DE60216218T2 - Persönlicher Firewall mit Platzabhängiger Funktionalität - Google Patents

Persönlicher Firewall mit Platzabhängiger Funktionalität Download PDF

Info

Publication number
DE60216218T2
DE60216218T2 DE60216218T DE60216218T DE60216218T2 DE 60216218 T2 DE60216218 T2 DE 60216218T2 DE 60216218 T DE60216218 T DE 60216218T DE 60216218 T DE60216218 T DE 60216218T DE 60216218 T2 DE60216218 T2 DE 60216218T2
Authority
DE
Germany
Prior art keywords
computer
network
customer
address
home network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60216218T
Other languages
English (en)
Other versions
DE60216218D1 (de
Inventor
Tuomo Fin-01450 Syvänne
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stonesoft Corp
Original Assignee
Stonesoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stonesoft Corp filed Critical Stonesoft Corp
Publication of DE60216218D1 publication Critical patent/DE60216218D1/de
Application granted granted Critical
Publication of DE60216218T2 publication Critical patent/DE60216218T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Bidet-Like Cleaning Device And Other Flush Toilet Accessories (AREA)

Description

  • Erfindungsgebiet
  • Die vorliegende Erfindung betrifft Netzwerksicherheit und insbesondere persönliche Firewalls.
  • Hintergrund der Erfindung
  • Bekanntermaßen wird eine Firewall als eine Reihe Komponenten angesehen, die zwischen zwei oder mehr Netzwerken einen Zugang bilden. Somit hat eine Firewall einen Zugang, der gleichzeitig als Verbinder und Trenner zwischen Netzwerken in dem Sinne arbeitet, daß die Firewall den Verkehr, der durch sie von dem einen Netzwerk zum anderen läuft, bewältigt und Verbindungen und Pakete, die von dem Administrator des Systems als unerwünscht bezeichnet werden, beschränkt. Physikalisch gesehen ist eine Firewall eine Maschine mit geeigneter Software, um die ihr zugewiesenen Aufgaben zu erfüllen. Sie kann ein Router, ein Personalcomputer (PC) oder irgendeine andere Einrichtung sein, die für derartige Zwecke Verwendung finden kann. Obgleich Firewalls in den meisten Fällen zur Verbindung von lokalen Flächennetzen (LANs) benutzt werden, d. h. internen Netzwerken für das Internet sowie zum Schutz gegen Angreifer oder ganz allgemein unerwünschten Verkehr, können sie auch zur Trennung und Verbindung verschiedener Segmente von inneren Netzwerken zu Sicherheitszwecken dienen. Die Vorteile, die eine Firewall bietet, sind zahlreich. Eine Firewall sichert das Netz und kann als Werkzeug zur Überwachung des Verkehrs dienen, insbesondere von außerhalb des Netzes ins Netzinnere, bewacht von einer Firewall. Da der ganze Verkehr, der für das interne Netz bestimmt ist, durch die Firewall laufen muß, lassen sich die meisten Netzsicherheitsaktionen und Verhaltensregeln in diesem speziellen Punkt konzentrieren. Dies ist natürlich ein kostenmäßiger und verwaltungstechnischer Vorteil.
  • US-A-6 158 008 beschreibt ein Verfahren zum Updaten von Adressenlisten für eine Firewall.
  • EP 0 854 621 beschreibt einen Filter, der Zugangsregeln enthält, die für einen individuellen Computer in einem Netz spezifisch sind.
  • Heutzutage werden Laptop-Computer und andere tragbare Computer-Einrichtungen, benutzt. Während sich der Computer außerhalb des internen Netzes befindet, kann er nicht den Vorteil des Schutzes genießen, der durch den herkömmlichen Firewall des "Gateway-Typs" geboten wird. Daher sind Vorschläge gemacht worden, um die Sicherheit eines Kunden, der in einem fremden Netz liegt (ein öffentliches Netz oder ein internes Netz einer fremden Organisation), zu verbessern. Diese Versuche beruhen darauf, den Laptop selbst mit Hilfe eines lokalen Sicherheitsmechanismus zu schützen, hier genannt ein persönlicher Firewall, der in dem Laptop installiert ist (zusätzlich oder anstelle eines Firewalls in einem internen Netz, der die an das interne Netz angeschlossenen Computer schützt). Der persönliche Firewall kann als Software verwirklicht werden, die in der Computer-Einrichtung installiert wird, oder als separate elektronische Einrichtung, die mit der Computer-Einrichtung verbunden ist.
  • Die europäische Patentanmeldung EP 0 952 715 offenbart eine Firewall-Sicherheitseinrichtung, die an einen externen Kommunikationszugang einer Computer-Einrichtung angeschlossen ist. Der hereinkommende Kommunikationsstrom für die Computer-Einrichtung aus beispielsweise öffentlichen Netzen wird durch die Firewall-Sicherheitseinrichtung geschickt. Die Firewall-Einrichtung bringt übliche Sicherheitsmaßnahmen zur Anwendung, um dadurch die Computer-Einrichtung zu schützen.
  • Es besteht ein spezieller Bedarf an einem derartigen Schutz mit Hilfe einer persönlichen Firewall, wenn der Laptop einen Fernzugang aufweisen darf, d. h. eine VPN (Virtual Private Network)-Verbindung zu dem Firmennetz, obgleich er mit einem Fremdnetz verbunden ist. Um die Sicherheit der VPN-Verbindungen zu verbessern, besteht eine bekannte Lösung darin, das Schutzniveau eines Laptops zu stärken, wenn ein VPN-Tunnel zu einem Firmennetz hergestellt wird. Das heißt beispielsweise, daß während einer VPN-Verbindung das Abgeben der IP-Adresse nicht gestattet ist oder daß irgendwelche Verbindungsversuche zu dem Laptop zurückgewiesen werden.
  • Dies reicht natürlich nicht aus, weil der Laptop geschützt werden muß, sobald er an ein Fremdnetz angeschlossen wird, und zwar nicht nur während einer VPN-Verbindung. Laptops werden oftmals von Nichttechnikern benutzt, was das Risiko erhöht, Sicherheitsaspekte zu übersehen. Laptops enthalten empfindliches Mate rial, so beispielsweise Kunden-e-Mails. Wenn ein Laptop nicht geschützt wird, sobald er mit einem Fremdnetz verbunden wird, und selbst nur für eine kurze Zeitspanne, besteht das Risiko, daß er durch eine hostile Anwendung infiziert wird. Eine derartige Anwendung kann später aktiviert werden, sobald der Laptop mit einem internen Netz verbunden wird, und inside-Hilfe gegen Angriffe bieten.
  • Somit besteht ein Bedarf, den Laptop mit Hilfe einer persönlichen Firewall immer dann zu schützen, wenn der Laptop mit einem Fremdnetz verbunden wird. Wenn jedoch der Laptop mit einem firmeninternen Netz verbunden wird, kann eine derartige persönliche Firewall einen gewissen wesentlichen Verkehr in unerwünschter Weise verhindern. Beispielsweise sollte die persönliche Firewall die Benutzung eines Laptops zuhause (internes) Netz und Zugang zu allen Diensten, beispielsweise Plattensharing, ermöglichen. Selbst in einem Heimnetz werden manchmal Nicht-IP-Protokolle verwendet. Daher kann eine persönliche Firewall nicht jederzeit laufen, wenigstens nicht mit derselben Konfiguration, da die Schutzerfordernisse in einem internen Netz sich von denjenigen in einem Fremdnetz unterscheiden.
  • Einige der gegenwärtigen Lösungen ermöglichen die Veränderung der für die persönliche Firewall verwendeten Regelsätze, d. h. sie erlauben dem Benutzer des Laptops, verschiedene Regelsätze zu benutzen, wenn der Laptop mit dem internen Netz verbunden ist und wenn er mit einem Fremdnetz in Verbindung steht. Dies ist jedoch eine manuelle Bedienung. Da eine manuelle Tätigkeit gefordert wird, besteht ein hohes Risiko, daß diese Tätigkeit nicht durchgeführt wird. Das Risiko ist noch größer, wenn der Endbenutzer die Erfordernisse einer Firewall nicht vollständig versteht.
