-
Die
vorliegende Erfindung betrifft ein Verfahren zum Schützen einer
mit einem Kommunikationssystem verbundenen Kommunikationsvorrichtung gegen
ein unberechtigtes Eindringen und ein entsprechendes Kommunikationssystem
mit einer verbundenen Kommunikationsvorrichtung.
-
Stand der
Technik
-
Historisch
beginnt jede Technik mit ihrer Entwicklung, indem sie hauptsächlich auf
Leistungsparameter fokussiert ist, und befaßt sich mit den Sicherheitsaspekten
ihrer Anwendungen nur in einem gewissen Entwicklungsstadium. Dieses
Muster wird auf klassische Weise von Computer- und Kommunikationsnetzen
befolgt. Beispielsweise waren die ersten Prioritäten bei der Entwicklung des
Internets Zuverlässigkeit, Überlebensfähigkeit,
Optimierung der Verwendung von Kommunikationskanälen und Maximierung ihrer Geschwindigkeit
und Kapazität.
Mit bemerkenswerter Ausnahme einiger Regierungseinrichtungen wurde
der Kommunikationssicherheit keine frühe hohe Priorität erteilt,
wenn überhaupt.
In der Tat wäre es
bei der relativ geringen Anzahl von Benutzern in den Anfangsstadien
der Internetentwicklung wie auch ihrer Exklusivität beinahe
unnatürlich
gewesen, sich mit Problemen möglicher
digitaler Angriffe zu befassen, wenn man die Größe anderer technischer und
organisationsmäßiger Probleme
in Betracht zieht, die zu der Zeit zu überwinden waren. Weiterhin war
eine der Ideen des Internets die „Demokratisierung" von Kommunikationskanälen und
des Zugangs zu Informationen, was dem Sicherheitsbegriff beinahe
vollständig
entgegenläuft.
Nun stehen wir einer Situation gegenüber, die ausreichende Sicherheitsgrade
bei der Kommunikation erfordert und dabei die bereits erreichte „Demokratisierung" von Kommunikationskanälen und
Zugang zu Informationen bewahrt.
-
Alle
Anfangsziele der ursprünglichen
Entwickler des Internets wurden mit Ergebnissen erreicht, die so
spektakulär
sind, daß sie
beinahe gewiß ihre
Erwartungen überschreiten.
Eines der bemerkenswertesten Ergebnisse der Internetentwicklung bis
heute ist die erwähnte „Demokratisierung". Auf ihre ungeschützte Weise
ist jedoch die „Demokratisierung" offenbar für einen
gewissen Prozentsatz von Internet-Benutzern ihrer Zeit voraus oder
widerspricht dem menschlichen Wesen, oder beides. Es bleibt Tatsache,
daß genau
dieser Prozentsatz von Benutzern eine ernst zu nehmende Bedrohung
für die
Integrität
der nationalen kritischen Infrastruktur, die Geheimhaltung von Informationen
und den weiteren Fortschritt des Handels durch Nutzung der Internet-Fähigkeiten
darstellt. In diesem Stadium scheint es von wesentlicher Bedeutung
zu sein, sich mit Sicherheitsfragen zu befassen, aber wie gewöhnlich ist es
wünschenswert,
daß dies
innerhalb bereits bestehender Strukturen und technologischer Konventionen
stattfindet.
-
Bestehenden
Kommunikationsprotokollen mangelt es immer noch an ausreichender
grundlegender Entropie für
Sicherheitszwecke, obwohl sie Kommunikationen rationalisieren. Eine
Weise zum Steigern der Entropie ist natürlich die Verschlüsselung,
so wie sie durch das Finley erteilte US-Patent Nr. 5,742,666 dargestellt
ist. Hier wird durch jeden Knoten im Internet die Zieladresse mit
einem Code verschlüsselt,
der nur vom nächsten
Knoten entschlüsselt
werden kann.
-
Verschlüsselung
alleine hat sich für
viele Kommunikationsanwendungen nicht als funktionsfähige Sicherheitslösung erwiesen.
Selbst innerhalb ihres Kernzwecks ist die Verschlüsselung
immer noch mit gewissen Sicherheitsproblemen behaftet, einschließlich der
Verteilung und Sicherung der Schlüssel. Daneben stellt die Verschlüsselung
einen „Ballast" dar, der die Informationsverarbeitungsgeschwindigkeit
und Übertragungszeit
bedeutend verringert. Durch diese Faktoren wird ihre Verwendung
in vielen Grenzfällen
als unratsam erachtet.
-
Ein
weiterer Weg ist die Verwendung der Paßworte. Dieses Verfahren reichte
gegen Menschen aus, funktioniert aber eindeutig nicht gegen Computer.
Jeder Sicherheitserfolg der auf Paßwort basierenden Sicherheit
ist bestenfalls zeitweilig. Durch schnelle Fortschritte in der Rechenleistung wird
selbst die ausgeklügelste
Paßwortanordnung zur
Kurzzeitlösung.
-
Durch
neuliche Untersuchungen ist deutlich festgestellt worden, daß die Firewall-Technology,
so wie sie durch das Wesinger et al. erteilte US-Patent Nr. 5,898,830
dargestellt ist, ebenfalls keine ausreichende Langzeitlösung für das Sicherheitsproblem bietet.
Während
sie einigermaßen
nützlich
ist, kann sie allein nicht den modernen Höhen an digitalen Aufschalte-Angriffen
widerstehen.
-
In
US 5,805,801 ist ein System
und Verfahren zur Bereitstellung von Sicherheit gegen Eindringen
in einem Campus-LAN-Netz offenbart, wobei (1) ein verwaltetes Hub
jede Anschaltevorrichtung im Netz entdeckt, die das Sicherheitmerkmal
unterstützt,
und unterhält
eine Anschaltevorrichtungsliste dieser Vorrichtungen, die Token-Ring-Vermittlungen, Ethernet-Vermittlungen,
Brücken
und Router umfassen kann, (2) ein Eindringen durch eine unberechtigte
Adresse an einem seiner Anschlüsse
entdeckt und die Anschaltevorrichtungen durch Übertragen eines Rahmens Sicherheitseinbruch
erkannt über
das Eindringen benachrichtigt, so daß die Anschaltevorrichtungen
ein Filter gegen die eindringende unberechtigte Adresse an ihren
jeweiligen Anschlüssen
einstellen können,
(3) die Anschaltevorrichtungen einen Rahmen Filter gesetzt zum verwalteten
Hub senden, das den Anschluß wieder aktiviert,
wo der Sicherheitseinbruch auftrat, und (4) nachdem alle Rahmen Filter
gesetzt empfangen sind und eine Netzverwaltungsstation einen Rahmen
Sicherheit Klarzustand sendet, um die Filter zu entfernen. Durch
das Verfahren werden keine veränderlichen
Adressen oder Filter bereitgestellt, die periodisch geändert werden.
-
Neben
allem anderen bieten keine der bestehenden Sicherheitsverfahren
einschließlich
der Verschlüsselung
Schutz gegen Denial-of-Service-Angriffe. Schutz gegen Denial-of-Service-Angriffe
ist zu einem kritischen Aspekt der Kommunikationssystemsicherheit
geworden. Alle bestehenden Anmelde-Sicherheitssysteme einschließlich solcher,
die Verschlüsselung
benutzen, sind praktisch wehrlos gegen solche Angriffe. Bei einem
möglichen
Angreifer mit böswilligen
Absichten kann man durchaus annehmen, daß der Angreifer, selbst wenn
ein Einbruchsversuch fehlgeschlagen ist, immer noch in der Lage ist,
durch Deaktivieren des Systems mit einem Denial-of-Service-Angriff
Schaden anzurichten. Da definitionsgemäß bestehende Systeme jeden
Anmeldeversuch bearbeiten müssen,
ob legitim oder nicht, ist gewiß,
daß sich
diese Systeme nicht gegen einen Denial-of-Service-Angriff verteidigen
können.
Die Mängel
bestehender Sicherheitsverfahren zum Schützen von Kommunikationssystemen
führen
zu der Schlußfolgerung,
daß eine
neue Generation von digitaler Schutztechnik benötigt wird, um annehmbare Sicherheitsgrade
in Netzkommunikationen zu erreichen.
-
Kurze Beschreibung
der Erfindung
-
Es
ist eine Aufgabe der vorliegenden Erfindung, ein neuartiges und
verbessertes Verfahren zum Schützen
einer mit einem Kommunikationssystem verbundenen Kommunikationsvorrichtung
und ein entsprechendes Kommunikationssystem mit einer Kommunikationsvorrichtung
zur Verwendung mit einer großen
Vielzahl von Kommunikationsnetzen einschließlich von auf Internet basierenden
Computern, Firmen- und Organisations-Rechnernetzen (LAN), Systemen
für elektronischen
Geschäftsverkehr,
drahtlosen Computerkommunikationsnetzen, Fernsprechwählsystemen,
drahtlosen Wählsystemen,
drahtlosen Telefon- und Computerkommunikationssystemen, zellularen
und Satelliten-Telefonsystemen, Mobiltelefon- und Mobilkommunikationssystemen,
Kabel-basierten Systemen und Computerdatenbanken wie auch zum Schutz
von Netzknoten wie beispielsweise Routern, Vermittlungen, Verbindungsknoten,
Brücken
und Rahmenweiterleitungseinheiten, bereitzustellen.
