-
HINTERGRUND
DER ERFINDUNG
-
Die
vorliegende Erfindung bezieht sich auf ein Fernmanagement von Netzwerkeinrichtungen.
-
Firewall
ist eine Gruppe von Komponenten, die einen Durchgang bilden zwischen
zwei oder mehreren Netzwerken. Logischerweise ist eine Firewall ein
Durchgang, der gleichzeitig als Konnector und Separator arbeitet
zwischen den Netzwerken in einem Sinn derart, dass die Firewall
den Verkehr verfolgt, der hier hindurch läuft von einem Netzwerk zu einem
weiteren und Verbindungen, und Pakete behindert, die als unerwünscht definiert
werden durch den Administrator des Systems. Physikalisch ist eine Firewall
eine Maschine mit einer entsprechenden Software, um die Aufgaben
auszuführen,
die ihr zugeteilt sind. Es kann sich um einen Router, einen Personalcomputer
(PC) oder sonst eine Einrichtung sein, die für derartige Zwecke zum Einsatz
kommen kann. Obwohl Firewalls meist zum Einsatz kommen, um Local
Area Networks (LANs) anzuschließen,
d.h. interne Netzwerke zum Internet oder zur Steuerung böswilliger
Angreifer oder allgemein unerwünschtem Verkehr,
können
sie auch zum Einsatz kommen, um unterschiedliche Segmente von einem
internen Netzwerk zu Sicherheitszwecken zu trennen oder anzuschließen. Die
Vorteile, eine Firewall zu besitzen sind zahlreich. Sie sichert
das Netzwerk und kann zum Einsatz kommen als Werkzeug zur Überwachung des
Verkehrs, insbesondere von außerhalb
auf das Innere des Netzwerkes, welches durch eine Firewall geschützt wird.
Da der gesamte Verkehr, der zum internen Netzwerk führt, die
Firewall durchlaufen muss, können
sich die meisten der Netzwerk-Sicherheitsvorgänge und -absichten auf diesen
speziellen Punkt konzentrieren. Dies ist natürlich ein Kosten- und Verwaltungsvorteil.
-
Die
Firewall kann jedoch keine wirksame Sicherheit selbständig aufrechterhalten.
Die Firewall muss sorgfältig
installiert und konfiguriert werden und die Sicherheitsabsicht muss
regelmäßig evaluiert und
aktualisiert werden. Die gegenwärtige
Entwicklung in Richtung auf sehr komplizierte Netzwerke, die mehrfache
Schnittstellen haben müssen
mit dem Internet für
VPN (Virtual Private Network), für
den Fernzugang, das e-Geschäft,
die Cache-Surfer usw., stellt zunehmende Anforderungen an Verwaltungsfähigkeiten.
Bei multi-internationalen Gesellschaften muss die Fähigkeit
vorliegen, mehrere Firewalls durch den gleichen Administrator zu
steuern. Es muss auch die Fähigkeit
vorliegen, flexible Möglichkeiten
bereitzustellen hinsichtlich der Sicherheitsmaßnahmen. Zur gleichen Zeit
kann die Notwendigkeit vorliegen für gesellschaftsweite Sicherheitsmaßnahmen,
wobei jedoch an manchen besonderen Stellen auch die Notwendigkeit
vorliegen kann für
bestimmte "zugeschneiderte
Regeln".
-
Da
der menschliche Faktor eine Schlüsselrolle
spielt beim Versagen von Firewalls und Sicherheitsmaßnahmen,
ist es wichtig für
eine Firewall und ein System von Firewalls, leicht administrabel
zu sein. Administratoren sollten auch beschränkt werden auf das Niveau ihrer
Sachkenntnis, so dass sie nicht unbeabsichtigt irgendetwas Schädliches
vornehmen. Nur professionelle und autorisierte Personen sollten
Zugang zu den Firewalls oder Systemen von Firewalls entsprechend
ihrer Sachkenntnis haben. Die Firewalls werden oft verwaltet durch
ein Fernmanagement-System
unter Einsatz einer Netzwerkverbindung und einer gesicherten (verschlüsselten)
Kommunikation. Die Firewall kommuniziert mit dem Management-System und gibt Leistungsfähigkeitsstatistiken,
Statusinformation und Protokolldaten ab, während Absichtsaktualisierungen
und Konfigurationsänderungen
aufgenommen werden.