  • Zusammenfassung der Erfindung
  • Eine Aufgabe der Erfindung besteht deshalb darin, die Sicherheit und Flexibilität einer persönlichen Firewall zu verbessern. Diese Aufgabe wird durch die Erfindung gelöst, wie in den beigefügten unabhängigen Ansprüchen offenbart. Vorteilhafte Ausführungsformen sind in den beigefügten abhängigen Ansprüchen offenbart.
  • Eine Computer-Einrichtung, die mit einem Heimnetz verbunden werden kann (beispielsweise einem internen Netz einer Firma oder einer Organisation, bei der der Benutzer angestellt ist) sowie mit einem Fremdnetz (beispielsweise einem öffentlichen Netz oder einem internen Netz einer fremden Organisation, ist mit einem lokalen Sicherheitsmechanismus ausgestattet, hier genannt eine persönliche Firewall, um die Computer-Einrichtung vor Angriffen aus einem Fremdnetz zu schützen, und zwar zusätzlich zu oder anstelle einer Firewall in dem internen Netz, die den Computer schützt, sobald er mit dem internen Netz verbunden wird. Die persönliche Firewall ist mit unterschiedlichen Sätzen Sicherheitsregeln versehen, und zwar wenigstens einem Regelsatz für das Heimnetz und mindestens einem Regelsatz für Fremdnetze. In seiner einfachsten Form enthält der Regelsatz für das Heimnetz keine Beschränkungen für die Kommunikation oder die Benutzung eines Dienstes in dem Heimnetz. Die persönliche Firewall ist so angeordnet, daß sie ihre augenblickliche Lage feststellt, d. h. das Netz feststellt, an das sie in dem Augenblick angeschlossen ist. Die persönliche Firewall aktiviert einen der gegebenen Sicherheitsregelsätze gemäß dem festgestellten gegenwärtigen Ort der Computer-Einrichtung, d. h. die persönliche Firewall benutzt automatisch die Sicherheitsregeln, die für das Netz vorgegeben sind, an das die Computer-Einrichtung in dem jeweiligen Moment angeschlossen ist. Nach Feststellung einer Änderung in der Lage paßt sich die persönliche Firewall sofort an, um Sicherheitsregeln zu benutzen, die für die neue Lage vorgegeben sind. Ein Vorteil der Erfindung besteht darin, daß der Schutz einer persönlichen Firewall immer auf dem richtigen Niveau ermöglicht wird, abhängig von dem gegenwärtigen Ort. Andererseits, wenn die Computer-Einrichtung in dem Heimnetz liegt, kann durch die persönliche Firewall ein niedrigeres Schutzniveau oder überhaupt kein Schutz automatisch vorgesehen werden, so daß die Kommunikation und Dienstleistungen im Heimnetz nicht unangemessen beschränkt werden. Somit bietet das automatisierte ortsabhängige Management der unterschiedlichen Regelsätze in den verschiedenen Netzen optimalen Schutz, während in dem Heimnetz keine unangemessene Betriebsbeschränkung auftritt.
  • Die augenblickliche Lage der Computer-Einrichtung läßt sich vorzugsweise auf der Grundlage einer gegenwärtig verwendeten IP-Adresse der Computer-Einrichtung bestimmen. Das beruht auf der allgemeinen Praxis, daß eine Computer-Einrichtung in unterschiedlichen Netzen eine unterschiedliche IP-Adresse, entweder eine fixe Adresse oder eine dynamische Adresse, aufweist. Die IP-Adresse kann daher zur Identifizierung des gegenwärtigen Netzes und der Lage der Computer-Einrichtung verwendet werden.
  • Es gibt jedoch Fälle, in denen die IP-Adresse den gegenwärtigen Ort der Computer-Einrichtung nicht zeigen kann. Daher wird bei einer Ausführungsform der Erfindung der augenblickliche Ort, bestimmt auf der Grundlage der augenblicklichen IP-Adresse der Computer-Einrichtung, dadurch verifiziert, daß eine zusätzliche Ortsverifikationsprozedur mit einem vorbestimmten Netzelement ausgeführt wird. Bei einer noch anderen Ausführungsform der Erfindung wird das Vorhandensein des vorbestimmten Netzelementes in Bezug auf die gegenwärtige IP-Adresse überprüft. Das vorbestimmte Netzelement ist so beschaffen, daß es nur antwortet, wenn die Computer-Einrichtung sich in dem Netz befindet, in dem sie auf der Grundlage der gegenwärtigen IP-Adresse vermutet wird. Wenn das vorbestimmte Netzelement antwortet und sich richtig selbstbestimmt, gilt die gegenwärtige Lage, die auf der augenblicklichen IP-Adresse basiert, als verifiziert. Andernfalls bestimmt die Computer-Einrichtung, daß die augenblickliche IP-Adresse die augenblickliche Lage der Computer-Einrichtung nicht anzeigen kann. Der zusätzliche Verifikationsprozeß macht es jedoch möglich, automatisch einen gesicherten Tunnel zu erzeugen, so beispielsweise einen VPN-Tunnel für ein Heimnetz, und zwar selbst dann, wenn die Computer-Einrichtung dieselbe IP-Adresse an dem augenblicklichen Ort wie in dem internen (Heim-)Netz benutzt. Die vorliegende Erfindung bietet selbst für alleinstehende persönliche Firewalls Vorteile, wobei die Sicherheitsregeln durch den Benutzer lokal festgelegt werden können, obgleich die Benutzung dieser Regeln automatisiert und ortsabhängig ist. Mehr Vorteile werden jedoch erreicht, wenn die grundlegende Erfindung bei einem zentralen Management persönlicher Firewalls benutzt wird.
  • Gemäß einem Aspekt der Erfindung werden Sicherheitsregeln zentral durch einen zentralisierten regelbasierten Server definiert, aktualisiert und verteilt. Insbesondere das Updaten der Regeln ist eine Herausforderung, da die Regelaktualisierungen so schnell wie möglich angewendet werden müssen. Deshalb muß der Prozeß des Updatens, also der Aktualisierung der Regeln bei den persönlichen Firewalls automatisiert werden. Das Updaten der Regeln auf Druckknopf von dem zentralisierten Regelbasisserver aus ist in diesem Fall keine ausreichende Option. Die Verwendung von DHCP (Dynamic Host Configuration Protocol), häufiger Ortswechsel und die Tatsache, daß zu gewissen Zeiten der Laptop nicht an irgendein Netz angeschlossen werden kann, macht es für das zentralisierte Netzmanagement nahezu unmöglich, in den Computervorrichtungen Kontakte mit persönlichen Firewalls herzustellen, da sich für das zentralisierte Management keine Möglichkeit bietet, die IP-Adresse, die die Computer-Einrichtung in einem gegebe nen Moment verwendet, ausfindig zu machen. Daher ist gemäß einem Aspekt der Erfindung der persönliche Firewall so geartet, daß er periodisch von dem zentralisierten Management das Vorhandensein aktualisierter Sicherheitsregeln ertragt. Die Fragen sollen nur gestellt werden, während sich die Computer-Einrichtung in dem Heimnetz befindet oder wahlweise, wenn die Computer-Einrichtung einen Fernzugang (beispielsweise VPN-Anschluß) zu dem Heimnetz hat, während sie in einem Fremdnetz liegt. Mit anderen Worten, auch der Updatungs-Vorgang ist von der augenblicklichen Lage der Computer-Einrichtung in ähnlicher Weise abhängig wie die Wahl der aktiven Regeln, und ähnliche Verfahren lassen sich zur Bestimmung der gegenwärtigen Lage einsetzen.
