, ein Monitor und dergleichen, verwendet werden können. In beiden Fällen ist es erforderlich, unmittelabr zu dem Steuerungssystem BM bzw. dem Dateninhaltskontrollsystem PROXY zu gelangen, was schon physiklisch eine unerlaubte Modifikation das Dateninhaltskontrollsystems PROXY erschwert. Als zusätzliche Sicherheit können weitere Maßnahmen ergriffen werden, wie z.B. eine Erfassung biometrischer Daten ("Fingerabdruck") und Eingabe von Pass- oder Codewörtern.The Central control and management of the data content control system PROXY is done via the control system BM, which only locally to the control system BM yourself. Alternative it is also possible this directly on the data content control system PROXY, for which additional facilities, such as a keyboard, a monitor, and the like can be. In both cases It is necessary, directly to the control system BM or the data content control system PROXY, which is already physical an unauthorized modification of the data content control system PROXY difficult. As additional Security can further measures be taken, such. a collection of biometric data ("fingerprint") and input of Passwords or codewords.
Das Dateninhaltskontrollsystem PROXY startet ("booted") vom Steuerungssystem BM aus. Neue Einstellungen, Betriebsmodi, Regel und dergleichen für das Dateninhaltskontrollsystem PROXY können mittels des Steuerungssystems BM zentral vorgenommen werden. Eine Besonderheit besteht darin, dass in einem Speicher des Dateninhaltskontrollsystem PROXY vorhandene Einstellungen, Betriebsparameter und dergleichen beim Booten nicht benutzt werden.The Data content control system PROXY starts ("booted") from the control system BM. New Settings, operating modes, rule and the like for the data content control system PROXY can be made centrally by means of the control system BM. A Special feature is that in a memory of the data content control system PROXY existing settings, operating parameters and the like not be used when booting.
DATENÜBERTRAGUNGSKONTROLLSYSTEM ("IDS")DATA TRANSFER CONTROL SYSTEM ("IDS")
Das
Datenübertragungskontrollsystem
IDS umfasst, wie in
Von dem Datenübertragungskontrollsystem IDS erstellte Protokollierungen werden ebenfalls nicht lokal gespeichert. Vielmehr dient das Überwachungssystem AS als übergeordneter "Wächter", wofür Protokollinformationen des Datenübertragungskontrollsystem IDS, beispielsweise in Form von Log-Dateien, über das interne Bussystem BUS-INT zu dem Überwachungssystem AS übertragen und dort in einer Datenbank zur späteren Verwendung gespeichert werden. Dies macht es einem Angreifer unmöglich, auf von dem Datenübertragungskontrollsystem IDS erstellte Protokollierungen zuzugreifen und diese zu verändern. Dies wird zusätzlich noch dadurch erschwert, indem für das Datenübertragungskontrollsystem IDS lokale Firewalls vorgesehen sind. Es ist vorgesehen, dass die Protokollierung in Echtzeit erfolgt und die Daten verschlüsselt zum Überwachungssystem AS übertragen werden. Es ist vorgesehen, dass das Datenübertragungskontrollsystem IDS Angriffsmuster anhand einer dynamischen Datenbank erkennt, die in vorbestimmten Abständen, z.B. alle vier Stunden, aktualisiert wird. Vorteilhafterweise erfolgt eine Aktualisierung automatisch.From the data transfer control system Logs created by IDS are also not saved locally. Rather, the monitoring system serves AS as superior "guard", for which protocol information of the Data transmission control system IDS, for example in the form of log files, via the internal bus system BUS-INT to the monitoring system Transfer AS and stored there in a database for later use become. This makes it impossible for an attacker to get off the data transfer control system IDS created to access and modify logs. This will be added still aggravated by this for the data transfer control system IDS local firewalls are provided. It is intended that the Logging is done in real time and the data is encrypted to the monitoring system Transfer AS become. It is envisaged that the data transfer control system IDS Detects attack patterns based on a dynamic database that is in predetermined intervals, e.g. every four hours, is updated. Advantageously done an update automatically.