-
Die
obige Aufgabe wird durch ein Verfahren nach Anspruch 1 oder ein
Kommunikationssystem nach Anspruch 18 gelöst. Bevorzugte Ausführungsformen
entsprechen den Unteransprüchen.
-
Ein
Aspekt der vorliegenden Erfindung besteht in der Bereitstellung
eines neuartigen und verbesserten Kommunikationsnetz-Aufschalteschutzverfahrens
und -systems, das Adressenagilität
in Kombination mit einer begrenzten zulässigen Anzahl von Anmeldungsversuchen
bereitstellt.
-
Eine
weitere Aufgabe der vorliegenden Erfindung besteht in der Bereitstellung
eines neuartigen und verbesserten Aufschalteschutzverfahrens für eine große Vielzahl
von Kommunikations- und anderen Vorrichtungen, auf die mit einer
Nummer, einem Adresscode und/oder Zugangscode zugegriffen werden
kann. Diese Nummer, dieser Adresscode und/oder dieser Zugangscode
wird periodisch geändert
und die neue Nummer, der neue Adreßcode oder Zugangscode wird
nur berechtigten Benutzern zur Verfügung gestellt. Die neue Nummer,
der neue Adreßcode
oder Zugangscode können
für einen Computer
oder eine Vorrichtung für
den berechtigten Benutzer bereitgestellt und nicht anderen zugänglich sein.
Mit dieser Kennung wird der Computer des Benutzers veranlaßt, die
Nummer, den Adreßcode und/oder
Zugangscode, die sonst unbekannt und unzugänglich sind, zu übertragen.
-
Ein
weiterer Aspekt der vorliegenden Erfindung besteht in der Bereitstellung
eines neuartigen und verbesserten Kommunikationsnetz-Aufschalteschutzverfahrens
und -systems, wobei eine Mehrzahl unterschiedlicher Cyber-Koordinaten richtig
bereitgestellt werden muß,
ehe einer geschützten
Kommunikationseinheit oder einer bestimmten Information Zugang gewährt wird.
Wenn nicht alle oder einige Cyber-Koordinaten richtig bereitgestellt
werden, wird Zugang verweigert, eine Alarmsituation eingeleitet und
die betroffenen Cyber-Koordinaten
können
sofort geändert
werden.
-
Für die Zwecke
der vorliegenden Erfindung sind Cyber-Koordinaten als eine Menge von Anweisungen
definiert, die den Ort eines Objekts (wie eines Computers) oder
einer Information (wie einer Computerdatei) im Cyberraum bestimmen.
Cyber-Koordinaten umfassen private oder öffentliche Protokollnetzadressen
wie beispielsweise eine IP-Adresse im Internet, eine Computeranschlußnummer
oder -bezeichnung, ein Computer- oder
Datenbankverzeichnis, einen Dateinamen oder Bezeichner, eine Telefonnummer,
eine Zugangsnummer und/oder einen Zugangscode, usw., sind aber nicht
darauf begrenzt.
-
Vorzugsweise
bietet die vorliegende Erfindung ein Kommunikationsnetz-Aufschalteschutzverfahren
und -system, wo ein möglicher
Eindringling zuerst raten muß,
wo sich ein Zielcomputer wie beispielsweise ein Host-Arbeitsplatz
im Cyberraum gerade befindet, und vorhersagen muß, wo sich der Zielcomputer
wie beispielsweise ein Arbeitsplatz im Cyberraum als nächstes befindet.
Dies wird durch Ändern
einer Cyberkoordinate (der Adresse) oder einer Mehrzahl von Cyberkoordinaten
für die
Rechner wie beispielsweise Arbeitsplätze nach einem bestimmten oder
zufallsmäßigen Zeitplan
und Durchführung
einer ungeplanten Cyberkoordinatenänderung bei Erkennung durch
das System eines Aufschalteversuchs erreicht. Es kann eine begrenzte Anzahl
von Anmeldungsversuchen erlaubt sein, ehe ein Aufschalteversuch
bestätigt
wird und die Cyberkoordinaten geändert
werden. Eine Verwaltungseinheit ist vorgesehen, um eine Zufallsfolge
von Cyberkoordinaten zu erzeugen, und die eine Reihe von Tabellen
mit gegenwärtigen
und der nächsten
Menge von Adressen unterhält.
Diese Adressen werden an berechtigte Teilnehmer gewöhnlich unter
Verwendung eines Verschlüsselungsvorgangs
verteilt.
-
Weiterhin
bietet die vorliegende Erfindung ein Aufschalteschutzverfahren und
-system für
eine Information, einen Computer oder eine Datenbank, wo ein möglicher
Eindringling zuerst raten muß,
wo sich eine Zielinformation wie beispielsweise eine Computerdatei
oder ein Verzeichnis im Cyberraum befindet und vorhersagen muß, wo sich
die Zielinformation als nächstes
im Cyberraum befindet. Dies wird durch Ändern einer Cyberkoordinate
oder einer Mehrzahl von Cyberkoordinaten für die Information nach einem
bestimmten oder zufallsmäßigen Zeitplan
und Durchführen
einer ungeplanten Cyberkoordinatenänderung bei Erkennung durch
das System eines Aufschalteversuchs erreicht. Es kann eine begrenzte
Anzahl von Anmeldeversuchen erlaubt sein, ehe ein Aufschalteversuch
bestätigt
wird und die Koordinaten geändert
werden. Eine Verwaltungseinheit ist vorgesehen zum Erzeugen einer
Zufallsfolge von Cyberkoordinaten, und die eine Reihe von Tabellen mit
gegenwärtigen
und der nächsten
Menge von Cyberkoordinaten unterhält. Diese Koordinaten werden an
berechtigte Teilnehmer verteilt, gewöhnlich mittels eines Verschlüsselungsvorgangs.
-
Die
Aufschalteversuchserkennungsverfahren und -systeme werden für die geschützten Vorrichtungen
und Informationen wie oben beschrieben mittels eines Verschlüsselungsvorgangs
bereitgestellt.
-
Die
Aufschalteversuchserkennungsverfahren und -systeme werden für die geschützten Vorrichtungen
und Informationen wie oben beschrieben dadurch bereitgestellt, daß ein Anmeldeversuch
bei Nichtvorhandensein aller oder einiger der richtigen Cyberkoordinaten
als Aufschalteversuch kategorisiert und eine Alarmsituation eingeleitet
wird.
-
Kurze Beschreibung
der Zeichnungen
-
1 ist
ein Blockschaltbild des Kommunikationsnetzschutzsystems der vorliegenden
Erfindung;
-
2 ist
ein Flußdiagramm
der Funktionsweise des Systems der 1;
-
3 ist
ein Blockschaltbild einer zweiten Ausführungsform des Kommunikationsnetzschutzsystems
der vorliegenden Erfindung;
-
4 ist
ein Flußdiagramm
der Funktionsweise des Systems der 3;
-
5 ist
ein Blockschaltbild einer dritten Ausführungsform des Kommunikationsnetzschutzsystems
der vorliegenden Erfindung;
-
6 ist
ein Flußdiagramm
der Funktionsweise des Systems der 5; und
-
7 ist
ein Blockschaltbild einer vierten Ausführungsform des Kommunikationsnetzschutzsystems
der vorliegenden Erfindung.
-
Beschreibung der bevorzugten
Ausführungsformen
-
Bestehende
Kommunikationssysteme benutzen feste Koordinaten im Cyberraum für die Kommunikationsquelle
und den Kommunikationsempfänger.
In gewöhnlich
akzeptierter Terminologie für
das Internet werden diese Cyberkoordinaten als Ursprungs- und Ziel-IP-Adressen
bezeichnet. Für
die Zwecke eines unberechtigten Eindringens in diese Kommunikationssysteme
könnte
die Situation einer Cyberattacke militärisch als Schießen auf
ein an bekannten Koordinaten im Cyberraum positioniertes stationäres Ziel
beschrieben werden. Es ist klar, daß ein sich bewegendes Ziel
sicherer als das stationäre ist
und ein sich bewegendes Ziel mit dem Eindringling unbekannten Koordinaten
ist noch sicherer. Das Verfahren der vorliegenden Erfindung nutzt
die Cyberraum-Umgebung und die Tatsache, daß die Korrelation zwischen
den physikalischen Koordinaten von Rechnern oder anderen Kommunikationsvorrichtungen
und ihren Cyberkoordinaten belanglos ist.
-
Während es
schwierig ist, die physikalischen Koordinaten von Rechnern oder
sonstigen Kommunikationsvorrichtungen zu ändern, können ihre Cyberkoordinaten
(Cyberadressen) viel leichter geändert werden
und können
gemäß der vorliegenden
Erfindung variabel und zeitlich veränderlich sein. Zusätzlich zur
zeitlichen Veränderung
der Cyberkoordinaten können
die Cyberkoordinaten sofort geändert
werden, wenn ein Versuch des Eindringens erfaßt wird. Weiterhin wird dadurch,
daß gegenwärtige Cyberkoordinaten
nur berechtigten Teilnehmern zur Verfügung gestellt werden, ein Computer
oder eine sonstige Kommunikationsvorrichtung zu einem sich bewegenden
Ziel mit möglichen
Angreifern unbekannten Cyberkoordinaten. Im Effekt wird durch dieses
Verfahren eine Vorrichtung erzeugt, die sich fortlaufend im Cyberraum
bewegt.