  • Gemäß einem anderen Aspekt der Erfindung werden Protokolldateien, die Informationen über einen Status und die Benutzung von Ressourcen der Computer-Einrichtung enthalten, an einem zentralen Managementort gehandhabt. Dies ermöglicht, daß man persönlich von Sicherheitsaspekten Kenntnis erlangt, um sich zu vergewissern, ob irgendwelche Angriffe gegen die Computer-Einrichtung stattgefunden haben oder nicht. Zu diesem Zweck sendet der persönliche Firewall die Protokolldateien an das zentrale Management, beispielsweise einen zentralisierten Protokollserver, sobald die Computer-Einrichtung im Heimnetz liegt. Wenn jedoch die Computer-Einrichtung von dem Heimnetz getrennt wird, werden die Protokolldateien gesammelt und lokal in der Firewall gespeichert. Um ein zentrales Handlung der Protokolldateien zu ermöglichen, überträgt die persönliche Firewall die gesammelten Protokolldateien an den zentralen Dateiserver, wenn ein solcher vorhanden ist. Dies geschieht automatisch immer dann, wenn die Computer-Einrichtung mit dem Heimnetz verbunden ist oder wahlweise verbunden wird. Nochmals sei festgestellt, daß die Handhabung der Computerdateien in der persönlichen Firewall automatisiert wird und in einer Weise ortsabhängig gemacht wird, die der Auswahl aktiver Regeln entspricht, wobei zur Bestimmung des augenblicklichen Ortes der Computer-Einrichtung ähnliche Verfahren verwendet werden können.
  • Die vorliegende Erfindung ermöglicht den Einsatz einer Computer-Einrichtung in einem Heim-(Intern-)Netz und den Zugang zu allen Dienstleistungen, beispielsweise Plattensharing und selbst die Verwendung von Nicht-IP-Protokollen, die oftmals in Fremdnetzen versagt.
  • Kurze Beschreibung der Zeichnungen
  • Bevorzugte Ausführungsformen der Erfindung werden jetzt unter Bezug auf die beigefügten Zeichnungen beschrieben, in denen sind:
  • 1 ein schematisches Blockdiagramm einer beispielhaften Netzkonfiguration, für die die vorliegende Erfindung anwendbar ist;
  • 2 ein beispielhafter Protokollstapel einer Computer-Einrichtung, die eine persönliche Firewall gemäß der vorliegenden Erfindung enthält;
  • 3 beispielhafte Auswahlregeln und eine Sicherheitsregelbasis sowie ihren Zusammenhang;
  • 4 ein Fließbild einer ortsabhängigen Regelbasisauswahl gemäß einer Ausführungsform der Erfindung;
  • 5 und 6 Fließbilder zur Illustrierung der Ortsverifikationsprozedur gemäß einer Ausführungsform der Erfindung;
  • 7 und 8 Fließbilder zur Illustration des Regelbasisupdatens gemäß einer Ausführungsform der Erfindung; und
  • 9 ein Fließbild zur Illustration der Handhabung von Protokolldateien gemäß einer Ausführungsform der Erfindung.
  • Bevorzugte Ausführungsformen der Erfindung
  • Die vorliegende Erfindung kann für persönliche Firewalls in jeder Computer-Einrichtung angewendet werden, die beweglich ist und an unterschiedliche Netze angeschlossen werden kann. Typisch für solche Einrichtungen sind tragbare Computer wie Laptops, PDAs, Communikatoren, Smartphones, intelligente Telekommunikationseinrichtungen usw. Bei den folgenden Ausführungsbeispielen der Erfindung wird ein Laptop-Computer als Beispiel für geeignete Computer-Einrichtungen verwendet.
  • 1 zeigt ein schematisches Blockdiagramm einer beispielhaften Netzkonfiguration. Die Konfiguration wird nur zur Erleichterung des Verständnisses sowie der Beschreibung der vorliegenden Erfindung gezeigt. Die vorliegende Erfindung soll nicht auf irgendeine spezielle Netzkonfiguration beschränkt werden. Darüber hinaus werden zur Verbesserung der Klarheit in 1 nur Netzelemente gezeigt, die mit der vorliegenden Erfindung in irgendeinem Zusammenhang stehen.
  • Wie aus 1 ersichtlich, sind die privaten lokalen Netze 10 und 13 mit einem öffentlichen Netz über Firewalls 5 bzw. 7 verbunden, beispielsweise dem Internet 12. Natürlich kann die Verbindung zwischen den privaten Netzen und dem öffentlichen Internet 12 auch Router und Internetserviceprovider (ISPs, in 1 nicht gezeigt) aufweisen. Wie aus dem Stand der Technik bekannt, können private Netze 10 und 13 beispielsweise Firmennetze, wie lokale Flächennetze (LANs) sein, die Benutzer und Betriebsmittel, wie beispielsweise Workstations, Server, Drucker und dergleichen, der Firma verbinden. Ein privates internes Netz kann auch aus mehreren Unternetzen bestehen, die durch interne Firewalls getrennt sind. Bei der in 1 gezeigten beispielsweisen Netzkonfiguration ist das private Firmenunternetz 11 über einen Firewall 6 mit dem privaten lokalen Netz 10 verbunden. Ein derartiges Unternetz 11 kann beispielsweise ein Netz sein, das einer speziellen Abteilung der Organisation zugeordnet ist, wie beispielsweise der Research- und Entwicklungs- (R&D-)Abteilung, die im Vergleich mit anderen Teilen des Firmennetzes einen beschränkten Zugang und höheren Schutzstandard haben muß. Unternetze der Firma, wie beispielsweise die lokalen Netze der Organisationshauptquartiere und Zweigbüros, können durch Sicherheitsverbindungen, wie beispielsweise ein virtuelles privates Netz (VPN) miteinander verbunden sein.
  • Wie bereits oben beschrieben, sind die Firewalls 5, 6 und 7 Zugänge, die gleichzeitig als Verbinder und Separatoren zwischen den Netzen in einem Sinne arbeiten, daß der Firewall dem Verkehr, der durch ihn von einem Netz zum anderen hindurchläuft passieren läßt und Verbindungen und Partikel, die von dem Administrator des Systems als unerwünscht gekennzeichnet werden, verhindert. Physikalisch gesehen, ist ein Firewall eine Maschine mit geeigneter Software, die die ihr zugewiesene Aufgabe erfüllt. Sie kann ein Router, ein Personalcomputer (PC) oder was auch immer für derartige Zwecke dienlich ist, sein.
  • Die Firewalls zwischen Netzen und ihre Verwirklichung sind jedoch für die vorliegende Erfindung nicht relevant.
  • Die vorliegende Erfindung bezieht sich auf den Schutz der Computer-Einrichtung, beispielsweise des Laptops selbst, mit Hilfe eines lokalen Sicherheitsmechanismus, hier genannt eine persönliche Firewall, installiert auf dem Laptop zusätzlich oder anstelle einer Firewall in einem privaten Netz. Die persönliche Firewall kann als Software ausgeführt werden, die als bevorzugtes Ausführungsbeispiel in der Computereinrichtung installiert ist oder in dem Computer läuft oder als separate elektronische Einrichtung, die mit der Computer-Einrichtung verbunden ist. 1 zeigt die Laptops 1, 2, 3 und 4, die mit einem persönlichen Firewall ausgestattet sind.
  • 2 zeigt das grundlegende Prinzip einer in einem Laptop installierten persönlichen Firewall. Physikalische und Netzschichten 200 beziehen sich auf alle Protokolle und physikalischen Verbindungen, die zur Übertragung von Protokolldateneinheiten (PDUs) der oberen Schichten erforderlich sind. Die oberen Schichten 200 enthalten Anwendungen und beliebige benutzte Übertragungsprotokolle, beispielsweise Internetprotokolle (IP), Übertragungssteuerungsprotokolle (TCP), NetPEUI, IPX usw. Grundsätzlich arbeitet die persönliche Firewall-Schutzschicht 201 in einer einer Firewall zwischen Netzen analogen Weise. Im einzelnen arbeitet die persönliche Firewall-Schutzschicht 201 gleichzeitig als Verbinder und Separator zwischen den darunter befindlichen Schichten und der oberen Schicht in dem Sinne, daß der persönliche Firewall den Verkehr, der durch ihn von den unteren Schichten zu den oberen Schichten und umgekehrt hindurchläuft, verfolgt und Verbindungen sowie Pakete, die gemäß den verwendeten Sicherheitsregeln als unerwünscht definiert sind, zurückhält. Die persönliche Firewall-Schutzschicht 201 wird durch eine persönliche Firewall-Anwendung 203, die in dem Laptop läuft, implementiert oder gesteuert. Bei einer bevorzugten Ausführungsform der Erfindung führt die persönliche Firewall-Anwendung 203 die oben beschriebene Aufgabe der Ortsfeststellung sowie ortsabhängige Funktionen aus, beispielsweise die Auswahl der aktiven Regelbasis gemäß dem gegenwärtigen Ort des Laptops. Es wird jedoch darauf hingewiesen, daß die vorliegende Erfindung nicht auf irgendeine spezielle praktische Verwirklichung der persönlichen Firewall beschränkt sein soll.