Erkennt das Datenübertragungskontrollsystem IDS einen Angriff, kann dieser mittels des Datenübertragungskontrollsystems IDS und des Datentypenkontrollsystems FW verhindert werden. Angriffe charakterisierende Daten werden, falls erforderlich oder gewünscht, vorgefiltert an das Überwachungssystem AS übertragen, um z.B. auch für eine Information des Benutzers bzw. Betreibers der Sicherheitsumgebung SU zu sorgen.Recognizes the data transfer control system IDS an attack, this can be done by means of the data transfer control system IDS and the data type control system FW are prevented. attacks characterizing data are prefiltered if necessary or desired to the surveillance system Transfer AS, by e.g. also for an information of the user or operator of the security environment SU to worry.
Als Betriebssystem wird für das Datenübertragungskontrollsystem IDS ein spezieller, sehr kleiner Unixkernel verwendet, bei dem nahezu alle nicht unbedingt erforderlichen Services entfernt sind. Wie unten ausgeführt, ist im Allgemeinen auch keine Unterstützung für Wiedergabe- und Eingabeinheiten (z.B. Monitor, Maus, Tastatur etc.) vorgesehen. Dadurch wird der Kernel sehr schnell und sehr stabil und kann schnell aktualisiert werden ("Update"). Des weiteren kann der Kernel auch keinen fremden Code (z.B. bei einem Angriff) ausführen, da der Kernel hierfür keine Services vorhält. Vielmehr werden nur bekannte Soft- und Hardware unterstützt. Die daraus resultierende Inflexibilität des Datenübertragungskontrollsystems IDS führt zur einer erhöhten Sicherheit.When Operating system is for the data transfer control system IDS uses a special, very small Unixkernel in which almost all not essential services are removed. As running down, is also generally not support for playback and input devices (e.g., monitor, mouse, keyboard, etc.). This will be the Kernel very fast and very stable and can be updated quickly become ("Update"). Furthermore, can The kernel also does not execute any foreign code (for example, in an attack) the kernel for this no services available. Rather, only known software and hardware are supported. The resulting inflexibility of the data transfer control system IDS leads to an increased Safety.
Des weiteren umfasst das Datenübertragungskontrollsystem IDS eine Schnittstelleneinheit IDS-INT, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Datenübertragungskontrollsystems IDS z.B. per Telefon. Um zu verhindern, dass auf das Datenübertragungskontrollsystem IDS von einem der Netzwerk NW1 und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit IDS-INT so ausgeführt sein, dass sie nicht über eines dieser Netzwerke NW1 und NW2 erreichbar ist. Ein solcher "remote" Zugriff ist nur mit Genehmigung und Unterstützung eines Benutzers möglich, da die Schnittstelleneinheit IDS-INT im Normalfall ausgeschaltet. Bei Bedarf muss der Benutzer die Schnittstelleneinheit IDS-INT aktivieren und einen Zugriff auf das Datenübertragungskontrollsystem IDS zu ermöglichen. Hierfür kann auch die Übermittlung eines Passworts erforderlich sein. Zur Kontrolle werden solche Vorgänge ebenfalls mittels des Überwachungssystems AS protokolliert. Nach Beendigung wird die Schnittstelleneinheit IDS-INT wieder deaktiviert, um weitere Zugriffe zu verhindern.Of another includes the data transfer control system IDS an interface unit IDS-INT, e.g. in the form of a modem or a computer interface. This allows support of the Data transmission control system IDS e.g. via phone. To prevent the data transfer control system IDS of one of the network NW1 and NW2, in particular of the network NW2 can be accessed as an external network, the interface unit IDS-INT so executed be that they do not have one of these networks NW1 and NW2 can be reached. Such a "remote" access is only with permission and support a user possible, because the interface unit IDS-INT is normally switched off. at The user must activate the interface unit IDS-INT and access to the data transfer control system To enable IDS. Therefor can also be the transmission a password will be required. To control such operations as well by means of the monitoring system AS logs. Upon completion, the interface unit becomes IDS-INT deactivated again to prevent further access.