-
Wenn
immer die Konfiguration, d.h. die Einstellungen oder die Software
von einer Netzwerkeinrichtung geändert
wird, besteht immer das Risiko, dass die Anschlussfähigkeit
verloren geht zwischen einem Fernmanagement-System und der Einrichtung.
Der Grund hierfür
kann beispielsweise in einer Regel liegen, die einen Managementanschluss
an die Firewall verhindert. In den meisten Fällen ist es ein menschlicher
Fehler, der eine derartige Situation erzeugt. Wenn immer die Einrichtung
unter Einsatz eines Netzwerkanschlusses verwaltet wird, bedeutet dies,
dass es nicht möglich
ist, ein Problem zu fixieren unter Einsatz eines Netzwerkanschlusses.
-
Dementsprechend
liegt, um ein Problem zu fixieren, welches den Anschluss des Management-Systems
an eine Netzwerkeinrichtung verhindert, eine Notwendigkeit vor,
eine andere Art und Weise bereitzustellen, welche die Einrichtung
verwaltet. Herkömmlicherweise
war die üblichste
Lösung dieses
Problems ein Konsolenanschluss. Normalerweise bedeutet dies, dass
der Administrator selbst zu der zu verwaltenden Einrichtung hingeht,
um das Problem zu fixieren. Manchmal ist jedoch der Besuch am Einrichtungsort
jedoch kein realistischer Weg, um überhaupt einwirken zu können. Dies
liegt daran, dass die Netzwerkeinrichtung, die zu verwalten ist, sich
in einem anderen Gebäude,
einem anderen Land oder sogar auf einem anderen Kontinent befinden
kann. In einer solchen Situation ist es typisch, dass jemand anderes
das Problem lokal fixieren muss in den meisten Fällen entsprechend einer Instruktion,
die von dem Administrator unter Einsatz eines Telefons oder einer
Fax-Maschine gegeben wird. Auch diese Näherung erfordert die Verfügbarkeit
einer geeigneten Person in der Nähe
der zu verwaltenden Einrichtung, d.h. einer Person, die mit Administratorrechten
betraut und erfahren genug ist, um die Einrichtung zu verwalten.
-
Es
gibt dementsprechend herkömmliche Versuche,
das Problem zu lösen,
indem man sich bemüht,
die Sachkenntnisse zu minimieren, die von einer Person an einer
entfernten Stelle benötigt
werden. Der erste ist ein Puffermodem-Bindeglied, d.h. die Netzwerkeinrichtung
kann zugänglich
gemacht werden, indem man einen Modemruf an eine vorgegebene Telefonnummer
ausführt.
Aus Sicherheitsgründen
ist jedoch das Puffermodem-Bindeglied typischerweise nicht zu jeder
Zeit aktiv. Die Bedienungsperson am entfernten Ort besitzt Instruktionen,
wie das Bindeglied aktiviert wird, d.h. ein Kabel anzuschließen, den
Versorgungsnetzanschluss einzuschalten usw.
-
Ein
zweiter liegt in einer Anordnung, bei welcher eine neue Konfiguration
zunächst
in einem flüchtigen
Speicher (z.B. RAM) innerhalb einer Einrichtung abgespeichert wird,
und dann wird die laufende Konfiguration (d.h. die Konfiguration,
die gegenwärtig
im Einsatz ist) aufrechterhalten in einem dauerhaften nichtflüchtigen
Speicher in der Einrichtung. Dann beginnt man, die neue Konfiguration
in der Einrichtung einzusetzen. Wenn die neue Konfiguration fehlerhaft
ist, ist es möglich,
zu der laufenden Konfiguration zurückzukehren, indem man die Einrichtung
erneut bootet. In diesem Fall muss die Bedienungsperson an dem entfernten
Ort nur die Einrichtung erneut booten. In jedem Fall ist die Verfügbarkeit
einer geeigneten Person in der Nähe
der Einrichtung erforderlich, da die Einrichtung nicht von fern erneut
gebootet werden kann. Ein weiteres Problem bei diesem Versuch liegt
darin, dass es beim Administrator liegt, zu entscheiden, ob die
neue Konfiguration als laufende Konfiguration gespeichert werden soll.
