-
Erfindungsgebiet
-
Die
vorliegende Erfindung betrifft Netzwerksicherheit und insbesondere
persönliche
Firewalls.
-
Hintergrund der Erfindung
-
Bekanntermaßen wird
eine Firewall als eine Reihe Komponenten angesehen, die zwischen
zwei oder mehr Netzwerken einen Zugang bilden. Somit hat eine Firewall
einen Zugang, der gleichzeitig als Verbinder und Trenner zwischen
Netzwerken in dem Sinne arbeitet, daß die Firewall den Verkehr,
der durch sie von dem einen Netzwerk zum anderen läuft, bewältigt und
Verbindungen und Pakete, die von dem Administrator des Systems als
unerwünscht bezeichnet
werden, beschränkt.
Physikalisch gesehen ist eine Firewall eine Maschine mit geeigneter Software,
um die ihr zugewiesenen Aufgaben zu erfüllen. Sie kann ein Router,
ein Personalcomputer (PC) oder irgendeine andere Einrichtung sein,
die für derartige
Zwecke Verwendung finden kann. Obgleich Firewalls in den meisten
Fällen
zur Verbindung von lokalen Flächennetzen
(LANs) benutzt werden, d. h. internen Netzwerken für das Internet
sowie zum Schutz gegen Angreifer oder ganz allgemein unerwünschten
Verkehr, können
sie auch zur Trennung und Verbindung verschiedener Segmente von
inneren Netzwerken zu Sicherheitszwecken dienen. Die Vorteile, die
eine Firewall bietet, sind zahlreich. Eine Firewall sichert das
Netz und kann als Werkzeug zur Überwachung
des Verkehrs dienen, insbesondere von außerhalb des Netzes ins Netzinnere,
bewacht von einer Firewall. Da der ganze Verkehr, der für das interne
Netz bestimmt ist, durch die Firewall laufen muß, lassen sich die meisten
Netzsicherheitsaktionen und Verhaltensregeln in diesem speziellen
Punkt konzentrieren. Dies ist natürlich ein kostenmäßiger und
verwaltungstechnischer Vorteil.
-
US-A-6
158 008 beschreibt ein Verfahren zum Updaten von Adressenlisten
für eine
Firewall.
-
EP 0 854 621 beschreibt
einen Filter, der Zugangsregeln enthält, die für einen individuellen Computer
in einem Netz spezifisch sind.
-
Heutzutage
werden Laptop-Computer und andere tragbare Computer-Einrichtungen, benutzt. Während sich
der Computer außerhalb
des internen Netzes befindet, kann er nicht den Vorteil des Schutzes
genießen,
der durch den herkömmlichen
Firewall des "Gateway-Typs" geboten wird. Daher
sind Vorschläge
gemacht worden, um die Sicherheit eines Kunden, der in einem fremden
Netz liegt (ein öffentliches
Netz oder ein internes Netz einer fremden Organisation), zu verbessern.
Diese Versuche beruhen darauf, den Laptop selbst mit Hilfe eines
lokalen Sicherheitsmechanismus zu schützen, hier genannt ein persönlicher
Firewall, der in dem Laptop installiert ist (zusätzlich oder anstelle eines
Firewalls in einem internen Netz, der die an das interne Netz angeschlossenen
Computer schützt).
Der persönliche
Firewall kann als Software verwirklicht werden, die in der Computer-Einrichtung
installiert wird, oder als separate elektronische Einrichtung, die
mit der Computer-Einrichtung verbunden ist.
-
Die
europäische
Patentanmeldung
EP 0 952 715 offenbart
eine Firewall-Sicherheitseinrichtung, die
an einen externen Kommunikationszugang einer Computer-Einrichtung
angeschlossen ist. Der hereinkommende Kommunikationsstrom für die Computer-Einrichtung
aus beispielsweise öffentlichen
Netzen wird durch die Firewall-Sicherheitseinrichtung geschickt.
Die Firewall-Einrichtung bringt übliche
Sicherheitsmaßnahmen
zur Anwendung, um dadurch die Computer-Einrichtung zu schützen.
-
Es
besteht ein spezieller Bedarf an einem derartigen Schutz mit Hilfe
einer persönlichen
Firewall, wenn der Laptop einen Fernzugang aufweisen darf, d. h.
eine VPN (Virtual Private Network)-Verbindung zu dem Firmennetz,
obgleich er mit einem Fremdnetz verbunden ist. Um die Sicherheit
der VPN-Verbindungen zu verbessern, besteht eine bekannte Lösung darin,
das Schutzniveau eines Laptops zu stärken, wenn ein VPN-Tunnel zu
einem Firmennetz hergestellt wird. Das heißt beispielsweise, daß während einer
VPN-Verbindung das Abgeben der IP-Adresse nicht gestattet ist oder
daß irgendwelche
Verbindungsversuche zu dem Laptop zurückgewiesen werden.