ÜBERWACHUNGSYSTEM ("Audit-Server")MONITORING SYSTEM ("Audit Server")
Die
Hauptaufgabe des in
Protokollierungen werden in eine mit einer Datenbank vergleichbaren Speichereinheit AS-MEM geschrieben. Die Speichereinheit AS-MEM umfasst eine erste Speicheruntereinheit AS-MEM-RT, als "Real-Time"-Datenbank dient. Mittels dieser werden Protokollierung eines ersten Zeitraums gespeichert und analysiert. Dieser Zeitraum kann z.B. für aktuelle Protokollierungen ("inert der letzten 1, 2, 5, 10, .... Minuten") definiert sein. Mittels einer zweiten Speicheruntereinheit AS-MEM-LT können Protokollierung eines zweiten Zeitraums gespeichert werden, beispielsweise für einen Zeitraum der letzten 1, 2, 5, 10, 12 ... Monate. Zur Analyse von Protokollierungen können die ersten und zweiten Speicheruntereinheiten AS-MEM-RT und AS-MEM-LT getrennt oder in Kombination herangezogen werden.loggers are stored in a storage unit comparable to a database AS-MEM written. The memory unit AS-MEM comprises a first Memory subunit AS-MEM-RT, serves as a "real-time" database. By means of this logging of a first period are stored and analyzed. This period can e.g. for current logging ("inert of the last 1, 2, 5, 10, .... minutes ") be defined. By means of a second memory subunit AS-MEM-LT can Logging a second period to be stored, for example for one Period of the last 1, 2, 5, 10, 12 ... months. For the analysis of Logs can the first and second memory sub-units AS-MEM-RT and AS-MEM-LT are separated or be used in combination.
Um unzulässige Datenbankzugriffe zu verhindern, kommuniziert auch das Überwachungssystem AS über das interne Bus-System BUS-INT. Ein physikalischer Zugriff auf das Überwachungssystem AS besteht nur an dem Überwachungssystem AS selbst ("im EDV-Schrank")Around unacceptable Preventing database access also communicates the monitoring system AS over the internal bus system BUS-INT. A physical access to the surveillance system AS only exists on the monitoring system AS itself ("in the EDP cabinet")
Ferner
umfasst das Überwachungssystem
AS ein Rechnersystem AS-RS (z.B. mit einer Intel®-kompatiblen CPU,
eventuell als Mehrfachprozessorsystem ausgeführt, mindestens einer RAID-5,
einem internen NIC, mehreren externen NICs, einer VGA-Unterstützung, einer
Unterstützung
UNIX®-basierter
Softwareanwendungen und dergleichen). Zur Bedienung des Überwachungssystems
AS wird eine lokal angeordnete Eingabeeinheit AS-IN verwendet, die
z.B. eine Tastatur, eine Maus, eine Mikrophon und dergleichen umfassen kann.
Zur graphischen Wiedergabe von Protokollierungen selbst und/oder
von Kontroll- und Analyseergebnissen hinsichtlich zu verwertender
Protokollierungen weist das Überwachungssystem
AS eine Wiedergabeeinheit AS-DIS (z.B. einen VGA-Monitor) und eine
darüber
darstellbare graphische Benutzungsschnittstelle AS-GUI auf. Beispiele
unterschiedlicher Ansichten der graphischen Benutzungsschnittstelle
AS-GUI sind in
Zur Speicherung der Protokollierungen erforderliche Speichermedien (z.B. Festplatten) können ausgetauscht werden, wobei aber, im Gegensatz zu bekannten Sicherheitssystemen, dies nur lokal gesteuert erfolgen kann. Des weiteren ist erforderlich, bei einem Ausserbetriebnehmen des Überwachungssystems AS die gesamte Sicherheitsumgebung SU herunterzufahren. Datenübertragungen zu und von dem ersten Netzwerk NW1 sind dann nicht möglich. Dies gilt auch für eine Ausserbetriebnahme der anderen Komponenten der Sicherheitsumgebung SU.to Storage of logging required storage media (e.g. Hard drives) but, in contrast to known safety systems, this can only be done locally controlled. Furthermore, it is necessary when taking out of the monitoring system AS, the entire Shut down security environment SU. Data transfers to and from the first network NW1 are then not possible. This also applies to a decommissioning the other components of the security environment SU.
Das Überwachungssystem AS kombiniert die Protokolleinträge der verschiedenen Systeme und kann somit Angriffe, Angriffsversuche und erfolgte Einbrüche aufgrund von Protokollierungen einzelner der genannten Systeme FW, PROXY, IDS und BM, aber eben auch durch Kombination von Protokollierungen mehrer der genannten Systeme FW, PROXY, IDS und BM feststellen. Protokollierungen ("Log-Dateien") unterschiedlicher herkömmlicher System sind im Allgemeinen zeitlich nicht synchronisiert, weshalb Zusammenhänge zwischen Protokollen getrenntes Systems bisher nicht erkannt werden konnten.The monitoring system AS combines the log entries of the various systems and thus can attack, attack attempts and burglaries occurred due to logging of individual of said systems FW, PROXY, IDS and BM, but also by combination of logging several of the mentioned systems FW, PROXY, IDS and BM. Logs ("log files") of different conventional Systems are generally out of sync in time, which is why relationships between protocols separated system so far not be recognized could.