Der Administrator kann die Konfiguration oftmals ändern ohne
die laufende Konfiguration zu verändern. In diesem Fall ist es
möglich,
dass nach einem erneuten Booten die Einrichtung zu einer sehr alten Konfiguration
zurückkehrt,
die nicht der laufenden Situation entspricht. Eine weitere Möglichkeit
liegt darin, dass der Administrator eine neue Konfiguration als
laufende Konfiguration speichert, ohne dass er das entsprechende
Wissen hat, ob die neue Konfiguration korrekt arbeitet oder nicht.
In diesem Fall fixiert ein erneutes Booten der Einrichtung nicht
das Problem einer nicht arbeitenden Konfiguration.
-
Es
leuchtet ein, dass eine Fehlkonfiguration, die verhindert, dass
der Fehler auch nur fixiert ist zu langen Zeitperioden führen kann,
während
welcher das Netzwerk überhaupt
nicht verfügbar
ist. Dies trifft auf alle Netzwerkeinrichtungen zu, die fernverwaltet werden,
und nicht nur auf Firewalls. Bei den Firewalls ist es jedoch höher wahrscheinlich,
derartige Probleme anzutreffen in erster Linie, da die Firewalls
die einzigen Zugangspunkte zu einem Netzwerk sind und ausgelegt
sind, einen Verkehr zu verhindern, der durch den Administrator nicht
gestattet wird. Beispielsweise können
ein Fehler bei der IP-Ansprache, einer Routine, einem Anti-Täuschungsvorgang, einer Netzwerkansprache-Übertragung,
einer VPN- Definitionsregel
oder Bindeglied-Geschwindigkeit oder Modus einer Netzwerkkarte die
beschriebene Situation erzeugen.
-
Die
US-548 244 beschreibt ein Verfahren zur zeitsynchronisierten Rekonfiguration
eines Telekommunikationsnetzwerkes.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Eine
Aufgabe der Erfindung liegt darin, das Risiko zu reduzieren, eine
Management-Anschließbarkeit
zu verlieren aufgrund einer Misskonfiguration der Netzwerkeinrichtung.
-
Diese
Aufgabe der Erfindung wird gelöst
entsprechend der Erfindung durch ein Management-Verfahren, eine
Netzwerkeinrichtung, ein Management-System und computerlesbare Medium entsprechend
der Offenbarung in den Ansprüchen
1, 8, 13, 16 bzw. 17.
-
Weitere
Ausführungsformen
entsprechend der vorliegenden Erfindung werden definiert in den abhängigen Ansprüchen 2–7, 9–12, 14
und 15.
-
Gemäß der vorliegenden
Erfindung wird ein Verlust der Management-Anschlussfähigkeit, nachdem eine Konfiguration
geändert
wurde, überprüft durch
Errichten eines neuen Netzwerkanschlusses an die Einrichtung, nachdem
die Konfigurationsänderungen
in der Einrichtung angelegt wurden. Es ist nach wie vor möglich, einen
neuen Anschluss zu erstellen und das Fernmanagement auszuführen, nachdem
die Konfigurationsänderungen
angelegt wurden, wobei die neue Konfiguration für den dauerhaften Einsatz angenommen
und dauerhaft abgespeichert wurde. Wenn ein neuer Anschluss nicht hergestellt
wird und die neue Konfiguration innerhalb einer vorgegebenen Zeitgrenze
vom Beginn des Anlegens der neuen Konfiguration angenommen wurde, dann
kehrt die verwaltete Einrichtung automatisch zurück zum Einsatz der zuvor abgespeicherten
Konfiguration. Die automatische Rückkehr zum Einsatz der alten
Konfiguration stellt auch die Anschlussfähigkeit an das Management-System
wieder her und macht es hierdurch möglich, den Fehler zu fixieren. Somit
wird die Auswirkung von menschlichen Fehlern reduziert. Darüber hinaus
wird im Fall einer Firewall die Verfügbarkeit des Netzwerkes, welches durch
die Firewall geschützt
wurde, verbessert, da ein Fehler in der Konfiguration der Firewall
ein Fixieren der Konfiguration nicht verhindert.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
Die
bevorzugten Ausführungsformen
der Erfindung werden beschrieben unter Bezugnahme auf die beigefügten Zeichnungen.