-
Wenn
man zuerst das Verfahren der vorliegenden Erfindung in seiner Anwendung
auf Computer und Computernetze betrachtet, kann die gegenwärtige Cyberadresse
des Computers auch als sein anfängliches
Anmelde-Paßwort
dienen, mit dem Unterschied, daß dieses
anfängliche
Anmelde-Paßwort variabel
ist. Ein Benutzer muß sich
jedoch nur mit der permanenten Kennung eines Computers befassen, die
im Effekt ein zugewiesener „Name" in einem entsprechenden
Netz ist. Es kann jedes permanente Kennungssystem benutzt werden
und ein alphabetisches „Namen-"System scheint einigermaßen benutzerfreundlich
zu sein. Eine dieser Anordnungen würde die Benutzung des alphabetischen
Domännamensystems
eines Computers als permanente Cyberadressenkennung erfordern und
dabei seine numerische oder sonstige Cyberadresse einer periodischen Änderung
mit regelmäßigen oder
unregelmäßigen Zeitabständen unterwerfen.
Durch diese Trennung wird das Sicherheitssystem für den Benutzer
transparent, der sich nur mit den alphabetischen Adressen befassen
muß. Im
Effekt würde
der Computer des Benutzers ein „Adreßbuch" enthalten, wo die alphabetischen Adressen
permanent sind, und die entsprechenden variablen Adressen sind komplizierter und
werden periodisch durch eine Netzverwaltung aktualisiert. Während ein
Benutzer mit anderen Teilnehmern des Netzes auf der Basis des Namens
oder der alphabetischen Adresse arbeitet, führt der Computer Kommunikationen
auf der Basis der für
diese bestimmte Zeit zugewiesenen entsprechenden variablen numerischen
oder sonstigen Adressen durch.
-
Es
ist relativ leicht, zu bewirken, daß ein variables Adressensystem
praktisch jeden beliebigen Grad an Entropie enthält und gewiß genug Entropie, um die meisten
ausgeklügelten
Angriffe abzuwehren. Es ist klar, daß der Grad an Schutz direkt
mit dem im variablen Adressensystem enthaltenen Grad an Entropie
und mit der Häufigkeit
der Cyberadressenänderung
in Beziehung steht.
-
Durch
dieses Szenario wird ein möglicher Angreifer
in eine sehr schwierige Situation versetzt, wenn er das Ziel finden
muß, ehe
er einen Angriff unternimmt. Wenn eine Beschränkung der Anzahl zulässiger Anmeldeversuche
implementiert wird, wird es für
einen Angreifer noch schwieriger werden, das Ziel zu finden, als
es wirklich anzugreifen. Diese Aufgabe des Lokalisierens des Zieles
kann erschwert werden, wenn das Cyberadressensystem eines Netzes
genügend
Entropie enthält.
Diese Schwierigkeit wird sehr gesteigert, wenn das Sicherheitssystem auch
die Anzahl zulässiger
Anmeldeversuche begrenzt, wodurch die Entropiedichte bedeutend angehoben
wird.
-
Für die Zwecke
der vorliegenden Erfindung wird Entropiedichte als Entropie pro
ein Versuch, einen Wert einer zufallsvariablen zu raten, definiert.
-
1 zeigt
ein einfaches Computer-Aufschalteschutzsystem 10, das gemäß dem Verfahren der
vorliegenden Erfindung funktioniert. Hier ist der Computer 12 eines
entfernten Benutzers über
einen Gateway-Router oder eine Brücke 16 mit einem geschützten Computer 14 verbunden.
Durch eine Verwaltungssystem 18 wird die Adresse des Computers 14 periodisch
durch Bereitstellen einer neuen Adresse aus einem Cyberadreßbuch 20 geändert, das
eine Mehrzahl von Cyberadressen speichert. Jede neue Cyberadresse
wird vom Verwaltungssystem 18 für den Router 16 und
ein Computeradreßbuch 22 des Benutzers
bereitgestellt. Das Adreßbuch 22 enthält sowohl
die alphabetische Zieladresse für
den Computer 14, die dem Benutzer zur Verfügung steht,
und die variable numerische Cyberadresse, die dem Benutzer nicht
zur Verfügung
steht. Wenn der Benutzer ein Informationspaket mit der alphabetischen
Adresse für
den Computer 14 zu übertragen
wünscht,
wird diese alphabetische Adresse automatisch gegen die gegenwärtige numerische
Cyberadresse ausgetauscht und im Paket benutzt.
-
Bezugnehmend
auf 1 und 2 wird, wenn vom Gateway-Router
oder der Brücke 16,
wie bei 24 angezeigt, ein Paket empfangen wird, die Cyberadresse
vom Gateway-Router oder der Brücke bei 26 überprüft und wenn
die Zieladresse richtig ist, wird das Paket bei 28 zum
Computer 14 weitergegeben. Wenn die Zieladresse nicht richtig
ist, wird das Paket zu einem Sicherheitsanalyseteil 30 geleitet, der
bei 32 bestimmt, ob das Paket innerhalb einer begrenzten
Anzahl von Anmeldeversuchen mit einer richtigen Adresse wiederholt
wird. Wenn dies eintritt, überträgt der Sicherheitsanalyseteil
das Paket zum Computer 14 bei 28. Wenn jedoch
innerhalb der zulässigen
begrenzten Anzahl von Anmeldeversuchen keine richtige Adresse empfangen
wird, wird das Paket nicht zum Computer 14 übertragen
und der Sicherheitsanalyseteil aktiviert einen Alarmteil 34 bei 36,
der wiederum veranlaßt,
daß der
Verwaltungsteil sofort bei 38 die Änderung der Cyberadresse bewirkt.
-
Ausgeklügelte Cyberangriffe
umfassen oft das Eindringen durch andere Computeranschlüsse als
den für
eine Klientenanmeldung bestimmten Anschluß. Wenn ein hauptsächlich in
Verbindung mit 1 und 2 beschriebenes
System implementiert ist, stellt die Anschlußverletzbarkeit noch eine Öffnung für eine Attacke
aus dem Netz heraus dar, d.h. wenn ein Angreifer nur einen niedrigen
berechtigten Zugang zu einem bestimmten Computer hat und daher seine
gegenwärtige
variable Adresse kennt.
-
Computeranschlüsse können auf ähnliche Weise
wie beim Schutz des Computers selbst geschützt werden. In diesem Fall
wird die Anschlußzuweisung
für den
Computer variabel und wird periodisch auf ähnliche Weise wie die in Verbindung
mit 1 und 2 beschriebene geändert. Dann
wird eine gegenwärtige
Zuweisung eines bestimmten Anschlusses nur zutreffenden Teilnehmern übermittelt und
ist anderen nicht bekannt. Zur gleichen Zeit würde sich ein Computerbenutzer ähnlich den
beschriebenen Verfahren mit permanenten Anschlußzuweisungen befassen, die
als die permanenten „Namen" der Anschlüsse dienen
würden.
-
Diese
Anordnung für
sich reicht jedoch möglicherweise
aufgrund einer möglichen
unzureichenden Entropiedichte nicht aus, um zuverlässig gegen eine
Anschlußattacke
mit bedeutender Rechenleistung zu schützen. Ein solcher Schutz kann
durch Implementieren eines internen Computer-„Anschlußrouters" erreicht werden, der im wesentlichen
dieselbe Rolle für
Anschlußkennungen
wie der gewöhnliche
Gateway-Router oder die Brücke 16 für Computerzieladressen
dienen würde.
-
Bezugnehmend
auf 3 und 4, in denen gleiche Bezugsziffern
für Komponenten
und Operationen benutzt werden, die die gleichen wie die schon in
Verbindung mit 1 und 2 beschriebenen
sind, ist vor dem geschützten
Computer 14 ein Anschlußrouter 40 vorgesehen
und diesem Anschlußrouter
wird von der Verwaltungseinheit 18 eine Anschlußnummer
oder -bezeichnung bereitgestellt. Diese Anschlußnummer oder -bezeichnung wird auch
dem Benutzeradreßbuch 22 zugeführt und
wird bei Änderung
der Cyberadresse oder getrennt geändert. Bezugnehmend auf 4 wird
daher die Anschlußnummer
oder -bezeichnung bei 42 untersucht, sobald die Cyberadresse
bei 26 freigegeben worden ist. Wenn die Anschlußnummer
ebenfalls korrekt ist, wird das Datenpaket bei 28 zum Computer 14 weitergegeben.
Wenn die Anschlußnummer
anfänglich
unrichtig, wird das Paket zum Sicherheitsanalyseteil 30 geleitet,
der bei 32 bestimmt, ob das Paket innerhalb der begrenzten
Anzahl von Anmeldeversuchen mit der richtigen Anschlußnummer
neu übertragen
worden ist.
-
Das
Anschlußschutzmerkmal
kann unabhängig
von anderen Merkmalen des Systems benutzt werden. Es kann effektiv Knoten
der Infrastruktur wie beispielsweise Router, Gateways, Brücken und
Rahmenweiterleitungseinheiten gegen unberechtigten Zugang schützen. Dadurch
können
Systeme gegen einen Angreifer geschützt werden, der eine Cyberattacke
von solchen Knoten aus unternimmt.