Dies wird durch das Überwachungssystem AS und inbesondere durch dessen Eigenschaft ermöglicht, vergleichbar mit einer Datenbank zu wirken. Die Kombination unterschiedlicher Protokollierung der Kontrollsysteme FW, PROXY und IDS, eventuell in Kombination mit Protokollen des Steuerungssystems BM können bisher nicht erkennbare Einbrüche identifiziert werden.This is through the monitoring system AS and in particular by its property allows, comparable to a Database to act. The combination of different logging the control systems FW, PROXY and IDS, possibly in combination with protocols of the control system BM can so far unrecognizable dips be identified.
Das Regelwerk ist sehr komplex und wird erst in Zusammenarbeit mit dem Anwender entstehen. Nach der Installation der Sicherheitsumgebung SU soll das Überwachungssystem AS alle Daten protokollieren. Dies ermöglicht es, alle Systeme FW, PROXY, IDS und BM, die mit dem Überwachungssystem AS zusammenarbeiten, whrend des Betriebs hinsichtlich der Sicherheit bei Datenübertragungen zu optimieren. Wenn zum Beipsiel dem ersten Netzwerk NW1 kein FTP-Datenpaket kommuniziert werden soll, darf das Datentypenkontrollsystem FW auch keine FTP-Datenpakte durchlassen. Stellt das Überwachungssystem AS danach dennoch eine Übertragung solcher Daten fest, wird daraus auf einen Fehler oder einen Angriff geschlossen. Wie auf solche Zustände zu reagieren ist, wird in Richtlinien definiert, die der Sicherheitsumgebung und/oder den Anwendern und Benutzers der Sicherheitsumgebung angeben, wie zu reagieren ist.The Rulebook is very complex and will be released in cooperation with the Users arise. After installing the security environment SU is supposed to be the surveillance system AS log all data. This allows all systems FW, PROXY, IDS and BM using the surveillance system AS work together during operation in terms of safety during data transfers to optimize. If, for example, the first network NW1 no FTP data packet may be communicated, the data type control system FW may also do not pass FTP data packets. Sets the monitoring system AS afterwards nevertheless a transmission of such data turns into an error or an attack closed. As for such conditions to respond is defined in policies that the security environment and / or the users and users of the security environment, how to react.
Das Regelwerk für das Überwachungssystem AS kann nach der Installation verändert werden. Dies kann automatisch durch die Sicherheitsumgegung SU selbst, z.B. unter Steuerung des Steuerungssystems BM, und/oder durch von Aussen vorgenommene Änderungen an der Sicherheitsumgebung SU erfolgen. Von Aussen vorgenommene Änderungen an der Sicherheitsumgebung SU sind, wie im Folgenden beschrieben, aus Sicherheitsgründen Einschränkungen unterworfen.The Rules for the surveillance system AS can be changed after installation. This can be done automatically through the safety envelope SU itself, e.g. under the control of Control system BM, and / or by external changes take place at the security environment SU. External changes at the security environment SU, as described below security restrictions subjected.
Oftmals ist es das Ziel eines Angreifes, die Kommunikationsmöglichkeiten der Sicherheitsumgebung SU zu unterbinden, beispielsweise deren E-Mail-Server zu deaktiveren. Um in einem solchen Fall Informationen über Angriffe, Angriffsversuche und erfolgte Einbrüche kommuizieren zu können (z.B. zu einem für die Sicherheitsumgebung SU zuständigen Administrator), kann das Überwachungssystem AS entsprechende Informationen über mehrere Kommunikationswege übermitteln. So ist beispielsweise eine Einheit zur Kommunikation über ein mobiles, zelluläres Telefonnetzwerk z.B. mittels SMS und/oder Sprachnachrichten vorgesehen. Weitere Übermittlungsmöglichkeiten umfassen digitale und analoge Bild-, Ton,- und Fax-Übertragungen und dergleichen. In welcher Zeit das Überwachungssystem AS auf Angriffe, Angriffsversuche und erfolgte Einbrüche reagiert wird im Allgemeinen mit Anwendern bzw. Benutzern der Sicherheitsumgebung SU, auch für Einzelne derselben und/oder für unterschiedliche Angriffe, Angriffsversuche und erfolgte Einbrüche individuell definiert.often it is the target of an attack, the communication possibilities prevent the security environment SU, for example their Disable e-mail server. In this case, information about attacks, Assault attempts and break-ins can be communicated (e.g. to one for the safety environment SU competent Administrator), the monitoring system can AS corresponding information about transmit multiple communication paths. For example, a communication unit is one mobile, cellular Telephone network e.g. provided by SMS and / or voice messages. Further transmission options include digital and analog video, audio, and fax transmissions and the same. At what time does the surveillance system AS respond to attacks, Attack attempts and made burglaries is generally responded with users or users of the security environment SU, even for individuals same and / or for different attacks, attack attempts and burglary occurred individually Are defined.