  • Gemäß den Grundlagen der vorliegenden Erfindung hat der persönliche Firewall verschiedene Regelsätze für das Heimnetz (so beispielsweise das private Firmennetz 10) und das Fremdnetz, so beispielsweise das öffentliche Internet 12 oder das fremde private Netz 13 oder ein Netz einer anderen Abteilung der Firma. Für die vorliegende Erfindung spielt es keine Rolle, welche Art von Sicherheitsregeln zur Anwendung gelangten, jedoch werden einige Beispiele in der 3 gegeben. So kann beispielsweise eine Regelbasis 301 für das fremde Firmennetz zulässige Protokollverbindungen auflisten wie das Hyper-Text-Transfer-Protokoll (http), das gesicherte http (Https), die Domainnamen-Dienstleistung (DNS), das Einzelnachricht-Übermittlungsprotokoll (SMTP) und eine VPN-Verbindung mit Ipsec. Bei der bevorzugten Ausführungsform der Erfindung sind diese Regeln exklusiv, mit anderen Worten, durch den persönlichen Firewall werden andere Protokolle und Verbindungen gesperrt und blockiert. Für ein Standardnetz, das das öffentliche Internet 12 sein kann, ist die Regelbasis 302 ähnlich der Regelbasis 301 mit Ausnahme der Tatsache, daß das SMTP-Protokoll nicht länger zugelassen ist. Für das Heimnetz 10 ist eine Regelbasis 300 festgelegt. Die zugelassenen Protokolle weisen zusätzlich zu dem http, https und SMTP auch andere Übermittlungsprotokolle auf, wie beispielsweise NetBEUI und IPX. Die Regelbasis 300 läßt auch ein Plattensharing für vorgegebene Server, die NetBIOS verwenden, zu. Andere Protokolle und Verbindungen werden gesperrt. Es ist auch möglich, daß die Regelbasis 300 alle Protokolle und Verbindungen in dem Heimnetz zuläßt. Da das Heimnetz durch einen Firmen-Firewall geschützt ist, kann die Verwendung einer persönlichen Firewall in dem Heimnetz als nicht erforderlich angesehen werden. Der Firmen-Firewall gibt jedoch Schutz nur gegen Angriffe von außerhalb des Heimnetzes, so daß die Verwendung eines persönlichen Firewall-Schutzes zum Schutz gegen Angriffe aus dem Heimnetz notwendig sein kann.
  • Die verschiedenen Regelbasen können von einem Benutzer von Hand aktiviert werden. Gemäß dem grundlegenden Prinzip der vorliegenden Erfindung wählt jedoch der persönliche Firewall automatisch die richtige Regelbasis gemäß der augenblicklichen Lage des Laptops aus und aktiviert sie.
  • 4 zeigt ein Fließbild, das die Auswahl der Regelbasis gemäß der einen Ausführungsform der vorliegenden Erfindung betrifft. Die einfachste Weise zur Bestimmung des gegenwärtigen Ortes des Laptops geschieht nur auf der Grundlage der gegenwärtig benutzten IP-Adresse. Dies ist in den Fällen möglich, in denen der Laptop in unterschiedlichen Netzen eine unterschiedliche IP-Adresse hat, entweder eine fixe oder eine dynamische Adresse. Wie beim Stand der Technik bekannt, identifiziert ein Teil der IP-Adresse das Netz und läßt sich auf diese Weise zur Feststellung des augenblicklichen Netzes des Laptops benutzen. Der persönli che Firewall kann beispielsweise Informationen über den IP-Adressenraum des Heimnetzes und, falls gewünscht, von Fremdnetzen enthalten oder eine Liste von Adressen, die für den Laptop in dem Heimnetz zur Verfügung stehen.
  • Wenn die gegenwärtige IP-Adresse des Laptops zu einem gegebenen Adressenraum oder beispielsweise einer Adressenliste des Heimnetzes 10 paßt, kann angenommen werden, daß der Laptop in dem Heimnetz 10 liegt und die Regelbasis 300 des Heimnetzes 10 benutzt wird. Somit wird die gegenwärtige IP-Adresse als Auswahlregel zur Aktivierung der Regelbasis 300 eingesetzt. Es besteht jedoch eine gewisse Unsicherheit bei der Bestimmung des Platzes, wenn dies nur auf der Grundlage der gegenwärtigen IP-Adresse geschieht, und deshalb werden einige Näherungsschritte zur Überwindung dieses Problems unter Bezug auf weitere Ausführungsformen der Erfindung im folgenden beschrieben.
  • Um nochmals auf das allgemeine Fließbild, das in 4 gezeigt ist, zurückzukommen, ist festzustellen, daß die gegenwärtige IP-Adresse des Laptops zunächst in der Stufe 401 bestimmt wird. Die gegenwärtige IP-Adresse läßt sich am einfachsten durch Erfragen aus dem Betriebssystem des Laptops durch Benutzung des IP-Konfigurationsprogramms erhalten. Der gegenwärtige Platz des Laptops wird ständig überwacht und deshalb kann der persönliche Firewall so konfiguriert werden, um die gegenwärtige IP-Adresse aus dem Betriebssystem periodisch zu erfragen. Noch vorteilhafter ist es, wenn das Betriebssystem des Laptops so konfiguriert werden kann, daß alle Änderungen in der IP-Adresse an den persönlichen Firewall übermittelt werden, so daß die Notwendigkeit dafür, die IP-Adresse von Zeit zu Zeit zu ertragen, vermieden werden kann. Der Schritt 401 kann auch die Verifizierung des auf der Grundlage der IP-Adresse bestimmten Platzes durch ein Verifizierungsverfahren enthalten, das im folgenden beschrieben wird. Im Schritt 402 vergleicht der persönliche Firewall die gegenwärtige IP-Adresse mit der in der persönlichen Firewall gespeicherten laufenden IP-Adresse. Falls sich die IP-Adresse nicht geändert hat, kann die gegenwärtige aktive Regelbasis beibehalten werden. Wenn jedoch die IP-Adresse sich geändert hat, überprüft der persönliche Firewall, ob die neue IP-Adresse zu irgendeinem IP-Adressenraum paßt oder die IP-Adresse zu einem der Netze auf der Auswahlregelliste in der persönlichen Firewall (Schritt 403) gehört. Wenn die neue Adresse nicht zu irgendeinem Netz auf der Auswahlregelliste gehört, betrachtet der persönliche Firewall das gegenwärtige Netz als ein nicht identifiziertes Netz, und eine Voreinstellungs-Regelbasis 302 wird ausgewählt (Stufe 404). Wenn das Netz nicht identifiziert werden kann und die Voreinstellungsregelbasis benutzt werden muß, wird normalerweise angenommen, daß sich der Laptop in einer potentiell übergeordneten Umgebung befindet, aller Wahrscheinlichkeit nach in dem öffentlichen Internet 12. Daher wird die Voreinstellungsbasisregel gewöhnlich so definiert, daß sie den maximal erforderlichen Schutz liefert. Wenn die neue IP-Adresse zu einem der Netze gehört, die auf der Auwahlregelliste im Schritt 403 zu finden sind, so bedeutet dies, daß das Netz identifiziert worden ist und eine Regelbasis mit dem identifizierten Netz (oder der korrespondierenden Auswahlregel) gewählt und aktiviert wird (Schritt 405). Bei der einfachsten Anwendung weisen die Auswahlregeln nur das Heimnetz des Laptops und den entsprechenden IP-Adressenraum oder Adressenliste auf. Wenn die gegenwärtige IP-Adresse zu dem Heimnetz gehört, wird die Regelbasis 300 des Heimnetzes 10 benutzt. Anderenfalls wird die Regelbasis 310 für Fremdnetze oder die Voreinstellungsregelbasis 302 verwendet. Bei einer komplizierteren Anwendung sind Auswahlregeln (d. h. IP-Adressen und zugehörige Regelbasen) auch für wenigstens ein Fremdnetz und/oder verschiedene Segmente des Heimnetzes 10 vorhanden.
  • Bei den oben beschriebenen Beispielen gibt es zwei oder mehr Regelbasen, die auf der Grundlage des gegenwärtigen Platzes des Laptops freigegeben oder nicht freigegeben werden. Es gibt jedoch auch alternative Wege zur Anwendung unterschiedlicher Regelbasen. Eine Alternative besteht darin, nur eine Regelbasis zu schaffen, für die die Regeln in unterschiedlichen Kombinationen auf der Grundlage des gegenwärtigen Platzes des Laptops freigegeben und nicht freigegeben werden.