-
1 illustriert
das Management-System und eine verwaltete Einrichtung,
-
2 ist
ein Programmablaufplan zur Erläuterung
des Betriebes des Management-Systems und
-
3 ist
ein Programmablaufplan zur Erläuterung
des Betriebes der verwalteten Netzwerkeinrichtung.
-
DETAILLIERTE
BESCHREIBUNG DER ERFINDUNG
-
Unter
Bezugnahme auf 1 wird eine Netzwerkeinrichtung 11,
wie etwa eine Firewall durch ein Fernmanagement-System 10 über eine
Netzwerkverbindung typischerweise über Internet verwaltet. Die
Netzwerkverbindung ist vorzugsweise eine abgesicherte Verbindung
und die Kommunikation ist vorzugsweise verschlüsselt. Es ist herauszustellen, dass
jedes geeignete Netzwerk und Kommunikationsprotokoll eingesetzt
werden kann, um die Netzwerkverbindung aufzubauen zwischen dem Management-System 10 und
der verwalteten Einrichtung 11.
-
Es
soll nun angenommen werden, dass der Administrator der Netzwerkeinrichtung 11 Änderungen
in der Konfiguration der Einrichtung 11 ausführen soll.
Diesbezüglich soll
hier die Konfiguration jeglicher Einstellungen oder Software einschließen, die eine
Auswirkung auf den Betrieb der Einrichtung 11 besitzen.
Im Fall der Firewall sind Beispiele der Konfiguration IP-Adressierung,
Routieren, Antitäuschung,
Netzwerkadressen-Übertragung
und VPN-Definitionen und Regeln, ohne dass jedoch die Erfindung
auf diese Beispiele beschränkt
werden sollen.
-
Als
erstes befiehlt der Administrator dem Management-System 10 eine
Verbindung zu der Einrichtung 11, die zu konfigurieren
ist, aufzubauen entsprechend der Darstellung in Schritt 21 in 2. Dann
setzt der Administrator das Management-System 10 ein, um die Konfiguration
der Einrichtung 11 über
den aufgebauten Netzwerkanschluss zu ändern (Schritt 22 in 2).
Gemäß einer
Ausführungsform der
Erfindung kann das Management-System auch Zeitparameter definieren,
wie etwa das Datum und/oder die Tageszeit und/oder eine Relativzeit,
wobei die Zeit eingestellt wird, wann die Einrichtung starten sollte,
die geänderte
Konfiguration anzuwenden und einzusetzen, wenn sie nicht augenblicklich angewendet
werden soll. Diese Zeitvorgabe kann wirksam machen, dass verschiedene
Einrichtungen 11 (z.B. Firewalls) starten können, um
eine neue Konfiguration zur gleichen Zeit einzusetzen, obwohl die
Konfiguration auf unterschiedliche Einrichtungen zu unterschiedlichen
Zeiten einwirken kann. Die Einrichtung 11 empfängt die Änderung
der Konfiguration (die wahlweise die Zeitsteuerungsparameter zur
Zeitsteuerung des Einsatzes der geänderten Konfiguration einschließen kann)
von dem Management-System 10 über die
Netzwerkverbindung und sieht die geänderte Konfiguration als eine "nächste Konfiguration" in Betracht entsprechend
der Darstellung in Schritt 31 in 3. Die nächste Konfiguration
kann in einem flüchtigen
Speicher (z.B. RAM) abgespeichert werden in der Einrichtung 11 und
die laufende Konfiguration (d.h. die Konfiguration, die gegenwärtig im Einsatz
ist) kann aufrechterhalten werden in dem dauerhaften nicht-flüchtigen
Speicher innerhalb der Einrichtung 11. Eine weitere Möglichkeit
liegt darin, beide Konfigurationen in dem nicht-flüchtigen
Speicher abzuspeichern, so dass man zwei unterschiedliche Adressenverweiser
besitzt, die auf Konfigurationen hinweisen. Im letzteren Fall können mehrere
alte Konfigurationen in der Einrichtung gespeichert sein. Die unterschiedlichen
Konfigurationen können
durchnumeriert sein und die Adressenverweiser können beispielsweise nächste und
laufende sein entsprechend der nächsten
Konfiguration und der laufenden Konfiguration.