Die gespeicherten Daten des Überwachungssystems AS charakterisieren das gesamte erste Netzwerk NWI, dessen Benutzer und deren Verhalten. Daher sind diese Daten höchst schützenswert, wofür vorteilhafterweise ein höchstmögliche Sicherheitsstufe definiert wird. Auf dem Gebiet sind Sicherheitsstufen von 0 bis 5. 5 als maximalem Wert definiert. Beipielsweise kann die Sicherheitstufe des Überwachungssystems AS mit 4 definiert werden.The stored data of the monitoring system AS characterize the entire first network NWI, its user and their behavior. Therefore, these data are highly worth protecting, for which advantage legally the highest possible level of security is defined. In the field, security levels from 0 to 5. 5 are defined as the maximum value. For example, the security level of the surveillance system AS can be defined as 4.
Des weiteren kann das Überwachungssystem AS eine Schnittstelleneinheit AS-INT aufweisen, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Überwachungssystems AS z.B. per Telefon. Um zu verhindern, dass auf das Überwachungssystem AS von einem der Netzwerke NW1 und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit AS-INT so ausgeführt sein, dass sie nicht über eines dieser Netzwerke NW1 und NW2 erreichbar ist.Of Another is the monitoring system AS have an interface unit AS-INT, e.g. in form of Modems or a computer interface. This allows support of the monitoring system AS e.g. via phone. To prevent the monitoring system AS from one of the networks NW1 and NW2, in particular from the network NW2 can be accessed as an external network, the interface unit AS-INT so executed be that they do not over one of these networks NW1 and NW2 can be reached.
STEUERUNGSSYSTEM ("Boot- und Management-Server")CONTROL SYSTEM ("Boot and Management Server")
Wie
in
Das Steuerungssystem BM kommuniziert in der Sicherheitsumgebung SU über das interne Bus-System BUS-INT. Alle Modifikationen und zum Betrieb erfordelichen Daten werden, wie oben ausgeführt, durch das Steuerungssystem BM bereitgestellt oder zumindest unter dessen Steuerung und Kontrolle veranlasst bzw. übertragen. Erforderliche Daten werden in einer Speichereinheit BM-MEM des Steuerungssystems BM gespeichert. Zur Eingabe von beispielsweise für Systemmodifikationen erforderliche Daten und/oder Informationen kann die lokal vorgesehene Eingabeeinheit BM-IN verwendet werden.The Control system BM communicates in the security environment SU via the internal bus system BUS-INT. All modifications and operation Required data is, as stated above, by the control system BM provided or at least under its control and control initiated or transmitted. Required data is stored in a memory unit BM-MEM of the control system BM saved. For entering, for example, required for system modifications Data and / or information may be the locally provided input unit BM-IN can be used.
Des weiteren kann das Steuerungssystem BM eine Schnittstelleneinheit BM-INT umfassen, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Steuerungssystems BM z.B. per Telefon. Um zu verhindern, dass auf das Steuerungssystem BM von einem der Netzwerke NW1 und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit BM-INT so ausgeführt sein, dass sie nicht über eines dieser Netzwerke NW1 und NW2 erreichbar ist.Of Further, the control system BM may be an interface unit BM-INT, e.g. in the form of a modem or a computer interface. This allows for support of the control system BM e.g. via phone. To prevent that to the control system BM of one of the networks NW1 and NW2, especially from the network NW2 as an external network can be executed, the interface unit BM-INT can be designed that they do not over one of these networks NW1 and NW2 can be reached.