  • Wie oben bereits erwähnt, gibt es Situationen, in denen der Platz (das gegenwärtige Netz), bestimmt auf der Grundlage der gegenwärtigen IP-Adresse, unsicher ist, d. h. die IP-Adresse ist nicht in der Lage, den gegenwärtigen Platz oder Ort des Laptops anzuzeigen. Wenn die IP-Adresse nicht zu dem gegenwärtigen Netz paßt, ist die Benutzung des Internetprotokolls (IP) zum Angriff auf den Laptop, unwahrscheinlich, und man kann annehmen, daß in diesem Fall ein persönlicher Firewall nicht verwendet werden muß. Es besteht jedoch noch eine Möglichkeit, daß ein Angriff unter Verwendung anderer Protokolle, beispielsweise dem Net-BEUI oder IPX stattfindet. Wenn die Situation festgestellt wird, in der die IP-Adresse des Laptops keine IP-Adresse des gegenwärtigen Netzes ist, besteht die Möglichkeit, derartige Protokolle zu blockieren, während sie sich in Fremdnetzen befinden. Darüber hinaus werden häufig NAT (Netz-Adressen-Übersetzung) und private IP-Adressen benutzt. D. h., dieselbe IP-Adresse wird in mehreren Netzen verwendet. In diesem Fall reicht es nicht aus, nur auf die IP-Adressen-Information zu vertrauen, wenn die Lage des Laptops bestimmt wird. Es ist sogar möglich, daß bei einer Verwendung mit einem Hostnetz das DHCP (dynamische Host-Konfigurations-Protokoll) eine bekannte IP-Adresse liefert, um dadurch das Angreifen des Laptop zu erleichtern. Grundsätzlich ermöglicht das DHCP einzelnen Computern an einem Netz, mit einem DHCP-Server in Verbindung zu treten, wie beispielsweise dem Server 9 von 1, sowie die Zuordnung einer dynamischen IP-Adresse des vorhandenen Netzes.
  • Somit wird gemäß einem Aspekt der Erfindung zusätzlich zu der Feststellung des Ortes auf der Grundlage der gegenwärtigen IP-Adresse, wie oben beschrieben, eine weitere Ortsverifikationsprozedur mit einem vorbestimmten Netzelement ausgeführt, das vorzugsweise nur von dem zu verifizierenden Ort erreichbar ist. Allgemeiner gesagt heißt das, das Netzelement wird so gewählt, daß es auf die Verifikationsforderung nur anspricht, wenn die Forderung von dem zu verifizierenden Ort (beispielsweise das Netz) herrührt. Vorzugsweise ist das spezielle Netzelement mit einem Ortsverifikationsservice ausgestattet, der die Verifikation gemäß der Erfindung unterstützt. Die Verifikationsprozedur erfordert, daß das Verifikationsverfahren für den persönlichen Firewall gekennzeichnet wird, und zwar vorzugsweise zur selben Zeit wie die verschiedenen Orte. Mit anderen Worten, die Verfahren zur Verifizierung des Ortes werden für den persönlichen Firewall beispielsweise in der Anfangskonfiguration gekennzeichnet. Es besteht auch die Möglichkeit, die Verifikationsverfahren mit Hilfe der unten beschriebenen Updatungs- oder Aktualisierungsprozedur zu aktualisieren oder zu ändern, und zwar in gleicher Weise wie andere Sicherheitsregeln.
  • Eine Ortsverifikationsprozedur gemäß einer Ausführungsform der Erfindung ist in Bezug auf die 5 und 6 beschrieben. Zunächst wird der gegenwärtige Ort auf der Basis der gegenwärtig benutzten IP-Adresse, wie oben beschrieben (Schritt 501) bestimmt. Danach wählt der persönliche Firewall ein bestimmtes Netzelement, das für die Verifikation von dem bestimmten gegenwärtigen Platz (Schritt 502) zur Verfügung stehen sollte. Dann sendet der persönliche Firewall an das ausgewählte Netzelement eine Aufforderung zur Absendung einer Antwort mit gewissen Daten, die die Identität des Netzelementes beweisen (Schritt 503). In 6 ist dargestellt, daß das verifizierende Netzelement die Verifizierungsaufforderung (Schritt 601) von einer persönlichen Firewall empfängt. Daraufhin sendet das Netzelement entweder ständig in Beantwortung der Verifizierungsaufforderung oder nur dann, wenn vorbestimmte Erfordernisse erfüllt sind, die Antwort mit den verlangten Identitätsdaten an die persönliche Firewall (Schritt 602). Wiederum in Bezug auf 5 ist darauf hinzuweisen, daß der persönliche Firewall auf eine Antwort wartet (Schritt 504), und falls keine Antwort eingeht (vorzugsweise in einer vorbestimmten Zeitspanne), wird der Ort, der auf der Basis der gegenwärtigen IP-Adresse bestimmt ist, zurückgewiesen und als unbekannt ausgewiesen (Schritt 505). In diesem Fall können ein Vorgabeort und eine zugeordnete Regelbasis, beispielsweise die Regelbasis 300, verwendet werden.
  • Wenn jedoch von dem Netzelement in der Stufe 504 die Antwort erhalten wird, verifiziert der persönliche Firewall die Identität des Netzelementes auf der Basis der empfangenen Identitätsdaten, beispielsweise durch Vergleichen der empfangenen Identitätsdaten mit den in der persönlichen Firewall gespeicherten Identitätsdaten (Schritt 506). Wenn die Verifizierung der Identität nicht erfolgreich ist (Schritt 507) läuft das Verfahren zu dem oben beschriebenen Schritt 505 weiter. Wenn jedoch die Verifizierung der Identität des Netzelementes erfolgreich ist, ist auch der Ort des Laptops, der auf der Basis der gegenwärtigen IP-Adresse bestimmt wurde, erfolgreich verifiziert worden und kann akzeptiert werden. Dazu kommt, daß es möglich ist, daß eine IP-Adresse in mehr als einer Auswahlregel in der persönlichen Firewall enthalten ist. In diesem Fall, wenn die Verifizierung des Laptops, der sich in einem ersten Netz befindet, das durch die gegenwärtige IP-Adresse angezeigt wird, mißlingt, wird überprüft, ob der Laptop in einem zweiten Netz liegt, das durch die gegenwärtige IP-Adresse angezeigt wird. Es gibt verschiedene Wege, die obene beschriebene generelle Ortsverifikationsprozedur durchzuführen. Die einfachste Weise, den Ortsverifikationsservice anzuwenden, besteht darin, ein in gewisser Weise bekanntes Element (bekannt dem persönlichen Firewall) zu prüfen. Beispielsweise ist es möglich, die Mac-Adresse des bekannten Netzelementes, das in dem Heimnetz liegt und eine bekannte IP-Adresse aufweist, zu befragen. Das Netzelement gibt in Beantwortung die Mac-Adresse zurück, und falls die Mac-Adresse derjenigen entspricht, von der angenommen wird, daß es sein kann (beispielsweise paßt sie zu der Mac-Adresse, die in der persönlichen Firewall gespeichert ist), dann ist nachgewiesen, daß der Laptop sich in dem Heimnetz befindet. Falls die Mac-Adresse nicht stimmt, wird festgestellt, daß der Laptop sich außerhalb des internen Netzes befindet.
  • Eine mögliche Anwendung besteht darin, daß der Ortsverifikationsservice bei einem solchen Netzelement in einem internen Netz ausgeführt wird, das nur von innerhalb des internen Netzes erreicht werden kann. So kann beispielsweise der das interne Netz schützende Firewall, wie der Firewall 5 in 1, so gestaltet werden, daß alle Verbindungen von außerhalb des internen Netzes mit diesem Netzelement aufgegeben werden. Wenn der persönliche Firewall dieses spezielle Netzelement erreichen kann, ist nachgewiesen, daß der persönliche Firewall innerhalb des internen Netzes liegt. Andernfalls liegt der persönliche Firewall außerhalb des internen Netzes. Es kann mehrere solcher Ortsverifikationshilfen in mehreren internen Netzen oder Unternetzen geben, und wenn der persönliche Firewall eine von ihnen erreichen kann, dann wird angenommen, daß er sich außerhalb der mehreren internen Netze oder Unternetze befindet.