-
Dies
reicht natürlich
nicht aus, weil der Laptop geschützt
werden muß,
sobald er an ein Fremdnetz angeschlossen wird, und zwar nicht nur
während
einer VPN-Verbindung.
Laptops werden oftmals von Nichttechnikern benutzt, was das Risiko
erhöht, Sicherheitsaspekte
zu übersehen.
Laptops enthalten empfindliches Mate rial, so beispielsweise Kunden-e-Mails.
Wenn ein Laptop nicht geschützt
wird, sobald er mit einem Fremdnetz verbunden wird, und selbst nur
für eine
kurze Zeitspanne, besteht das Risiko, daß er durch eine hostile Anwendung
infiziert wird. Eine derartige Anwendung kann später aktiviert werden, sobald
der Laptop mit einem internen Netz verbunden wird, und inside-Hilfe
gegen Angriffe bieten.
-
Somit
besteht ein Bedarf, den Laptop mit Hilfe einer persönlichen
Firewall immer dann zu schützen,
wenn der Laptop mit einem Fremdnetz verbunden wird. Wenn jedoch
der Laptop mit einem firmeninternen Netz verbunden wird, kann eine
derartige persönliche
Firewall einen gewissen wesentlichen Verkehr in unerwünschter
Weise verhindern. Beispielsweise sollte die persönliche Firewall die Benutzung
eines Laptops zuhause (internes) Netz und Zugang zu allen Diensten,
beispielsweise Plattensharing, ermöglichen. Selbst in einem Heimnetz
werden manchmal Nicht-IP-Protokolle verwendet. Daher kann eine persönliche Firewall
nicht jederzeit laufen, wenigstens nicht mit derselben Konfiguration,
da die Schutzerfordernisse in einem internen Netz sich von denjenigen
in einem Fremdnetz unterscheiden.
-
Einige
der gegenwärtigen
Lösungen
ermöglichen
die Veränderung
der für
die persönliche
Firewall verwendeten Regelsätze,
d. h. sie erlauben dem Benutzer des Laptops, verschiedene Regelsätze zu benutzen,
wenn der Laptop mit dem internen Netz verbunden ist und wenn er
mit einem Fremdnetz in Verbindung steht. Dies ist jedoch eine manuelle
Bedienung. Da eine manuelle Tätigkeit
gefordert wird, besteht ein hohes Risiko, daß diese Tätigkeit nicht durchgeführt wird.
Das Risiko ist noch größer, wenn der
Endbenutzer die Erfordernisse einer Firewall nicht vollständig versteht.
-
Zusammenfassung
der Erfindung
-
Eine
Aufgabe der Erfindung besteht deshalb darin, die Sicherheit und
Flexibilität
einer persönlichen
Firewall zu verbessern. Diese Aufgabe wird durch die Erfindung gelöst, wie
in den beigefügten unabhängigen Ansprüchen offenbart.
Vorteilhafte Ausführungsformen
sind in den beigefügten
abhängigen
Ansprüchen
offenbart.
-
Eine
Computer-Einrichtung, die mit einem Heimnetz verbunden werden kann
(beispielsweise einem internen Netz einer Firma oder einer Organisation,
bei der der Benutzer angestellt ist) sowie mit einem Fremdnetz (beispielsweise
einem öffentlichen Netz
oder einem internen Netz einer fremden Organisation, ist mit einem
lokalen Sicherheitsmechanismus ausgestattet, hier genannt eine persönliche Firewall,
um die Computer-Einrichtung vor Angriffen aus einem Fremdnetz zu
schützen,
und zwar zusätzlich zu
oder anstelle einer Firewall in dem internen Netz, die den Computer
schützt,
sobald er mit dem internen Netz verbunden wird. Die persönliche Firewall
ist mit unterschiedlichen Sätzen
Sicherheitsregeln versehen, und zwar wenigstens einem Regelsatz
für das Heimnetz
und mindestens einem Regelsatz für Fremdnetze.