Claims (55)
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2002141974 DE10241974B4 (en) | 2002-09-11 | 2002-09-11 | Monitoring of data transmissions |
PCT/EP2003/010120 WO2004028107A2 (en) | 2002-09-11 | 2003-09-11 | Monitoring of data transmissions |
AU2003271599A AU2003271599A1 (en) | 2002-09-11 | 2003-09-11 | Monitoring of data transmissions |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE2002141974 DE10241974B4 (en) | 2002-09-11 | 2002-09-11 | Monitoring of data transmissions |
Publications (2)
Publication Number | Publication Date |
---|---|
DE10241974A1 DE10241974A1 (en) | 2004-03-25 |
DE10241974B4 true DE10241974B4 (en) | 2006-01-05 |
Family
ID=31895772
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE2002141974 Expired - Fee Related DE10241974B4 (en) | 2002-09-11 | 2002-09-11 | Monitoring of data transmissions |
Country Status (3)
Country | Link |
---|---|
AU (1) | AU2003271599A1 (en) |
DE (1) | DE10241974B4 (en) |
WO (1) | WO2004028107A2 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011003310A1 (en) * | 2011-01-28 | 2012-08-02 | Siemens Aktiengesellschaft | Network devices for connecting partial networks of industrial automation network to control e.g. machines, have data processing units processing switch-off signal to control communication unit to interrupt communication between subscribers |
DE102014102627B3 (en) * | 2014-02-27 | 2015-07-02 | Fujitsu Technology Solutions Intellectual Property Gmbh | Working method for a system as well as system |
DE102019129253B4 (en) | 2019-10-30 | 2023-02-09 | Hans-Jürgen Kuhn | Method and computer system for defending against an attack by malicious software via electronic messages |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102004016582A1 (en) * | 2004-03-31 | 2005-10-27 | Nec Europe Ltd. | Procedures for monitoring and protecting a private network from attacks from a public network |
TW200644495A (en) * | 2005-06-10 | 2006-12-16 | D Link Corp | Regional joint detecting and guarding system for security of network information |
DE102005046935B4 (en) * | 2005-09-30 | 2009-07-23 | Nokia Siemens Networks Gmbh & Co.Kg | Network access node computer to a communication network, communication system and method for assigning a protection device |
DE102011002717B4 (en) * | 2011-01-14 | 2015-05-28 | Siemens Aktiengesellschaft | Network filter device and method for protecting a system network |
EP2710507B1 (en) | 2011-05-20 | 2019-10-16 | BAE Systems PLC | Supervised data transfer |
DE102017221889B4 (en) * | 2017-12-05 | 2022-03-17 | Audi Ag | Data processing device, overall device and method for operating a data processing device or overall device |
DE102019220248A1 (en) * | 2019-12-19 | 2021-06-24 | Siemens Mobility GmbH | Transmission device for transmitting data |
DE102019220246A1 (en) * | 2019-12-19 | 2021-06-24 | Siemens Mobility GmbH | Transmission device for transmitting data |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19820525A1 (en) * | 1998-05-08 | 1999-11-11 | Alcatel Sa | Method, software module, interface device, terminal and server for forwarding control of packets of completed packet sequences of packet-switched networks |
WO2000073876A2 (en) * | 1999-06-01 | 2000-12-07 | America Online, Inc. | Secure data exchange between data processing systems |
US20020069356A1 (en) * | 2000-06-12 | 2002-06-06 | Kwang Tae Kim | Integrated security gateway apparatus |
US20020093527A1 (en) * | 2000-06-16 | 2002-07-18 | Sherlock Kieran G. | User interface for a security policy system and method |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2001257400A1 (en) * | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | System and method for managing security events on a network |
WO2002013486A2 (en) * | 2000-08-07 | 2002-02-14 | Xacct Technologies Limited | System and method for processing network accounting information |
US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
-
2002
- 2002-09-11 DE DE2002141974 patent/DE10241974B4/en not_active Expired - Fee Related
-
2003
- 2003-09-11 AU AU2003271599A patent/AU2003271599A1/en not_active Abandoned
- 2003-09-11 WO PCT/EP2003/010120 patent/WO2004028107A2/en not_active Application Discontinuation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19820525A1 (en) * | 1998-05-08 | 1999-11-11 | Alcatel Sa | Method, software module, interface device, terminal and server for forwarding control of packets of completed packet sequences of packet-switched networks |