  • Die Ortsverifikationshilfe kann Bestandteil der Netzfirewall sein, so beispielsweise die Ortsverifikationshilfe 50 in der Firewall 5 von 1. Beispielsweise können Verifikationsanfragen nur von der Richtung des internen Netzes (beispielsweise des Heimnetzes 10) durch die Ortsverifikationshilfe 50 beantwortet werden. Diese Anwendung ist ziemlich direkt, weil die vorhandenen Firewalls durchaus in der Lage sind, festzustellen, aus welcher Richtung, d. h. von welchem Interface, ein Datenpaket kommt.
  • In jedem Fall wird bevorzugt, daß der persönliche Firewall mit der Ortsverifikationshilfe kommuniziert, indem ein einigermaßen kryptografisch starkes Verfahren Verwendung findet, beispielsweise die öffentliche Verschlüsselung. Beispielsweise kann SSL Verwendung finden. Sicherlich läßt sich die Verifikation des Ortes weiter dadurch verbessern, daß das TTL (Lebenszeit)-Gebiet bei der Ortsverifikationsanfrage auf einem relativ niedrigem Wert eingesetzt wird, so daß die Anfrage nur eine nahe gelegene Ortsverifikationshilfe erreichen kann. Der TTL-Wert wird jedesmal dann, wenn die Verifikationsanfrage durch einen Router läuft, der verschiedene Netzwerke oder Netzwerksegmente verbindet, heruntergesetzt. Wenn der TTL-Wert beispielsweise auf den Wert Null gesetzt wird, kann die Verifikationsanfrage nicht durch einen Router zu einem anderen Netz oder Netzsegment laufen.
  • Die Verwendung einer zusätzlichen Ortsverifikation macht es jedoch möglich, automatisch einen VPN-Tunnel zum Heimnetz zu erzeugen, und selbst dann, wenn der gegenwärtige Ort (ein fremdes Netz) dieselbe IP-Adresse benutzt wie in dem internen Netz.
  • Alle oben beschriebenen Ausführungsformen arbeiten sowohl in Verbindung mit allein stehenden Computern als auch mit zentral betriebenen Computern. Das zentrale Management von persönlichen Firewalls ermöglicht ein gleichmäßiges Schutzniveau in allen Computereinrichtungen, die das private Netz benutzen. Ein Merkmal des zentralen Managements besteht darin, daß vorzugsweise alle persönlichen Firewalls im wesentlichen gleiche Sicherheitsregeln haben. Auch sollte es möglich sein, diese zu aktualisieren, also upzudaten. Vorzugsweise werden Regelaktualisierungen in den Firewalls durchgeführt, nachdem sie in dem zentralen Management erfolgt sind. Da es nicht ausreicht, sich auf das manuelle Updaten durch den Benutzer zu verlassen, muß der Prozeß des Updatens der Regeln automatisiert werden. Deshalb reicht die Verteilung der aktualisierten Regeln durch an die Übertragung mittels Drucktaste von dem zentralen Management in einem Fall nicht aus, in dem die persönlichen Firewalls sich von dem einen Netz zum anderen bewegen können. Daher sind, gemäß einem Aspekt der Erfindung, die persönlichen Firewalls so angeordnet, daß sie periodisch die Verfügbarkeit der Aktualisierungsregeln von einem zentralen Management abfragen. Eine Updatungsprozedur gemäß einer Ausführungsform der Erfindung ist unter Bezug auf die 7 und 8 beschrieben.
  • Zunächst mißt ein persönlicher Firewall eine vorbestimmte Updatungsperiode, die jede beliebige Zeitspanne sein kann, vorzugsweise ein Tag oder mehrere Tage (Schritt 701). Im Schritt 702 überprüft der persönliche Firewall, ob die Updatungsperiode abgelaufen ist, und falls nicht, kehrt die Prozedur zum Schritt 701 zurück. Sobald die Updatungsperiode abgelaufen ist, überprüft der persönliche Firewall, ob der gegenwärtige Ort des Laptops sich in dem Heimnetz befindet (Schritt 703) oder in einem anderen Unternetzwerk derselben Firma. Die Ortsbestimmung basiert vorzugsweise auf den oben beschriebenen Verfahren. Wenn sich der gegenwärtige Ort im Heimnetzwerk befindet, läuft das Verfahren direkt zum Schritt 705 weiter. Wenn jedoch der gegenwärtige Ort nicht im Heimnetz liegt, wartet der persönliche Firewall auf den Laptop, um zum Heimnetz zurückzukehren (Schritt 704) oder eine Verbindung (beispielsweise VPN) zum Heimnetz herzustellen, bevor die Prozedurch zum Schritt 705 weiterläuft. Im Schritt 705 sendet der persönliche Firewall an das zentrale Management eine Regelupdatungsanfrage, so beispielsweise den persönlichen Firewall-Management-Server 8 in 1. Wie jetzt aus 8 ersichtlich, empfängt das persönliche Firewall-Management 8 die Regelupdatungsanfrage von der persönlichen Firewall (Schritt 801) und verschickt aktualisierte, also upgedatete Regeln, falls solche vorliegen, an den persönlichen Firewall (Schritt 802). Wie wiederum aus 7 ersichtlich, überprüft der persönliche Firewall, ob die von dem persönlichen Firewall-Management 8 erhaltene Antwort Regelaktualisierungen enthält (Schritt 706) und falls nicht, kehrt der Prozeß zu dem Schritt 701 zurück, um die nächste Updatungsperiode zu beurteilen. Wenn jedoch Regelaktualisierungen empfangen worden sind, aktualisiert der persönliche Firewall die entsprechenden Regelbasen, die in dem Laptop gespeichert sind (Schritt 707).
  • Es ist ebenfalls vorteilhaft, wenn die sich auf die Kommunikationsübertragungen des Laptop beziehenden Protokolle an einem zentralen Ort behandelt werden. Da die Laptops häufig von dem Heimnetz getrennt sind, müssen Protokolle lokal gesammelt werden. Um eine zentrale Handhabung zu ermöglichen, müssen die Protokolle einem zentralen Protokollserver übermittelt werden, so beispielsweise dem persönlichen Firewall-Management 8, wenn ein solches zur Verfügung steht. Dies sollte automatisch geschehen, sobald die Computer-Einrichtung, die mit einer persönlichen Firewall ausgestattet ist, an ein Heimnetz angeschlossen wird. 9 zeigt die Protokollhandhabung gemäß einer Ausführungsform der Erfindung.
  • Zunächst erzeugt der persönliche Firewall jedesmal dann, wenn der Laptop mit einem Kommunikationsvorgang betroffen ist, beispielsweise einer Internet-Session (Schritt 91) eine Protokolldatei. Dann bestimmt der persönliche Firewall den gegenwärtigen Ort des Laptop, vorzugsweise auf der Grundlage der oben beschriebenen Ortsbestimmungsverfahren (Schritte 92 und 93). Wenn der Ort des Laptops sich in dem Heimnetz oder einem anderen Unternetz derselben Firma befindet, sendet der persönliche Firewall sofort die Protokolldatei an den zentralen Protokollserver 8 (Schritt 94). Falls jedoch der gegenwärtige Ort des Laptops nicht in dem Heimnetz liegt, läuft das Verfahren zum Schritt 95 weiter, wo die Protokolldatei lokal gespeichert wird. In ähnlicher Weise werden eine Reihe Protokolldateien lokal gesammelt, während der Laptop von dem Heimnetz getrennt wird. Wenn der persönliche Firewall das nächste Mal feststellt, daß die Computer-Einrichtung in dem Heimnetz verlagert worden ist, sendet er die gesammelten Protokolldateien an den zentralen Dateiserver 8. Falls gewünscht, kann der persönliche Firewall die gesammelten Protokolldateien auch an das persönliche Firewall-Management 8 schicken, wenn der Laptop eine Verbindung (beispeilsweise VPN) mit dem Heimnetz hergestellt hat.
  • Es versteht sich für die auf diesem Gebiet tätigen Fachleute, daß die beschriebenen Ausführungsformen nur Beispiele sind und daß verschiedene Abänderungen durchgeführt werden können, die innerhalb des Schutzumfang der Erfindung liegen, der in den beigefügten Ansprüchen definiert ist.