-
Das
Verfahren und System der vorliegenden Erfindung kann zur Bereitstellung
von Sicherung für sowohl
auf Internet basierende Computernetze als auch private Computernetze
wie beispielsweise LAN angepaßt
werden.
-
Die
Internet-Struktur erlaubt die Erzeugung eines auf dem Internet basierenden
privaten Cybernetzes (PCN – Private
Cyber Network) zwischen einer Anzahl von über das Internet verbundenen
Computern. Das Hauptinteresse an der Benutzung des Internets für diesen
Zweck als Alternative für
die eigentlichen Privatnetze mit fest zugeordneten Kommunikationskanälen liegt
in der Sicherheit von auf dem Internet basierenden Netzen.
-
Die
vorliegende Erfindung erleichtert die Herstellung eines zureichenden
und steuerbaren Grades an Sicherheit für die PCN. Weiterhin bietet diese
neue Technik Mittel für
eine flexible Struktur eines PCN, indem sie leichte und praktisch
sofortige Änderungen
in seiner Mitgliedschaft erlaubt. Weiterhin erlaubt sie die Bewahrung
ausreichender Sicherheit in einer Umgebung, wo ein Computer ein
Mitglied mehrerer PCN mit unterschiedlichen Sicherheitserfordernissen
sein könnte.
Bei Verwendung des beschriebenen Konzepts wird ein geschützter Rechner zu
einem „beweglichen
Ziel" für die möglichen
Eindringlinge, wobei seine Cyberkoordinaten periodisch geändert und
die neuen Koordinaten nur nach „Wissensbedarf" den anderen Mitgliedern
des PCN übermittelt
werden, die für
den Zugriff auf diesen Computer zusammen mit zutreffenden Routern
und Gateways berechtigt sind. Diese Änderung von Cyberkoordinaten
kann entweder nach vorheriger Verabredung oder durch Übermitteln
zukünftiger
Adressen an die berechtigten Mitglieder vor der Änderung durchgeführt werden.
Eine akzeptable Häufigkeit
einer derartigen Änderung
kann von einem niedrigen Extremwert, wenn ein stationäres System
Cyberkoordinaten nur bei Erkennung einer Cyberattacke ändert, zu
einer äußerst hohen
Häufigkeit
wie Änderung bei
jedem Paket reichen. Die zukünftigen
Koordinaten können
entweder verschlüsselt
oder unverschlüsselt übertragen
werden. Weiterhin kann jede Positionsänderung jedes PCN-Mitglieds
hinsichtlich sowohl ihrer gegenwärtigen
Cyberkoordinaten als auch der Zeit der Koordinatenänderung
zufallsmäßig gemacht
werden. Diese Parameter der Cyberbewegungen eines geschützten PCN-Mitglieds
sind nur der PCN-Verwaltung, anderen PCN-Mitgliedern mit Berechtigung
zur Kommunikation mit diesem bestimmten Mitglied und entsprechenden
Gateways und Routern bekannt. von der PCN-Verwaltung würden periodische
Cyberkoordinatenänderungen
für alle
Mitglieder des PCN implementiert und koordiniert werden. Während die
PCN-Verwaltung der logische Partner für die Durchführung aller
Benachrichtigungen der Cyberkoordinatenänderungen ist, könnte es unter
gewissen Umständen
vorteilhaft sein, einen Teil dieser Aufgabe einem PCN-Mitgliedcomputer
selbst zu übergeben.
Mit gewissen Begrenzungen befinden sich die Router und Gateways
mit dem „Wissensbedarf" der gegenwärtigen Adresse
des geschützten Computers
in der allgemeinen Nähe
des geschützten Computers
im Cyberraum. In solchen Fällen
wäre der geschützte Computer
besser in der Lage, die erwähnten
Benachrichtigungen von Routern und Gateways in der Nähe durchzuführen.
-
Die
Adressenänderungen
könnten
gleichzeitig für
alle Mitglieder des PCN oder getrennt durchgeführt werden, besonders wenn
sich die Sicherheitserfordernisse für die Mitglieder bedeutend
unterscheiden. Das letztere Verfahren ist vorteilhaft, wenn beispielsweise
einige der Computer im PCN ein wahrscheinlicheres Ziel für mögliche Eindringlinge
als andere sind. Ein Einzelhandels-Bank-PCN könnte ein Beispiel einer solchen
Anordnung sein, wo der Computer der Bank viel wahrscheinlicher als
der Computer eines Kundens angegriffen wird. Es ist zu beachten,
daß, während in
gewissen Fällen
einige Mitglieder des PCN möglicherweise überhaupt
keinen Schutz erfordern, es trotzdem klug ist, Schutz zu bieten,
solange wie der Computer zu einem geschützten PCN gehört. Die
richtige „Signatur" der gegenwärtigen „Rückadresse" würde als
zusätzliche
Berechtigungsbestätigung
dienen. In dem obigen Beispiel des Einzelhandels-Bankdiensts würde, während die Computer
vieler Kunden möglicherweise
keinen Schutz erfordern, die Zuweisung veränderlicher Adressen zu diesen
als zusätzliche
Versicherung für die
Bank dienen, daß jede
Anmeldung berechtigt ist. In der Tat bietet dieses System automatisch
eine zweistufige Sicherheit. Um einen geschützten Computer zu erreichen,
muß der
Klientencomputer die gegenwärtige
Cyberadresse des Servercomputers an erster Stelle wissen. Selbst
wenn dann ein möglicher Eindringling
wider Erwarten die richtige gegenwärtige Adresse „trifft", wird das Informationspaket
auf die richtige „Signatur" oder Rückadresse überprüft. Wenn
diese Signatur nicht zu der Liste der gegenwärtigen Adressen des PCN gehört, wird
das Paket zurückgewiesen.
In Fällen
hoher Sicherheit sollte dies eine ungeplante Adreßänderung
des geschützten
Computers auslösen.
-
Bezugnehmend
auf 5 und 6, die dieses zweischichtige
Sicherheitssystem darstellen, stellt eine Netzverwaltungseinheit 44 unterschiedliche
einmalige Cyberkoordinaten für
die Adreßbücher für jeden
Computer im System bereit (wobei zwei Computer 12 und 14 mit
Adreßbüchern 22 bzw. 46 dargestellt
sind). Wenn nun der Computer 12 ein Datenpaket zum Computer 14 sendet, überprüft der Gateway-Router
oder die Brücke 16 zuerst
die richtige gegenwärtige Zieladresse
für den
Computer 14 bei 26 auf die oben beschriebene Weise.
Wenn die Zieladresse richtig ist, überprüft ein Ursprungsadressensensor 48 bei 50,
ob die richtige Ursprungsadresse (d.h. Rückadresse) für den Computer 12 ebenfalls vorhanden
ist. Wenn beide richtigen Adressen vorhanden sind, wird das Datenpaket
zum Computer 14 bei 28 weitergegeben, aber wenn
die richtige Ursprungsadresse nicht vorhanden ist, wird das Datenpaket
zum Sicherheitsanalyseteil 30 weitergegeben, wo bei 32 bestimmt
wird, ob eine richtige Ursprungsadresse innerhalb der annehmbaren
Anzahl von Anmeldeversuchen empfangen worden ist. Wenn die richtige
Rückadresse
nicht empfangen wird, wird bei 36 eine Alarmsituation aktiviert
und das Netzverwaltungssystem veranlaßt bei 38 die Änderung
der Cyberadresse des Computers 14.
-
Zusätzlich zur
Erkennung von Eindringen (Eingriff) und Schutz dagegen bietet das
obige System eine Echtzeiterkennung einer Cyberattacke und Schutz
gegen „überflutende" Denial-of-Service-Attacken
(Diensteverweigerungsattacken). Durch einen Gateway-Router oder
eine Brücke 16 werden
alle falsch adressierten Pakete ausgefiltert, wodurch gegen „Überflutung" geschützt wird.
Da das „Adreßbuch" des geschützten Netzes
weiterhin nur verläßliche Ziele
enthält,
schützt
dieses System auch gegen Anweisungsviruse oder -würmer, wenn
solche vorhanden sind oder in das Netz eingeführt werden. Für die Zwecke
der vorliegenden Erfindung wird ein Anweisungsvirus oder -wurm als
eine in ein Computersystem eingeführte Software-Fremdeinheit
definiert, so daß sie
gewisse Computerdaten zu sonst unberechtigten Parteien außerhalb
des Systems sendet.
-
Elemente
des oben beschriebenen Systems sind ein Gateway-Router oder eine
Brücke 16,
eine Computerschutzeinheit und eine Verwaltungseinheit. Ein Gateway-Router oder eine
Brücke
stellt ein Element der Gesamtverteidigung für das Netz dar, während das
Ursprungs adreßfilter
und der „Port-Router" und das Filter eine
Einheit einzelner Verteidigung für einen
Mitgliedscomputer darstellt. Diese Einzelverteidigungseinheit (Servereinheit)
kann entweder als freistehender Computer, als eine Karte im geschützten Computer,
als Software im geschützten
Computer oder eingebettet in das Betriebssystem des geschützten Computers
implementiert sein. Zur weiteren Verbesserung der Gesamtsicherheit
können
Anschlußzuweisungen
selbstständig
von der Verwaltungseinheit aus erzeugt werden, wodurch in einem kryptographischen
Sinn ein System mit „zwei
Schlüsseln" erstellt wird. Dadurch
könnte
die Sicherheit noch vorhanden sein, selbst wenn auf Sicherheitsverwaltungsebene
eine Sicherheitsverletzung stattfand.