-
Dann
beginnt die Einrichtung 11 die nächste Konfiguration (d.h. die
geänderte
Konfiguration) anzuwenden. Gemäß einer
Ausführungsform
der Erfindung beginnt die Einrichtung 11, vorzugsweise
die nächste
Konfiguration anzuwenden, nachdem ein Befehl empfangen wurde von
dem Management-System 11 über den Netzwerkanschluss (Schritt 32 in 3).
Das Management-System wartet eine vorbestimmte Zeitperiode ab, die
im Bereich von Millisekunden bis Dutzenden von Sekunden dauert und
versucht dann einen neuen Anschluss an die Einrichtung 11 aufzubauen
(Schritte 23 und 24 in 2). Alternativ
kann gemäß einer
anderen Ausführungsform
der Erfindung das Management-System 10 versuchen, eine
neue Verbindung aufzubauen unmittelbar nachdem die Konfiguration
geändert wurde
und der Befehl ausgegeben wurde sie anzuwenden. Wenn die nächste Konfiguration
eine Software-Aktualisierung oder eine neue Software ist, ist es
typisch, dass dann, wenn die nächste
Konfiguration zur Anwendung eingeleitet wird, die Einrichtung 11 erneut
gebootet werden muss, nachdem die Konfiguration geändert wurde
und der Befehl ausgegeben wurde, sie über den ersten Anschluss anzuwenden.
-
Bei
noch einer weiteren Ausführungsform der
Erfindung fordert die Einrichtung 11, nachdem sie begonnen
hat, die geänderte
Konfiguration anzuwenden, das Management-System auf, eine neue Verbindung
aufzubauen. Dies ist besonders zur Anwendung geeignet, wenn der
Einsatz der geänderten Konfiguration
zeitgesteuert ist, beispielsweise basierend auf den Zeitsteuerungsparametern.
Dies beruht auf der Tatsache, dass bei dem zeitgesteuerten Betrieb
das Management-System 10 die genaue Zeit nicht weiß, an welcher
die Einrichtung beginnt, die geänderte
Konfiguration einzusetzen und es kann dementsprechend nicht genau
die Zeit bestimmen, zu welcher es versuchen soll, eine neue Verbindung zu
der Einrichtung 11 aufzubauen. Die Aufforderung, die von
der Einrichtung 11 abgesandt wird, synchronisiert den Betrieb
der Einrichtung 11 und des Management-Systems 10 diesbezüglich. Es
ist herauszustellen, dass es nicht ausreicht, dass die Einrichtung 11 eine
Verbindung zum Management-System 10 öffnet und das Management- System 10 über den gleichen
Anschluss anspricht. Der Steueranschluss soll ein neuer Anschluss
sein, der von dem Management-System 10 geöffnet wird
in Abhängigkeit
von der Aufforderung von der Einrichtung 11.
-
Unter
Bezugnahme auf 3 überwacht die Einrichtung 11,
ob ein neuer Netzwerkanschluss von dem Management-System empfangen
wird innerhalb einer vorbestimmten Zeitgrenze, z.B. 0,5 bis 30 s, vorzugsweise
1 bis 10 s (Schritte 33 und 44) vom Beginn der
Anwendung der geänderten
Konfiguration oder der Absendung der Aufforderung. Wenn ein neuer
Netzwerkanschluss empfangen wird von dem Management-System 10 innerhalb
der Zeitgrenze, akzeptiert die Netzwerkeinrichtung die nächste Konfiguration
für den
dauerhaften Einsatz. Dies kann ausgeführt werden beispielsweise durch
die Abspeicherung der nächsten
Konfiguration als laufende Konfiguration im dauerhaften nicht-flüchtigen
Speicher, wodurch die vorangehenden Konfigurationen überschrieben
werden (Schritt 36), oder durch Neuarrangieren des Adressenverweiser-Stromes,
so dass er auf die gleichen Konfigurationsdaten verweist, wie der
nächste
Adressenverweiser. Die Einrichtung 11 kann einen Netzwerkanschluss
von dem Management-System 10 als erfolgreich empfangen ansehen,
wenn ein Anschluss aufgebaut ist. Ein erfolgreich aufgebauter Anschluss
kann jedoch auch eine Kommunikation zwischen der Einrichtung 11 und
dem Management-System 10 involvieren oder die Netzwerkeinrichtung 11 kann
sogar einen speziellen Befehl von dem Management-System erfordern vor dem dauerhaften
Annehmen der geänderten Konfiguration.