Claims (18)

  1. Verfahren zur Steuerung einer persönlichen Firewall in einem Kundencomputer mit folgenden Schritten: Schaffen der persönlichen Firewall (201, 203) mit wenigstens einer Reihe Sicherheitsregeln (300), die verwendet werden, sobald der Kundencomputer (1, 2, 3, 4) an ein Heimnetz (10) des Kundencomputers angeschlossen wird, und mit wenigstens einer Reihe Sicherheitsregeln (301), die benutzt werden, wenn der Kundencomputer mit Fremdnetzen (13) verbunden wird; Überwachen des gegenwärtigen Ortes des Kundencomputers (1, 2, 3, 4) auf der Grundlage einer Internet-Protokoll-Adresse, die gegenwärtig von dem Kundencomputer benutzt wird; und automatisches Auswählen einer der Reihen Sicherheitsregeln (300, 301) durch den persönlichen Firewall (201, 203) entsprechend dem gegenwärtigen Ort des Kundencomputers (1, 2, 3, 4).
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der Schritt des Schaffens das Versehen des Kundencomputers (1, 2, 3, 4) mit der Reihe Sicherheitsregeln in Form von wenigstens zwei Regelbasen beinhaltet, daß der Schritt des Auswählens die Möglichkeit bietet, eine der Regelbasen zu einem Zeitpunkt gemäß dem gegenwärtigen Ort des Kundencomputers (1, 2, 3, 4) zu aktivieren.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der Schritt des Schaffens beinhaltet, daß der Kundencomputer (1, 2, 3, 4) mit der Reihe Sicherheitsregeln in Form einer Regelbasis versehen wird und der Schritt des Auswählens das Aktivieren und Deaktivieren von Regeln in der genannten einen Regelbasis in unterschiedlichen Kombinationen gemäß dem gegenwärtigen Ort des Kundencomputers (1, 2, 3, 4) beinhaltet.
  4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der Schritt des Überwachsens die Speicherung eines IP-Adressenplatzes des Heimnetzes (10) in dem Kundencomputer (1, 2, 3, 4) beinhaltet, das Vergleichen der gegenwärtigen IP-Adresse des Kundencomputers (1, 2, 3, 4) mit dem IP-Adressenplatz und, wenn die gegenwärtige IP-Adresse des Kundencomputers (1, 2, 3, 4) zu dem IP-Adressenplatz paßt, das Entscheiden, daß der persönliche Firewall (201, 203) in diesem Heimnetz (10) liegen soll.
  5. Verfahren nach einem der Ansprüche 1, 2 oder 3, dadurch gekennzeichnet, daß der Schritt der Überwachung beinhaltet das Speichern einer Liste von IP-Adressen des Heimnetzes (10) in dem Kundencomputer (1, 2, 3, 4), das Vergleichen der gegenwärtigen IP-Adresse dieses Kundencomputers (1, 2, 3, 4) mit der IP-Adressenliste und, wenn die gegenwärtige IP-Adresse des Kundencomputers (1, 2, 3, 4) zu einer der Adressen auf der Liste paßt, das Entscheiden, daß der Kundencomputer in dem Heimnetz (10) liegen soll.
  6. Verfahren nach einem der Ansprüche 1, 2 oder 3, dadurch gekennzeichnet, daß der gegenwärtige Ort, der auf der Grundlage der gegenwärtigen IP-Adresse des Kundencomputers (1, 2, 3, 4) bestimmt worden ist, verifiziert wird, indem eine Ortsverifikationsprozedur mit einem vorbestimmten Netzelement (9) durchgeführt wird.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß der Schritt der Verifizierung beinhaltet: das Überprüfen, ob das vorbestimmte Netzelement (9), das sich auf die gegenwärtige IP-Adresse bezieht, zur Verfügung steht, wobei das vorbestimmte Netzelement nur dann antwortet, wenn der Kundencomputer (1, 2, 3, 4) sich in dem Netz befindet, in dem er sich angenommenermaßen auf der Basis der gegenwärtigen IP-Adresse befinden soll und das Verifizieren des gegenwärtigen Ortes auf der Basis der gegenwärtigen IP-Adresse, wenn das vorbestimmte Netzelement (9) mit einem speziellen Identitätskennzeichen antwortet.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, daß die spezielle Identitätskennung eine Media-Access-Control-Adresse des vorbestimmten Netzelementes ist.
  9. Verfahren nach Anspruch 1, gekennzeichnet durch Speichern der aktualisierten Reihen von Sicherheitsregeln, falls vorhanden, in einer zentralen Einheit (8) im Heimnetz (10) des Kundencomputers (1, 2, 3, 4); Konfigurieren der persönlichen Firewall (201, 203), um periodisch anzufragen nach dem Vorhandensein von aktualisierten Reihensicherheitsregeln bei dem zentralisierten Regelbasis-Server (8), wenn er im Heimnetz liegt oder wenn er einen Fernzugriff zu dem Heimnetz (10) hat, während er in einem Fremdnetz (13) liegt; und Laden der aktualisierten Reihensicherheitsregeln von den zentralisierten Regelbasis-Server (8) in den persönlichen Firewall 8201, 203) in Be antwortung der Aufforderung, wenn derartige aktualisierte Reihensicherheitsregeln zur Verfügung stehen.
  10. Verfahren nach Anspruch 9, gekennzeichnet durch Überwachen des gegenwärtigen Ortes des Kundencomputers (1, 2, 3, 4) auf der Grundlage einer Internet-Protokoll-Adresse, die gegenwärtig von dem Kundencomputer benutzt wird, und automatisches Aktivieren der periodischen Anfrage, wenn sich der gegenwärtige Ort des Kundencomputers (1, 2, 3, 4) in dem Heimnetz (10) befindet.
  11. Verfahren nach Anspruch 9, gekennzeichnet durch Überwachen des laufenden Ortes des Kundencomputers (1, 2, 3, 4) auf der Grundlage einer Internet-Protokoll-Adresse, die gegenwärtig von dem Kundencomputer benutzt wird; Senden von Protokolldateien an einen zentralisierten Protokollserver (8) von der persönlichen Firewall (201, 203), wenn der gegenwärtige Ort des Kundencomputers sich in dem Heimnetz (10) befindet, wobei die Protokolldateien Informationen über Kommunikationsübertragungen in dem Kundencomputer enthalten; lokales Sammeln von Protokolldateien in der persönlichen Firewall (201, 203), wenn sich der gegenwärtige Ort des Kundencomputers nicht in dem Heimnetz befindet; und Übertragen der lokal gesammelten Protokolldateien von der persönlichen Firewall (201, 203) auf den zentralisierten Protokollserver (8), wenn der Kundencomputer (1, 2, 3, 4) an das Heimnetz (10) angeschlossen ist.
  12. Computer-Einrichtung mit einer persönlichen Firewall (201, 203), die mit wenigstens einer Reihe Sicherheitsregeln (300) versehen ist, die benutzt werden, wenn die Computer-Einrichtung (1, 2, 3, 4) mit einem Heimnetz (10) der Computereinrichtung verbunden ist, wobei wenigstens eine Reihe Sicherheitsregeln (301) benutzt wird, wenn die Computer-Einrichtung mit Fremdnetzen (12, 13) verbunden ist, wobei der persönliche Firewall (201, 203) einen Mechanismus zur Überwachung des laufenden Ortes der Computer-Einrichtung (1, 2, 3, 4) auf der Grundlage einer Internet-Protokoll-Adresse aufweist, die gegenwärtig von der Computer-Einrichtung benutzt wird, und wobei der persönliche Firewall (201, 203) einen Mechanismus zur automatischen Auswahl einer der Reihen Sicherheitsregeln (300, 301) durch den persönlichen Firewall gemäß dem gegenwärtigen Ort der Computer-Einrichtung (1, 2, 3, 4) aufweist.
  13. Computer-Einrichtung nach Anspruch 12, ferner gekennzeichnet durch einen Mechanismus zur Verifizierung des gegenwärtigen Ortes, der auf der Basis der gegenwärtigen IP-Adresse der Computer-Einrichtung (1, 2, 3, 4) bestimmt wird, indem eine Ortsverifikationsprozedur mit einem vorbestimmten Netzelement (9) durchgeführt wird.
  14. Computer-Einrichtung nach Anspruch 12, dadurch gekennzeichnet, daß der persönliche Firewall (201, 203) so geartet ist, daß Sicherheitsregeln für ein Heimnetz (10) der Computer-Einrichtung (1, 2, 3, 4) und für Fremdnetze (12, 13) gespeichert werden, daß periodisch das Vorhandensein von aktualisierten Sicherheitsregeln von einem zentralisierten Regelbasis-Server (8) in dem Heimnetz (10) der Computer-Einrichtung (1, 2, 3, 4) abgefragt wird, wenn die Computer-Einrichtung sich in dem Heimnetz (10) befindet, und daß die aktualisierten Sicherheitsregeln aus dem zentralisierten Regelbasis-Server heruntergeladen werden, wenn solche aktualisierten Sicherheitsregeln in dem zentralisierten Regelbasis-Server (8) zur Verfügung stehen.
  15. Computer-Einrichtung nach Anspruch 14, dadurch gekennzeichnet, daß der persönliche Firewall (201, 203) des weiteren so gestaltet ist, daß die periodische Abfrage auch aktiviert wird, wenn die Computer-Einrichtung (1, 2, 3,4) einen Fernzugriff zum Heimnetz (10) hat, während sie in einem Fremdnetz (12, 13) liegt.
  16. Computer-Einrichtung nach Anspruch 12, dadurch gekennzeichnet, daß der persönliche Firewall so gestaltet ist, daß Protokolldateien an einen zentralisierten Protokollserver (8) geschickt werden, sobald sich ein gegenwärtiger Ort der Computer-Einrichtung (1, 2, 3, 4) in einem Heimnetz (10) der Computer-Einrichtung befindet, wobei die Protokolldateien Informationen über Kommunikationsübertragungen in der Computer-Einrichtung enthalten, daß Protokolldateien lokal in der Computer-Einrichtung (1, 2, 3, 4) gesammelt werden, wenn sich der gegenwärtige Ort des Kundencomputers in diesem Heimnetz (10) befindet, und daß die lokal gesammelten Protokolldateien an den zentralisierten Protokollserver (8) übertragen werden, wenn die Computer-Einrichtung (1, 2, 3, 4) wieder an das Heimnetz (10) angeschlossen wird.
  17. Computerlesbares Medium, das Computer-Software enthält, die dann, wenn sie in einer Computer-Einrichtung ausgeführt wird, bewirkt, daß die Computer-Einrichtung alle Schritte nach einem der Ansprüche 1 bis 11 ausführt.
  18. Computerprogramm mit einer Programmcode-Einrichtung zur Durchführung aller Schritte nach einem der Ansprüche 1 bis 11, wenn das Programm auf einem Computer läuft.
DE60216218T 2001-11-19 2002-11-14 Persönlicher Firewall mit Platzabhängiger Funktionalität Expired - Lifetime DE60216218T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/988,356 US7325248B2 (en) 2001-11-19 2001-11-19 Personal firewall with location dependent functionality
US988356 2001-11-19