-
Durch
das Verfahren und System der vorliegenden Erfindung wird die menschliche
Beteiligung am System minimiert. Das System kann so konfiguriert
werden, daß Computerbenutzer
sich nur mit einfachen Kennungen oder Namen befasen, die permanent
jedem Computer im Netz zugewiesen sind. Alle echten (gegenwärtigen)
Cyberkoordinaten können getrennt
gespeichert und für
den Benutzer unzugänglich
sein und könnten
nur den zutreffenden Computern zur Verfügung stehen. Durch diesen Ansatz
wird sowohl Sicherheit verbessert als auch dieses Sicherheitssystem
für den
Benutzer transparent gemacht. Der Benutzer befaßt sich nur mit der einfachen
alphabetischen Seite des „Adreßbuchs" und kümmert sich
nicht um die interne Arbeitsweise des Sicherheitssystems. Ein Telefonäquivalent
dieses Aufbaus sind elektronische weiße Seiten, die in einem Rechner
gestützten
Telefonapparat resident sind, die automatisch von der Fernsprechgesellschaft
aktualisiert werden. Der Benutzer muß nur einen Namen finden und
den Knopf „Anschalten" drücken, während der
Telefonapparat die übrige
Arbeit vollbringt.
-
Für die besprochenen
Sicherheitszwecke könnte
relativ leicht ein numerisches Cyberadreßsystem auf Grundlage der Internet-Hostnummer
benutzt werden, jedoch besteht für
dieses Adreßsystem
in seiner gegenwärtigen,
durch das Protokoll IPv.4 dargestellten Form eine Begrenzung. Diese
Begrenzung beruht auf der Tatsache, daß die Adresse durch eine 32
Bit-Nummer dargestellt ist. Das 32-Bit-Format enthält nicht
genügend
Entropie im Adreßsystem,
um die Herstellung ausreichender Sicherheit zu ermöglichen.
Dies ist eine besonders ernsthafte Begrenzung hinsichtlich des Sicherns
eines gesamten Netzes. Die Verfügbarkeit
der Netznummern ist dahingehend begrenzt, daß es bei der schnellen Erweiterung
des Internets immer schwieriger wird, nicht nur Entropie sondern
auch eine einfache permanent zugewiesene Nummer zu erhalten.
-
Wenn
dieses Adreßsystem
für Sicherheitszwecke
benutzt werden soll, dann müßte das
Format der Hostnummer ausreichend erweitert werden, um eine genügende Größe des Adreßnummernfelds
im System zu erstellen. Wenn dies geschieht, dann könnte die
entsprechende Adresse im DNS-System (Domain Name System) zweckdienlich
als permanente Kennung für
einen bestimmten Computer benutzt werden und die Internet-Hostnummer
wäre variabel,
wodurch ein beweglicher Betriebszustand eines geschützten Computers
erstellt würde.
Mit dem gegenwärtig
implementierten Protokoll IPv.6 (IPNG) wird dieses Problem gelöst, indem
genügend
Entropie bereitgestellt wird.
-
Ein
weiterer Weg, dasselbe Ziel zu erreichen, besteht in der Verwendung
der DNS-Adresse als eine Variable für Sicherheitszwecke. Auf diese Weise
würde das
herkömmliche
Internet-DNS-Adreßsystem
nicht beeinflußt
werden und es wäre
keine Formatänderung
erforderlich. Der entsprechende Teil der DNS-Adresse des geschützten Computers
würde zu
einer Variablen werden, die mehr Zeichen als das Alphabet benutzt,
mit einer sehr großen Anzahl
von Variationen, wodurch ebenfalls eine genügende Entropiehöhe erzeugt
würde.
-
Ein
weiterer Weg zum Implementieren des gleichen Verfahrens besteht
in der Nutzung des auf der geographischen Zone basierenden Systems. Während dessen
Nutzung etwas dem DNS-System ähnelt,
bietet es einige praktische Vorteile für Sicherheitsverwendung. Wenn
ein Computer durch ein Sicherheitssystem geschützt ist, ist es natürlich immer von
wesentlicher Bedeutung, die Kommunikationsredundanz der Internet-Kommunikation
zu bewahren. Die Redundanz kann jedoch leiden, wenn nur eine begrenzte
Anzahl der Router und Gateways über
die gegenwärtige
Cyberadresse des geschützten
Computers informiert werden. Dieser Effekt könnte bei Mitgliedern eines
bestimmten geschützten
Netzes, das geographisch enorme Distanzen aufweist, von besonderer
Bedeutung sein. Die notwendige Benachrichtigung einer großen Anzahl
der Router und Gateways kann auch problematisch werden, nicht nur
technisch, sondern auch da dadurch die Sicherheitshöhe verringert
werden kann. In diesem Sinn bietet ein auf einer geographischen
Zone basierendes System Vorteile, da bewirkt werden könnte, daß der variable
Teil der Cyberadresse des Computers nur gewisse geographische Umgebungen
umfaßt, während die
anfängliche
Wegeleitung des Informationspakets auf traditionelle Weise durchgeführt werden
könnte.
Nachdem das Paket in die allgemeine Nähe des adressierten Computers
verlegt worden ist, würde
es in den Bereich der „informierten" Router und Gateways
gelangen. Durch dieses Schema würde
der Benachrichtigungsvorgang der Router vereinfacht werden und die
Sicherheit verbessert werden, indem die Anzahl der Teilnehmer mit „Wissensbedarf" begrenzt wird. Es
ist wichtig, zu erkennen, daß, nachdem
das Informationspaket durch den „allgemeinen" Teil der Cyberadresse
in einer Cyber-Nähe des
Adressaten angekommen ist, praktisch jedes beliebige, sogar private
Adreßsystem
für den
Rest der Abgabe benutzt werden kann. Dadurch würde die Höhe der Grundentropie im System
weiter gesteigert.
-
Während gewisse
spezifische Adreßsysteme
besprochen worden sind, besteht eine wichtige Qualität der vorliegenden
Erfindung darin, daß sie
mit praktisch jedem beliebigen Adreßsystem implementiert werden
kann.
-
Firmen-
und Organisations-Computernetze wie beispielsweise LAN, oder zumindest
diejenigen in geschlossenen Konfigurationen, besitzen nicht soviel
Anfälligkeit
für Cyberattacken
wie auf dem Internet basierende Netze. Selbst in diesen Fällen ist
jedoch ihre Sicherheit gegen entfernten Zugriff von Belang. Dies
ist besonders sichtbar, wenn ein Privatnetz (PN) Informationen von
unterschiedlichen Graden von Vertraulichkeit enthält, wobei
Zugriff auf die entsprechenden Parteien beschränkt ist. Anders gesagt kann
ein Organisations-PN zusammen mit anderen allgemein zugänglichen
Organisationsinformationen Informationen enthalten, die auf gewisse
begrenzte Gruppen beschränkt
sind. Durchsetzung dieser Beschränkungen
erfordert ein Fernanschluß-Sicherheitssystem.
Diese Sicherheitssysteme benutzen gewöhnlich ein auf einem Paßwort basierendes
Schema einer Art oder einer anderen und möglicherweise eine Firewall.
Sich auf Paßwörter zu
verlassen kann jedoch möglicherweise
nicht vollständig
gerechtfertigt sein, da die Paßwörter verloren
oder gestohlen werden können,
wodurch einem böswilligen
Insider mit niedriger Zugangsstufe eine ziemliche Chance von Zugriff
auf Informationen gewährt
wird, die nur für höhere Zugriffsstufen
bestimmt sind. Weiterhin ist in einigen Fällen die Verwendung von Knackverfahren aus
einer solchen Position nicht vollständig unsinnig. Mit einem solchen
Vorkommnis können
sowohl das Paßwort
als auch die Firewall relativ leicht überwältigt werden. Dadurch würde ein
LAN an einer von innerhalb des Netzes ausgelösten Cyberattacke gehindert werden.
-
Durch
die vorliegende Erfindung wird solchen PCN ohne Verlaß auf die
Paßworte
ausreichende Sicherheit geboten und Zugang nur auf zutreffende Computer
begrenzt werden. Dann würde
die Aufgabe der gesamten Informationszugriffssicherheit praktisch
auf die Steuerung des physikalischen Zugangs zu einem bestimmten
Computer konzentriert sein, was gewöhnlich nicht so kompliziert
ist.
-
Ähnlich den
für auf
dem Internet basierende Netze beschriebenen Systemen kann ein „geschlossenes" LAN wie auch ein
auf dem Internet basierendes LAN durch Implementierung von periodischen Änderungen
der Netzadressen der Mitglieder und Übermitteln dieser Änderungen
zu den entsprechenden Teilnehmern geschützt werden. Auf diese Weise würden Computer
mit der niedrigsten Zugangsstufe die geringste Adreßänderungsrate
aufweisen. Die Adreßänderungsrate
würde mit
der Zugangsstufe ansteigen. Durch dieses System würde sichergestellt werden,
daß alle
PCN-Computer mit legitimem Zugang zu einem bestimmten Computer im
PCN über seinen
Standort informiert sein würden.