WO2000073876A2 (en) * | 1999-06-01 | 2000-12-07 | America Online, Inc. | Secure data exchange between data processing systems |
US20020069356A1 (en) * | 2000-06-12 | 2002-06-06 | Kwang Tae Kim | Integrated security gateway apparatus |
US20020093527A1 (en) * | 2000-06-16 | 2002-07-18 | Sherlock Kieran G. | User interface for a security policy system and method |
Non-Patent Citations (2)
Title |
---|
Matthias Frank: "Aktiver Schutz durch Content Inspection" in LANLine Spezial Das sichere Netz III/2001, Jahr 2001, Ausgabe 15, S. 80-82 * |
Pohlmann, N.: Firewall-Systeme, 4. Aufl., MITP- Verlag, Bonn, 2001, ISBN 3-8266-0719-8, S. 113- 125, 186-188, 295-309 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102011003310A1 (en) * | 2011-01-28 | 2012-08-02 | Siemens Aktiengesellschaft | Network devices for connecting partial networks of industrial automation network to control e.g. machines, have data processing units processing switch-off signal to control communication unit to interrupt communication between subscribers |
DE102014102627B3 (en) * | 2014-02-27 | 2015-07-02 | Fujitsu Technology Solutions Intellectual Property Gmbh | Working method for a system as well as system |
US9923868B2 (en) | 2014-02-27 | 2018-03-20 | Fujitsu Technology Solutions Intellectual Property Gmbh | Working method for a system and system |
DE102019129253B4 (en) | 2019-10-30 | 2023-02-09 | Hans-Jürgen Kuhn | Method and computer system for defending against an attack by malicious software via electronic messages |
Also Published As
Publication number | Publication date |
---|---|
WO2004028107A3 (en) | 2004-06-17 |
WO2004028107A2 (en) | 2004-04-01 |
DE10241974A1 (en) | 2004-03-25 |
AU2003271599A1 (en) | 2004-04-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10249428B4 (en) | A method for defining the vulnerabilities of a computer system | |
DE19952527C2 (en) | Process and transaction interface for secure data exchange between distinguishable networks | |
DE60016613T2 (en) | DETECTION SYSTEM AGAINST INTERRUPTION AND ABUSE | |
DE112004000428B4 (en) | Methods and systems for managing security policies | |
CN104063473B (en) | A kind of database audit monitoring system and its method | |
DE60102555T2 (en) | PREVENTING MAP-ENABLED MODULAR MASKER ATTACKS | |
DE60308722T2 (en) | METHOD, DEVICE AND COMPUTER SOFTWARE PRODUCT TO RESPOND TO COMPUTER INTERRUPTIONS | |
DE10249427A1 (en) | Method for defining the security state of a computer and its ability to withstand a third party distributed attack in which a specification of attacker identity and attack method are made to provide a quantitative assessment | |
DE112019000485T5 (en) | SYSTEM AND PROCEDURE FOR PROVIDING SECURITY FOR IN-VEHICLE NETWORK | |
EP2299650A1 (en) | Method for recognising anomalies in a control network | |
DE202012013609U1 (en) | System for distributing processing of computer security tasks | |
DE10241974B4 (en) | Monitoring of data transmissions | |
EP3451624A1 (en) | Device and method for controlling a communication network | |
DE60315284T2 (en) | Method and arrangement for automatically controlling access between a computer and a communication network | |
EP1417820A2 (en) | Method and computer system for securing communication in networks | |
DE10249843A1 (en) | Method and computer readable medium for suppressing execution of signature file instructions during network exploitation | |
DE69919560T2 (en) | METHOD AND SYSTEM FOR PREVENTING UNWANTED OPERATIONS OF EXECUTABLE OBJECTS | |
EP3105898B1 (en) | Method for communication between secured computer systems as well as computer network infrastructure | |
WO2003025758A2 (en) | Device and method for establishing a security policy in a distributed system | |
EP1298529A2 (en) | Proxy unit and method for computer-implemented protection of an application server program | |
DE10346923A1 (en) | A method of protecting the security of network intrusion detection sensors | |
DE102015107071B3 (en) | Device and method for controlling a communication network | |
WO2006076752A1 (en) | Computer security system | |
DE19734585C2 (en) | Method and device for monitoring information flows in computer systems | |
DE602004005992T2 (en) | Data processing system and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: KAEMPER, PETER, 83233 BERNAU, DE |
|
8339 | Ceased/non-payment of the annual fee |