In seiner einfachsten Form enthält
der Regelsatz für
das Heimnetz keine Beschränkungen für die Kommunikation
oder die Benutzung eines Dienstes in dem Heimnetz. Die persönliche Firewall ist
so angeordnet, daß sie
ihre augenblickliche Lage feststellt, d. h. das Netz feststellt,
an das sie in dem Augenblick angeschlossen ist. Die persönliche Firewall
aktiviert einen der gegebenen Sicherheitsregelsätze gemäß dem festgestellten
gegenwärtigen
Ort der Computer-Einrichtung,
d. h. die persönliche
Firewall benutzt automatisch die Sicherheitsregeln, die für das Netz
vorgegeben sind, an das die Computer-Einrichtung in dem jeweiligen
Moment angeschlossen ist. Nach Feststellung einer Änderung
in der Lage paßt
sich die persönliche
Firewall sofort an, um Sicherheitsregeln zu benutzen, die für die neue Lage
vorgegeben sind. Ein Vorteil der Erfindung besteht darin, daß der Schutz
einer persönlichen
Firewall immer auf dem richtigen Niveau ermöglicht wird, abhängig von
dem gegenwärtigen
Ort. Andererseits, wenn die Computer-Einrichtung in dem Heimnetz liegt,
kann durch die persönliche
Firewall ein niedrigeres Schutzniveau oder überhaupt kein Schutz automatisch
vorgesehen werden, so daß die
Kommunikation und Dienstleistungen im Heimnetz nicht unangemessen
beschränkt
werden. Somit bietet das automatisierte ortsabhängige Management der unterschiedlichen
Regelsätze
in den verschiedenen Netzen optimalen Schutz, während in dem Heimnetz keine
unangemessene Betriebsbeschränkung
auftritt.
-
Die
augenblickliche Lage der Computer-Einrichtung läßt sich vorzugsweise auf der
Grundlage einer gegenwärtig
verwendeten IP-Adresse der Computer-Einrichtung bestimmen. Das beruht
auf der allgemeinen Praxis, daß eine
Computer-Einrichtung
in unterschiedlichen Netzen eine unterschiedliche IP-Adresse, entweder
eine fixe Adresse oder eine dynamische Adresse, aufweist. Die IP-Adresse
kann daher zur Identifizierung des gegenwärtigen Netzes und der Lage
der Computer-Einrichtung verwendet werden.
-
Es
gibt jedoch Fälle,
in denen die IP-Adresse den gegenwärtigen Ort der Computer-Einrichtung nicht
zeigen kann. Daher wird bei einer Ausführungsform der Erfindung der
augenblickliche Ort, bestimmt auf der Grundlage der augenblicklichen
IP-Adresse der Computer-Einrichtung, dadurch verifiziert, daß eine zusätzliche
Ortsverifikationsprozedur mit einem vorbestimmten Netzelement ausgeführt wird.
Bei einer noch anderen Ausführungsform
der Erfindung wird das Vorhandensein des vorbestimmten Netzelementes
in Bezug auf die gegenwärtige
IP-Adresse überprüft. Das
vorbestimmte Netzelement ist so beschaffen, daß es nur antwortet, wenn die
Computer-Einrichtung sich in dem Netz befindet, in dem sie auf der
Grundlage der gegenwärtigen
IP-Adresse vermutet wird. Wenn das vorbestimmte Netzelement antwortet
und sich richtig selbstbestimmt, gilt die gegenwärtige Lage, die auf der augenblicklichen IP-Adresse
basiert, als verifiziert. Andernfalls bestimmt die Computer-Einrichtung,
daß die
augenblickliche IP-Adresse die augenblickliche Lage der Computer-Einrichtung
nicht anzeigen kann. Der zusätzliche
Verifikationsprozeß macht
es jedoch möglich,
automatisch einen gesicherten Tunnel zu erzeugen, so beispielsweise
einen VPN-Tunnel für
ein Heimnetz, und zwar selbst dann, wenn die Computer-Einrichtung
dieselbe IP-Adresse an dem augenblicklichen Ort wie in dem internen
(Heim-)Netz benutzt. Die vorliegende Erfindung bietet selbst für alleinstehende
persönliche
Firewalls Vorteile, wobei die Sicherheitsregeln durch den Benutzer
lokal festgelegt werden können,
obgleich die Benutzung dieser Regeln automatisiert und ortsabhängig ist.
Mehr Vorteile werden jedoch erreicht, wenn die grundlegende Erfindung
bei einem zentralen Management persönlicher Firewalls benutzt wird.