Weiterhin wird dadurch sichergestellt, daß der gegenwärtige Standort
eines Computers mit beschränkten
Informationen den Teilnehmern ohne die legitime Zugangsgenehmigung
unbekannt sein würde.
Beispielsweise würde
ein Computer eines Vorgesetzten in der Lage sein, auf den Computer
seines Untergebenen zuzugreifen, aber nicht umgekehrt.
-
Ebenfalls ähnlich den
für die
PCN beschriebenen Systemen würde
ein PCN-Computer ein „Adreßbuch" enthalten, wo der
Benutzer nur die permanente Seite davon sehen und benutzen kann,
wobei die Kennungen aller Computer für ihn zugänglich sind, während die
eigentlichen Kommunikationsfunktionen vom Computer unter Verwendung
der variablen Seite des „Adreßbuchs" durchgeführt werden,
die periodisch von der PCN-Verwaltung aktualisiert wird. Um die
Sicherheit weiter zu verbessern, kann zusätzlich zu der Computeradreßsystemverwaltung
der PCN-Verwalter ein automatisches Sicherheitsüberwachungssystem implementieren,
wo alle falsch adressierten Anmeldedeversuche registriert und für Sicherheitszwecke
analysiert werden würden.
-
So
würde das
Verfahren und System der vorliegenden Erfindung einen zuverlässigen Schutz
gegen unberechtigten Fernzugriff auf Informationen von innerhalb
eines PN ermöglichen
und dabei ein großes
Maß an
Flexibilität
bereitstellen, wo der gewährte Zugang
leicht und schnell revidiert werden kann.
-
Ein
sehr verbessertes Aufschalteschutzsystem und -verfahren kann durch
Kombinieren der Betriebssysteme der 1–6 erreicht
werden. Nun würde
ein ankommendes Datenpaket zuerst durch einen Gateway-Router oder ähnliche
Vorrichtung auf eine richtige Zieladresse überprüft werden. Wenn die Zieladresse
richtig ist, wird das Paket zur Weiterverarbeitung weitergeleitet.
Wenn die Zieladresse falsch ist, wird der Alarm ausgelöst und das
Paket zur Sicherheitsanalyse zur Netzsicherheitsverwaltungseinheit
weitergegeben.
-
Das
Paket mit der richtigen Zieladresse wird dann auf eine richtige
Ursprungsadresse überprüft. Wenn
die Ursprungsadresse richtig ist, wird das Paket zum Empfangscomputer
weitergegeben. Wenn die Ursprungsadresse falsch ist, wird der Alarm
ausgelöst
und das Paket wird zur Sicherheitsanalyse zur Netzsicherheitsverwaltungseinheit
weitergegeben.
-
Dann
wird das Paket mit einer richtigen Zieladresse und einer richtigen
Ursprungsadresse auf eine richtige zulässige Anschlußkoordinate
wie beispielsweise Anschlußnummer überprüft. Wenn
die Anschlußkoordinate
richtig ist, wird das Paket zur Weiterverarbeitung weitergegeben.
Wenn die Anschlußkoordinate
falsch ist, wird der Alarm ausgelöst und das Paket zur Sicherheitsanalyse
zur Netzsicherheitsverwaltungseinheit weitergegeben.
-
Abschließend wird
das Paket mit einer richtigen Ziel- und Ursprungsadresse und einem richtigen Anschlußbezeichner
durch Anwendung von Authentifizierungsprüfung wie beispielsweise einer
Prüfsumme
auf Datenintegrität überprüft. Wenn
die Authentifizierungsprüfung
bestanden ist, wird das Paket zum adressierten Computer weitergegeben.
Wenn die Authentifizierungsprüfung
nicht bestanden ist, wird der Alarm ausgelöst und das Paket wird zur Sicherheitsanalyse
zur Netzsicherheitsverwaltungseinheit weitergegeben.
-
Von
der Sicherheitsverwaltungseinheit werden alle Alarme analysiert
und Entscheidungen über notwendige
ungeplante Adressenänderungen
für entsprechende
Netzserver getroffen. Auch kann sie Vollzugsbehörden benachrichtigen und die
entsprechenden Daten an sie weitergeben.
-
7 zeigt
ein allgemein bei 52 angezeigtes verbessertes Computer-Aufschalteschutzsystem
für einen
oder mehrere Netzcomputer 54. Ein Gateway-Router oder eine
Brücke 58 enthält ein Zieladressenfilter 60,
das Datenpakete empfängt,
die über
einen an einen parallelen Router 72 angekoppelten Lastverteilungsschalter 62 eingehen.
In einem nicht abfragbaren Netzadreßbuch 64 sind gegenwärtige Netzserveradressen
für das
Zieladressenfilter 60 gespeichert und das Zieladressenfilter überprüft jedes
Datenpaket auf Vorhandensein einer legitimen Zieladresse.
-
Pakete
mit legitimen Zieladressen werden an ein Ursprungsadressenfilter 66 weitergeleitet,
während
Pakete mit illegitimen Zieladressen an einen Sicherheitsanalyseteil 68 in
einer Verwaltungseinheit 70 gesendet werden.
-
Wenn
eine voreingestellte Verkehrsbelastungshöhe erreicht wird, was anzeigt,
daß ein Überflutungsversuch
durchgeführt
wird, veranlaßt
das Zieladressenfilter, daß der
Lastverteilungsschalter 62 den Verkehr auf einen oder mehrere
parallele Gateway-Router oder Brücken
verteilt, die zusammen legitimen Verkehr weiterleiten und den Überflutungsverkehr
abwerfen. Bei einer alternativen Anordnung würde die Lastverteilungsfunktion
ungeachtet der Last unter Verwendung aller parallelen Gateways die gesamte
Zeit durchgeführt
werden. In einer Ursprungsadressentabelle 74 sind Bezeichner
des zugänglichen
Servers und entsprechende gegenwärtige
Adressen für
alle Systemserver gespeichert, die legitimen Zugang zu dem oder
den Computern 54 haben können. Auf diese Adressen wird
durch das Ursprungsadressenfilter zugegriffen, das bestimmt, ob ein
ankommendes Datenpaket mit der richtigen Zieladresse von einer Quelle
mit einer legitimen, in der Ursprungsadressentabelle 74 eingetragenen
Ursprungsadresse stammt. Wenn bestimmt wird, daß die Ursprungsadresse legitim
ist, wird das Datenpaket an ein Anschlußadressenfilter 76 weitergegeben. Datenpakte
mit illegitimer Ursprungsadresse werden zum Sicherheitsanalyseteil 68 geleitet.
Als Alternative kann Ursprungsadressenüberprüfung zuerst am Gateway-Router
oder der Brücke 58 vor
dem Anschlußfilter 76 durchgeführt werden.
-
Eine
Anschlußschutztabelle 78 enthält die gegenwärtigen Anschlußzuweisungen
für den
oder die Computer 54 und auf diese Anschlußzuweisungen
wird durch das Anschlußbezeichnerfilter 76 zugegriffen,
was dann bestimmt, ob ein ankommendes Datenpaket eine legitime Anschhußbezeichnung
enthält.
Wenn ja, dann wird es an einen Umsetzer der eigentlichen Adresse 80 weitergegeben,
der das Datenpaket zu dem oder den bestimmten Computer oder Computern 54 weiterleitet,
die das Paket empfangen sollen. Wenn vom Anschlußadressenfilter 76 eine illegitime
Anschlußadresse
vorgefunden wird, wird das Datenpaket zum Sicherheitsanalyseteil 68 übertragen.
-
Die
Verwaltungseinheit 70 unterliegt der Steuerung eines Sicherheitsverwalters 82.
In einer Netzmitgliedschaftshauptdatei 84 ist eine Hauptliste von
Bezeichnern legitimer Server zusammen mit jeweiligen berechtigten
Zugangslisten und entsprechenden gegenwärtigen Cyberkoordinaten gespeichert.
Der Sicherheitsverwalter kann die Hauptliste durch Zufügen oder
Entfernen von berechtigtem Zugriff für jeden geschützen Computer
aktualisieren. Eine Zugangsberechtigungseinheit 86 verteilt
die aktualisierten entsprechenden Teile der Hauptlisten an die Adreßbücher der
jeweiligen berechtigten Server.
-
Von
einem Zufallszeichengenerator 88 werden Zufallszeichen
zur Verwendung beim Bilden von gegenwärtigen Anschlußbezeichnern
erzeugt und diese Zeichen für
einen Anschlußbezeichnerbildungsblock 90 bereitgestellt.
von diesem Anschlußbezeichnerbildungsblock
wird die nächste
Menge von gegenwärtigen
Anschlußbezeichnern
des Netzes in Verbindung mit der Hauptliste gebildet und diese werden
zur Übertragung
durch einen Anschlußtabellenblock 92 aufgenommen.
Als Alternative können Anschlußbezeichner
statt in der Verwaltungseinheit in der Computereinheit gebildet
werden.
-
Auf ähnliche
Weise erzeugt ein Zufallszeichengenerator 94 Zufallszeichen
zur Verwendung beim Bilden gegenwärtiger Serveradressen und stellt diese
Zeichen für
einen Serveradreßbildungsblock 96 bereit.