-
Wenn
ein neuer Anschluss nicht erfolgreich aufgebaut wurde von dem Management-System 10 zu
der Netzwerkeinrichtung 11 (welches auch eine Kommunikation
zwischen der Netzwerkeinrichtung und dem Management-System 10,
wie oben beschrieben involvieren kann) innerhalb einer vorgegebenen
Zeitgrenze, kehrt die Netzwerkeinrichtung 11 automatisch
zum Einsatz der laufenden Konfiguration zurück (z.B. der Konfiguration,
die vor den Änderungen
eingesetzt wurde) im Schritt 35. Wenn dementsprechend ein
Fehler in der neuen Konfiguration vorliegt, welcher verursacht,
dass die Netzwerkeinrichtung 11 versagt oder nicht in der
Lage ist, einen Management-Anschluss von dem Management-System 10 zu
empfangen, kehrt die Netzwerkeinrichtung 11 automatisch
zum normalen Betrieb zurück
durch das Einsetzen der alten Konfiguration. Das Management-System 10 ist
nun in der Lage, einen weiteren Anschluss zur Netzwerkeinrichtung 11 herzustellen, um
erneut die Netzwerkeinrichtung wieder zu konfigurieren. Wenn das
Management-System an die Netzwerkeinrichtung 11 zum ersten
Mal angeschlossen ist, nachdem die Netzwerkeinrichtung 11 die
alte Konfiguration wieder hergestellt hat, informiert die Netzwerkeinrichtung 11 vorzugsweise
das Management-System 10 über diesen Vorgang. Wenn darüber hinaus
die Netzwerkeinrichtung 11 aus irgendeinem Grund im Leistungszyklus
betrieben wird (eingeschaltet und ausgeschaltet) oder erneut initialisiert wird
vor der endgültigen
Anerkennung der geänderten
Konfiguration (d.h. während
der Schritte 33 und 34 in 3), kommt
die laufende Konfiguration, die in den permanenten nichtflüchtigen
Speicher abgespeichert ist, zum Einsatz.
-
Die
gleiche Näherung
kann eingesetzt werden, wann immer die Software modifiziert wird
(eine Software-Aktualisierung oder ein Korrekturbefehl) innerhalb
einer Netzwerkeinrichtung. Typischerweise besteht für die Software-Aktualisierung
die Notwendigkeit eines erneuten Bootens. Die Netzwerkeinrichtung 11 muss
einmal mit der neu installierten Software neu gebootet werden. Wenn
das neue Booten versagt, stürzt
die Netzwerkeinrichtung 11 ab oder ist nicht in der Lage,
einen Management-Anschluss
aufzunehmen, und dementsprechend bootet die Einrichtung erneut mit
der alten Software und/oder die alte Konfiguration kommt zum Einsatz
gemäß der vorliegenden
Erfindung. Nur nach einem erfolgreichen Einsatz der neuen Software
wird diese als eine fehlerhafte Software bestätigt, die zur Boot-Zeit geladen wird.
-
Die
vorliegende Erfindung kann in allen Netzwerkeinrichtungen eingesetzt
werden, obwohl sie besonders für
Firewalls geeignet ist.
-
Es
leuchtet dem Sachverständigen
auf diesem Gebiet ein, dass die beschriebenen illustrativen Ausführungsformen
nur Beispiele sind und das verschiedene Modifikationen zum Verfahren,
zur Einrichtung und zum System gemacht werden können, die innerhalb des Rahmens
der Erfindung liegen, wie er durch die beigefügten Ansprüche definiert ist.