Publications (2)

Publication Number Publication Date
DE60216218D1 DE60216218D1 (de) 2007-01-04
DE60216218T2 true DE60216218T2 (de) 2007-03-08

Family

ID=25534065

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60216218T Expired - Lifetime DE60216218T2 (de) 2001-11-19 2002-11-14 Persönlicher Firewall mit Platzabhängiger Funktionalität

Country Status (4)

Country Link
US (1) US7325248B2 (de)
EP (1) EP1313290B1 (de)
AT (1) ATE346446T1 (de)
DE (1) DE60216218T2 (de)

Families Citing this family (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7224978B2 (en) 2000-12-19 2007-05-29 Bellsouth Intellectual Property Corporation Location blocking service from a wireless service provider
US7428411B2 (en) 2000-12-19 2008-09-23 At&T Delaware Intellectual Property, Inc. Location-based security rules
US7085555B2 (en) 2000-12-19 2006-08-01 Bellsouth Intellectual Property Corporation Location blocking service from a web advertiser
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
EP1488333B1 (de) * 2002-03-01 2010-10-06 Enterasys Networks, Inc. Ortsbewusstes datennetzwerk
JP2004032364A (ja) * 2002-06-26 2004-01-29 Matsushita Electric Ind Co Ltd ネットワークシステム
JP2004180155A (ja) * 2002-11-28 2004-06-24 Ntt Docomo Inc 通信制御装置、ファイアウォール装置、通信制御システム、及び、データ通信方法
US8621102B2 (en) * 2002-12-11 2013-12-31 Broadcom Corporation Automated routing of media through a media exchange network
US7526800B2 (en) * 2003-02-28 2009-04-28 Novell, Inc. Administration of protection of data accessible by a mobile device
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US9237514B2 (en) * 2003-02-28 2016-01-12 Apple Inc. System and method for filtering access points presented to a user and locking onto an access point
US8020192B2 (en) * 2003-02-28 2011-09-13 Michael Wright Administration of protection of data accessible by a mobile device
US20080109679A1 (en) * 2003-02-28 2008-05-08 Michael Wright Administration of protection of data accessible by a mobile device
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
JP2005033740A (ja) * 2003-07-11 2005-02-03 Nec Access Technica Ltd Adslルータの負荷分散型ネットワーク障害監視システム及び方法
JP4305087B2 (ja) * 2003-07-28 2009-07-29 日本電気株式会社 通信ネットワークシステム及びそのセキュリティ自動設定方法
US20050198362A1 (en) * 2003-12-31 2005-09-08 Navada Muraleedhara H. Exception packet forwarding
US7523494B2 (en) * 2004-02-05 2009-04-21 International Business Machines Corporation Determining blocking measures for processing communication traffic anomalies
US7594263B2 (en) * 2004-02-05 2009-09-22 International Business Machines Corporation Operating a communication network through use of blocking measures for responding to communication traffic anomalies
US8126999B2 (en) 2004-02-06 2012-02-28 Microsoft Corporation Network DNA
US8583739B2 (en) 2004-03-02 2013-11-12 International Business Machines Corporation Facilitating the sending of mail from a restricted communications network
US7877599B2 (en) * 2004-05-28 2011-01-25 Nokia Inc. System, method and computer program product for updating the states of a firewall
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
US9100422B1 (en) * 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US7904940B1 (en) * 2004-11-12 2011-03-08 Symantec Corporation Automated environmental policy awareness
US20060130135A1 (en) * 2004-12-10 2006-06-15 Alcatel Virtual private network connection methods and systems
US9288078B2 (en) * 2005-03-25 2016-03-15 Qualcomm Incorporated Apparatus and methods for managing content exchange on a wireless device
US7627971B2 (en) * 2005-04-22 2009-12-08 Fast Industries, Ltd. Tapeless label holders for flat front face shelves
US7779458B1 (en) * 2005-09-20 2010-08-17 Rockwell Collins, Inc. Situation aware mobile location ad hoc firewall
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US20070147397A1 (en) * 2005-12-22 2007-06-28 Jeffrey Aaron Methods, communication networks, and computer program products for configuring a communication tunnel for traffic based on whether a network element can be trusted
US20080022397A1 (en) * 2006-06-14 2008-01-24 Taiwan Semiconductor Manufacturing Co., Ltd. Systems and methods for managing network vulnerability
JP4045461B1 (ja) * 2006-12-28 2008-02-13 富士ゼロックス株式会社 電子機器および画像形成装置
US10348681B2 (en) * 2007-01-24 2019-07-09 International Business Machines Corporation Centralized secure offload of security services for distributed security enforcement points
US8332928B2 (en) * 2007-02-22 2012-12-11 Hewlett-Packard Development Company, L.P. Location attestation service
US8316427B2 (en) 2007-03-09 2012-11-20 International Business Machines Corporation Enhanced personal firewall for dynamic computing environments
US8695081B2 (en) * 2007-04-10 2014-04-08 International Business Machines Corporation Method to apply network encryption to firewall decisions
US8166534B2 (en) * 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
DE102007052128A1 (de) 2007-10-31 2009-05-14 Concept04 Gmbh Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung
US20090232028A1 (en) * 2008-03-11 2009-09-17 Aaron Baalbergen Configuration systems and methods for utilizing location information to configure devices in application systems
US20100107240A1 (en) 2008-10-24 2010-04-29 Microsoft Corporation Network location determination for direct access networks
US8561138B2 (en) * 2008-12-31 2013-10-15 Intel Corporation System and method to provide added security to a platform using locality-based data
US8961619B2 (en) * 2009-01-06 2015-02-24 Qualcomm Incorporated Location-based system permissions and adjustments at an electronic device
US9408078B2 (en) * 2009-12-18 2016-08-02 Nokia Technologies Oy IP mobility security control
US8914841B2 (en) * 2010-11-24 2014-12-16 Tufin Software Technologies Ltd. Method and system for mapping between connectivity requests and a security rule set
KR101206095B1 (ko) * 2010-11-30 2012-11-28 엘에스산전 주식회사 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법
IL212344A (en) * 2011-04-14 2015-03-31 Verint Systems Ltd A system and method for selectively controlling encrypted traffic
KR101258834B1 (ko) 2011-09-23 2013-05-06 삼성에스디에스 주식회사 보안 정책에 의한 모바일 기기 관리장치 및 방법, 그리고 모바일 기기 관리를 위한 관리 서버
US8850513B2 (en) * 2011-12-28 2014-09-30 Samsung Electronics Co., Ltd. System for data flow protection and use control of applications and portable devices configured by location
US20140310776A1 (en) * 2012-01-26 2014-10-16 Christoph J. Graham Control Access Based on Network Status
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) * 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9600441B2 (en) * 2013-03-11 2017-03-21 Samsung Electronics Co., Ltd. Apparatus and method for controlling network access for applications on mobile terminals
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
DE102014000963A1 (de) 2014-01-23 2015-07-23 Unify Gmbh & Co. Kg Verfahren zur Handhabung von Sicherheitseinstellungen in einem mobilen Endgerät bzw. zur Zugangskontrolle, Mobiles Endgerät, Computerprogramm, Softwareprodukt und digitales Speichermedium
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9900285B2 (en) * 2015-08-10 2018-02-20 International Business Machines Corporation Passport-controlled firewall
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US20170205968A1 (en) 2016-01-19 2017-07-20 Regwez, Inc. Multimode user interface
FR3050852B1 (fr) * 2016-04-29 2019-06-07 Vladimir Michael Leal Monteiro Peripherique portable de communication, systeme de protection d'un terminal portable et procede de communication
US11341243B2 (en) 2016-04-29 2022-05-24 Vladimir Mickael LEAL MONTEIRO Mobile communication peripheral, system for protecting a mobile terminal and communication method
IL248306B (en) 2016-10-10 2019-12-31 Verint Systems Ltd System and method for creating data sets for learning to recognize user actions
EP3619634A1 (de) 2017-05-02 2020-03-11 Leal Monteiro, Vladimir Mickaël Tragbares kommunikationsperipheriegerät, system zum schutz eines tragbaren endgeräts und kommunikationsverfahren
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10594725B2 (en) * 2017-07-27 2020-03-17 Cypress Semiconductor Corporation Generating and analyzing network profile data
US10917384B2 (en) * 2017-09-12 2021-02-09 Synergex Group Methods, systems, and media for modifying firewalls based on dynamic IP addresses
TW201926108A (zh) * 2017-12-04 2019-07-01 和碩聯合科技股份有限公司 網路安全系統及其方法
US10785190B2 (en) * 2017-12-13 2020-09-22 Adaptiv Networks Inc. System, apparatus and method for providing a unified firewall manager
CN108092979B (zh) * 2017-12-20 2021-05-28 国家电网公司 一种防火墙策略处理方法及装置
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
WO2020188524A1 (en) 2019-03-20 2020-09-24 Verint Systems Ltd. System and method for de-anonymizing actions and messages on networks
US11323455B2 (en) * 2019-05-14 2022-05-03 Schneider Electric It Corporation Systems and methods for preventing unauthorized communication with an end device on a communication network
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6233686B1 (en) 1997-01-17 2001-05-15 At & T Corp. System and method for providing peer level access control on a network
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
USH1944H1 (en) 1998-03-24 2001-02-06 Lucent Technologies Inc. Firewall security method and apparatus
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US6965929B2 (en) * 2001-06-29 2005-11-15 Intel Corporation Configuring a network device
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices

Also Published As

Publication number Publication date
DE60216218D1 (de) 2007-01-04
EP1313290A1 (de) 2003-05-21
US20030097590A1 (en) 2003-05-22
ATE346446T1 (de) 2006-12-15
US7325248B2 (en) 2008-01-29
EP1313290B1 (de) 2006-11-22

Similar Documents

Publication Publication Date Title
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE60127968T2 (de) Bereitstellung von nahtloser benutzermobilität in einer drahtlosen netzumgebung kurzer reichweite
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE602004011689T2 (de) Verfahren und System zur Handhabung der Übermittlung von Inhalten in Kommunikationsnetzen
DE60121483T2 (de) Sicherheitkommunikationsverfahren, System und Vorrichtung welche erlauben den Sicherheitstyp zu wechseln
DE60314367T2 (de) Verfahren und Vorrichtung zur gleichrangigen Kommunikation
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
WO2018073082A1 (de) Computersystem-architektur sowie computernetz-infrastruktur, umfassend eine mehrzahl von solchen computersystem-architekturen
DE60114763T2 (de) Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE60201716T2 (de) Verfahren und Vorrichtung zum Schutz von E-Commerce-Site gegen Distributed-Denial-of-Service Angriffen
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE102022208744A1 (de) Sicherer fernzugriff auf geräte in sich überlappenden subnetzen
DE60211270T2 (de) Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken
WO2019224001A1 (de) Vorrichtung, system und verfahren zum betreiben eines softwaredefinierten netzwerks
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
EP3529967B1 (de) Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
DE10331307A1 (de) Vorrichtung und Verfahren sowie Sicherheitsmodul zur Sicherung eines Datenzugriffs eines Kommunikationsteilnehmers auf mindestens eine Automatisierungskomponente eines Automatisierungssystems

Legal Events

Date Code Title Description
8364 No opposition during term of opposition