Dieser Serveradreßbildungsblock
bildet die nächste
Menge gegenwärtiger
Netzserveradressen und von einer Adreßtabelle 98 werden
auf der Hauptliste bezeichneten Servern Adressen zugewiesen.
-
Von
einem Koordinator/Dispatcher-Block 100 wird die geplante
Verlegung von Netzservern zu ihren nächsten gegenwärtigen Adressen
koordiniert, die nächste
Menge von Netzadressen für
entsprechende Server und Router bereitgestellt und ungeplante Änderungen
von Adressen auf Befehl von der Sicherheitsanalyseeinheit 68 koordiniert.
Der Koordinator/Dispatcher-Block 100 kann mit Codier-/Decodierblock 102 verbunden
sein, der empfangene Adreßbuchaktualisierungen
vom Eingang 104 decodiert und neue, an berechtigte Server
im System über den
Ausgang 106 zu sendende Anschluß- und Serverzieladressen codiert.
Wenn Codierung neuer Cyberkoordinaten benutzt wird, weist jeder
berechtigte Computer im Netz eine ähnliche Codier-/Decodiereinheit
auf.
-
Von
der Sicherheitsanalyseeinheit 68 werden empfangene illegitime
Datenpakete analysiert und Angriffsversuche erkannt. Wenn nötig, weist
die Sicherheitsanalyseeinheit den Koordinator/Dispatcher-Block 100 an,
eine ungeplante Adreßänderung bereitzustellen
und leitet die Angriffsdatenpakete an eine Untersuchungseinheit 108 um.
Diese Untersuchungseinheit simuliert den Zielserver, indem sie einen
Dialog mit dem Angreifer unterhält,
damit Sicherheitspersonal eingreifen und den Fortschritt des Angreifers
verfolgen kann, während
es den Ursprung der Attacke zurückverfolgt.
-
Bereitstellung
von Sicherheit gegen Eindringen für elektronische Geschäftsverkehrssysteme bietet
ein einmaliges Problem, da eine wichtige Eigenschaft eines elektronischen
Geschäftsverkehrssystems
darin besteht, daß seine
Adresse öffentlich bekannt
sein muß.
Dieser Aspekt widerspricht dem Erfordernis, daß die Adresse nur berechtigten
Teilnehmern bekannt sein soll. Die einzigen für die allgemeine Öffentlichkeit
bestimmten Informationen beziehen sich jedoch gewöhnlich auf
einen Firmenkatalog und ähnliches
Material. Die übrigen Informationen
auf einem Händlernetz
werden gewöhnlich
als privat erachtet und sollten daher geschützt werden. Bei Verwendung
dieser Unterscheidung sollte der Standort des elektronischen Geschäftsverkehrs
eines Händlers
in zwei Teile: den öffentlichen
und den privaten aufgespalten sein. Der öffentliche Teil wird auf einem öffentlichen „Katalog-„ Server
mit fester IP-Adresse aufgesetzt und sollte nur für die allgemeine Öffentlichkeit
bestimmte Informationen enthalten. Die übrigen Firmeninformationen
sollten in ein getrenntes Netz plaziert und wie in bezug auf 1–7 beschrieben
geschützt
werden.
-
Wenn
ein Kunde seinen Einkauf abgeschlossen und Kaufentscheidungen betreffs
der Bedingungen und des Preises des Verkaufs bezüglich der Transaktion getroffen
hat, werden Informationen in ein getrenntes Register gelegt. Dieses
Register wird periodisch von einem Server abgesucht, der Finanztransaktionen
behandelt („Finanz-„ Server),
der zum geschützten
Firmennetz gehört.
In der Tat kennt der „Katalog-„ Server
nicht die gegenwärtige
Adresse des Finanztransaktionsservers. Selbst wenn ein Eindringling
in den „Katalog-„ Server
eindringt, ist daher der Schaden auf den Inhalt des Katalogs begrenzt und
der Eindringling kann keinen Eintritt in das geschützte Firmennetz
erlangen.
-
Nachdem
der Finanz-Server anhängige Transkationsdaten
empfangen hat, tritt er mit dem Kunden in Verbindung und bietet
einen zeitweiligen Kurzzeitzugang zum Abschließen der Transaktion an. Anders
gesagt wird dem Kunden Zugang nur lange genug gewährt, um
entsprechende Finanzdaten wie beispielsweise eine Kreditkartennummer
zu übermitteln
und eine Transaktionsbestätigung
zu empfangen, zu welchem Zeitpunkt die Sitzung abgeschlossen und
der Kunde zum Katalog-Server zurückgeleitet
und der Finanz-Server zu einer neuen Cyberadresse verlegt wird,
wodurch erlangte Kenntnis seines Standorts während der Transkation nicht mehr
aktuell ist.
-
Kommunikationswählsysteme
können
hinsichtlich der Anfälligkeit
ihrer Infraktrukturkanäle
für Übertragungsabfang
durch unverwandte Parteien in zwei breite Kategorien getrennt werden:
leicht abhörbar,
wie beispielsweise Mobilfunk- und Satellitenfunksysteme, und relativ
geschützt,
wie beispielsweise herkömmliche,
auf Festleitung basierende Telefonsysteme. Relativ geschützte Systeme
wie beispielsweise herkömmliche
auf Festleitung basierende Telefonsysteme können auf folgende Weise geschützt werden.
Von einer Fernsprechgesellschaft einem auf Telefon basierenden privaten
Wählnetz
zugewiesene Telefonnummern dienen als Computeradressen für die Mitglieder.
Wie schon beschrieben kann ein solches Privatnetz durch Implementieren von
periodischen Änderungen
der Adressen, d.h. den Mitgliedern zugewiesenen Telefonnummern zur Übertragung
durch das Netz zusammen mit anderen Bezeichnern wie beispielsweise
Zugangscodes, und Übermitteln
der geänderten
Nummern zu den entsprechenden Teilnehmern, gegen unberechtigten Fernzugang
geschützt
werden.
-
Während der
Anschluß der „letzten
Meile" für die herkömmlichen
Festleitungs-Telefonwählsysteme
konstant bleibt, wird die zugewiesene Telefonnummer periodisch geändert, wodurch
der entsprechende Computer für
einen möglichen
Angreifer zu einem Bewegziel wird. In diesem Fall dient die Fernsprechgesellschaft
als Sicherheitssystemverwalter. Sie weist die gegenwärtigen variablen
Telefonnummern den Mitgliedern eines geschützten Privatnetzes zu, benachrichtigt
alle zutreffenden Teilnehmer und ändert die gegenwärtigen Nummern
der Mitglieder in eine neue Menge zu einer entsprechenden Zeit.
Die Vermittlungen der Fernsprechgesellschaft dienen auf natürliche Weise
in der Rolle von Routern und können
daher programmiert werden, um die System überwachung durchzuführen, mögliche Aufschalteangriffe
zu erkennen und entsprechende Alarme auszugeben.
-
Durch
periodisches Ändern
der gegenwärtig zugewiesenen
Nummern wird Systementropie für
einen möglichen
Eindringling geschaffen, wodurch unberechtigter Zugang schwierig
wird. Es ist klar, daß die
Implementierung dieses Sicherheitssystems von der Verfügbarkeit
genügender
freier Nummern an einer bestimmten Einrichtung der Fernsprechgesellschaft
abhängig
ist. Weiterhin ist es aus verschiedenen praktischen Gründen ratsam,
eine eben freigegebene Nummer für
eine gewisse Zeitdauer unzugewiesen zu halten. All dies kann zusätzliche
Nummernkapazität
an der Einrichtung der Fernsprechgesellschaft erfordern, damit sie
für eine
größere Anzahl
von persönlichen
Netzen Fernzugangssicherheit bieten und dabei eine komfortable Höhe an Systementropie
bewahren kann.
-
Wenn
die erwähnte
zusätzliche
Kapazität nicht
zur Verfügung
steht oder ein noch höherer
Entropiegrad gewünscht
wird, könnte
sie künstlich durch
Zufügen
eines Zugangscodes zu der zugewiesenen Nummer erhöht werden.
Das würde
die Zufügung
einer virtuellen Kapazität
zum System bedeuten und eine Kombination der Telefonnummer und des
Zugangscodes zu einem Äquivalent
der Telefonadresse eines Computers machen. Im Effekt würde dadurch
eine gewählte
Nummer größer als
das herkömmliche
Format werden. Durch dieses Verfahren wird eine virtuelle Nummernkapazität praktisch
unbegrenzt und da das Verfahren von Computern ohne menschliche Beteiligung
gehandhabt wird, sollte es keinen zusätzlichen Aufwand für einen
Benutzer bedeuten. Mit oder ohne virtuelle Nummernkapazität erlaubt
die Nutzung dieses Verfahrens eine leichte Identifizierung der Aufschalteversuche
durch ihre falsche Nummer und/oder ihren falschen Code. Zur gleichen
Zeit könnte
die Implementierung dieses Systems einige Änderungen der Wählprotokolle
wie auch zusätzliche
Fähigkeiten
der Telefonvermittlungseinrichtung erfordern.
-
Die
Entropiedichte kann durch Begrenzen der Anzahl zulässiger Verbindungsversuche
erhöht werden. Ähnlich wie
bei dem schon beschriebenen Verfahren kann bewirkt werden, daß die Vermittlungseinrichtung
der Fernsprechgesellschaft eine Rolle einer äußeren Sicherheitsbarriere für das Privatnetz
durchführt.
In diesem Fall sollten falsch adressierte Verbindungsversuche analysiert
werden, um mögliches „Sweeping" zu erkennen. Wenn
ein solcher Versuch erkannt wird, sollte die Rückverfolgung des Versuchs und
Benachrichtigung der zutreffenden Fernsprechgesellschaft selbst
mit der bestehenden Technik kein Problem darstellen.
-
Die
einfachste Form von Privatnetzschutz unter dem vorgeschlagenen Verfahren
und System ist, wenn zu einer vorbestimmten Zeit alle Mitglieder eines
bestimmten Netzes auf das neue „Telefonbuch" des Netzes umgeschaltet
werden. In manchen Fällen könnte jedoch
die erforderliche Sicherheitshöhe
für einige
Mitglieder des gleichen Privatnetzes bedeutend unterschiedlich sein
oder sie können
unterschiedlichen Höhen
von Sicherheitsrisiko ausgesetzt sein. In diesen Fällen könnte die
Häufigkeit
der Telefonnummernänderung
einzeln eingestellt werden, mit entsprechender Benachrichtigung
der anderen Mitglieder des Netzes. Durch diese Differenzierung kann die
Fernsprechgesellschaft differenzierte Stufen an Sicherheitsschutz
für ihre
Kunden selbst innerhalb des gleichen Privatnetzes bieten.
-
Auch
kann eine Fernsprechgesellschaft ihren Kunden geschützte Sprachprivatnetze
bieten, die eine höhere
Stufe an Geheimhaltungsschutz als die gegenwärtig benutzten „Geheimnummern" bieten würden. Bei
dieser Konfiguration werden die Telefonapparate der Kunden mit einer
rechnergesteuerten Wählvorrichtung
mit fern aktualisierbarem Speicher ausgerüstet, die jedem Mitglied eines
geschützten Sprachnetzes
erlauben würden,
das „Telefonbuch" des Netzes zu enthalten
und dieses Buch wird periodisch von der Fernsprechgesellschaft aktualisiert.
-
Die
Fernsprechgesellschaft würde
die zugewiesenen Telefonnummern eines geschützten Netzes periodisch auf
eine neue Menge gegenwärtiger Nummern ändern. Diese
neuen Nummern würden den
Mitgliedern eines geschützten
Sprachnetzes durch Aktualisieren ihrer rechnergesteuerten Wählvorrichtungen übermittelt
werden.
-
Als
Derivat des beschriebenen Systems kann auch ein aktualisierbares
elektronisches Telefonverzeichnissystem implementiert werden. In
diesem Fall würde
der Telefonapparat eines Kundes eine rechnergesteuerte Wählvorrichtung
mit elektronischem Speicher enthalten, der ein herkömmliches Telefonverzeichnis
und auch ein persönliches
Verzeichnis enthält.
Dieses Telefonverzeichnis kann periodisch von der Fernsprechgesellschaft
on-line aktualisiert werden.
-
Leicht
abhörbare
Systeme wie beispielsweise Mobilfunk- und Satellitenfunksysteme können zusätzlich zu
dem oben beschriebenen Schutz gegen „Cloning" geschützt werden, wenn ihre Signale
abgefangen und die „Identität" des Telefons geclont
werden kann, um unberechtigten Zugang und Benutzung des Systems
durch unberechtigte Teilnehmer zu erlangen.
-
Mobiltelefon-
und Mobilkommunikationssysteme werden auf ähnliche Weise wie Netze oder
auf Festleitung basierende Telefonsysteme geschützt. In diesem Fall ist das
neuartige und verbesserte verfahren des Änderns von Cyberkoordinaten
zum zuverlässigen
Schützen
von Mobiltelefonsystemen gegen unberechtigte Verwendung ausgelegt,
die gewöhnlich
als Cloning bekannt ist, und auch um das Abhören von drahtlosen Kommunikationen
schwieriger als gegenwärtig
zu machen. Bei diesem System wird die statische Mobiltelefonnumer
oder andere ähnliche Kennung
nicht für
die Identifikation und Authorisierung benutzt. Statt dessen wird
eine Menge privater Kennungen erzeugt, die nur der Fernsprechgesellschaft
und den Mobiltelefonverbindungen steuernden Basisstationen bekannt
sind und dazu benutzt werden, die Mobiltelefon- und Basistationsverzeichnisse
fortlaufend mit gegenwärtigen
gültigen
Kennungen zu aktualisieren. Durch diesen Ansatz wird ein enorm besserer
Schutz gegenüber
gegenwärtigen
Verfahren geboten, indem erforderlich ist, daß jede Verbindung abgefangen
wird, um sich ändernde Kennungen
zu verfolgen und sich über
diese auf dem Laufenden zu halten. Sofortige Erkennung unberechtigter
Versuche zur Verwendung eines geclonten Telefons wird realisiert
und die Vollzugsbehörde
kann echtzeitnahe für
entsprechende Handlung benachrichtigt werden.
-
Durch
die oben beschriebenen Verfahren und Systeme können andere elektronische Vorrichtungen
geschützt
werden, die drahtlose Kommunikation benutzen.
-
Abschließend enthalten
Computer häufig Datenbänke mit
verschiedenen Informationen. Diese Informationen in einer Datenbank
weisen häufig
weitreichende Empfindlichkeitsstufen oder Handelswerte auf. Dadurch
entsteht eine Situation, wo große
Computer mehreren Benutzern mit enorm unterschiedlichen Zugangsstufen
dienen. Weiterhin erfordern selbst innerhalb derselben Zugangsstufe
Sicherheitsbetrachtungen die Aufteilung von Informationen, wo jeder
Benutzer Zugang zu nur einem kleinen Teil der Datenbank haben muß.
-
Mit
den bestehenden Systemen wird versucht, diese Situation durch Verwenden
von Paßworten
und internen Firewalls zu lösen.
Wie schon erwähnt,
reichen auf Paßwort
basierende Systeme und Firewalls nicht gegen rechnergestützte Attacken
aus. Das bedeutet praktisch, daß ein
legitimer Benutzer mit niedriger Zugangsstufe, der Hackermethoden von
seiner Station aus benutzt, möglicherweise selbst
in die geheimsten Bereiche der Datenbank einbrechen kann.
-
Dieses
Problem kann durch Verwenden des Verfahrens der vorliegenden Erfindung
gelöst
werden. Eine Information wie beispielsweise eine Datei oder ein
Verzeichnis in einem Computer besteht im Cyberraum. Dementsprechend
hat sie ihre gewöhnlich
als ein Verzeichnis- und/oder Dateiname ausgedrückte Cyberadresse, die ihre
Position in einem bestimmten Computerdateisystem definiert. Dadurch werden
im Effekt die Cyberkoordinaten dieser Information in einem Computer
dargestellt.
-
Wie
schon beschrieben kann Informationssicherheit bereitgestellt werden,
wenn ein Systemverwalter die Verzeichnisse und/oder Dateinamen im System,
d.h. Cyberadressen der Information, periodisch ändert und nur zutreffende Teilnehmer über die gegenwärtigen Dateinamen
informiert. Durch dieses Verfahren würde sichergestellt werden,
daß jeder
Benutzercomputer nur die Orte von Dateien kennt, auf die er legitimen
Zugriff besitzt. Weiterhin wird ein Benutzer nicht einmal über die
Existenz der Dateien Bescheid wissen, auf die er keinen Zugriff
hat.
-
Um
das System weiter zu verstärken
und benutzerfreundlich zu machen, würde der Benutzer ein persönliches
Verzeichnis ähnlich
einem Adreßbuch besitzen,
wo nur permanente Verzeichnis- und/oder Dateinamen für ihn zugänglich sind,
während
die variable Seite des „Adreßbuchs" nur dem Systemmanager
zugänglich
sein und periodisch aktualisiert werden würde. Bei dieser Anordnung können veränderliche
Verzeichnis- und/oder Dateinamen jede erforderliche Höhe an Entropie
enthalten, wodurch die Widerstandsfähigkeit gegen Attacken von
innerhalb des Systems weiter gesteigert wird. Zusätzlich kann
ein interner „Router" oder „Filter" auch Informationssicherheitsüberwachungsfunktionen
durchführen,
Aufschalteversuche erkennen und entsprechende Alarme in Echtzeit
ausgeben.
-
Es
ist klar, daß,
um Informationssicherheit in einer solchen Anordnung sicherzustellen,
jede computerweite Suche nach Schlüsselworten oder Subjekt deaktiviert
und durch eine Suche in „Adreßbüchern" bestimmter Klienten
ersetzt werden sollte.
-
Die
oben beschriebenen Systeme und Verfahren erlauben die Schaffung
eines durchführbaren Infrastrukturschutzsystems
wie beispielsweise eines nationalen oder internationalen Infrastrukturschutzsystems.
Wenn sie an bestimmten Punkten erkannt werden, werden Cyberattacken
zu einem derartigen System zur weiteren Analyse und eine mögliche Handlung
durch Vollzugsbehörden
verwiesen.