-
Gemäß einem
Aspekt der Erfindung werden Sicherheitsregeln zentral durch einen
zentralisierten regelbasierten Server definiert, aktualisiert und
verteilt. Insbesondere das Updaten der Regeln ist eine Herausforderung,
da die Regelaktualisierungen so schnell wie möglich angewendet werden müssen. Deshalb
muß der
Prozeß des
Updatens, also der Aktualisierung der Regeln bei den persönlichen
Firewalls automatisiert werden. Das Updaten der Regeln auf Druckknopf
von dem zentralisierten Regelbasisserver aus ist in diesem Fall
keine ausreichende Option. Die Verwendung von DHCP (Dynamic Host Configuration
Protocol), häufiger
Ortswechsel und die Tatsache, daß zu gewissen Zeiten der Laptop nicht
an irgendein Netz angeschlossen werden kann, macht es für das zentralisierte
Netzmanagement nahezu unmöglich,
in den Computervorrichtungen Kontakte mit persönlichen Firewalls herzustellen,
da sich für
das zentralisierte Management keine Möglichkeit bietet, die IP-Adresse,
die die Computer-Einrichtung in einem gegebe nen Moment verwendet,
ausfindig zu machen. Daher ist gemäß einem Aspekt der Erfindung
der persönliche
Firewall so geartet, daß er
periodisch von dem zentralisierten Management das Vorhandensein
aktualisierter Sicherheitsregeln ertragt. Die Fragen sollen nur
gestellt werden, während
sich die Computer-Einrichtung in dem Heimnetz befindet oder wahlweise,
wenn die Computer-Einrichtung einen Fernzugang (beispielsweise VPN-Anschluß) zu dem
Heimnetz hat, während
sie in einem Fremdnetz liegt. Mit anderen Worten, auch der Updatungs-Vorgang
ist von der augenblicklichen Lage der Computer-Einrichtung in ähnlicher
Weise abhängig
wie die Wahl der aktiven Regeln, und ähnliche Verfahren lassen sich
zur Bestimmung der gegenwärtigen
Lage einsetzen.
-
Gemäß einem
anderen Aspekt der Erfindung werden Protokolldateien, die Informationen über einen
Status und die Benutzung von Ressourcen der Computer-Einrichtung enthalten,
an einem zentralen Managementort gehandhabt. Dies ermöglicht,
daß man
persönlich
von Sicherheitsaspekten Kenntnis erlangt, um sich zu vergewissern,
ob irgendwelche Angriffe gegen die Computer-Einrichtung stattgefunden
haben oder nicht. Zu diesem Zweck sendet der persönliche Firewall
die Protokolldateien an das zentrale Management, beispielsweise
einen zentralisierten Protokollserver, sobald die Computer-Einrichtung im
Heimnetz liegt. Wenn jedoch die Computer-Einrichtung von dem Heimnetz
getrennt wird, werden die Protokolldateien gesammelt und lokal in
der Firewall gespeichert. Um ein zentrales Handlung der Protokolldateien
zu ermöglichen, überträgt die persönliche Firewall
die gesammelten Protokolldateien an den zentralen Dateiserver, wenn
ein solcher vorhanden ist. Dies geschieht automatisch immer dann,
wenn die Computer-Einrichtung
mit dem Heimnetz verbunden ist oder wahlweise verbunden wird. Nochmals sei
festgestellt, daß die
Handhabung der Computerdateien in der persönlichen Firewall automatisiert wird
und in einer Weise ortsabhängig
gemacht wird, die der Auswahl aktiver Regeln entspricht, wobei zur Bestimmung
des augenblicklichen Ortes der Computer-Einrichtung ähnliche
Verfahren verwendet werden können.
-
Die
vorliegende Erfindung ermöglicht
den Einsatz einer Computer-Einrichtung in einem Heim-(Intern-)Netz
und den Zugang zu allen Dienstleistungen, beispielsweise Plattensharing
und selbst die Verwendung von Nicht-IP-Protokollen, die oftmals
in Fremdnetzen versagt.
-
Kurze Beschreibung der
Zeichnungen
-
Bevorzugte
Ausführungsformen
der Erfindung werden jetzt unter Bezug auf die beigefügten Zeichnungen
beschrieben, in denen sind:
-
1 ein
schematisches Blockdiagramm einer beispielhaften Netzkonfiguration,
für die
die vorliegende Erfindung anwendbar ist;
-
2 ein
beispielhafter Protokollstapel einer Computer-Einrichtung, die eine
persönliche
Firewall gemäß der vorliegenden
Erfindung enthält;
-
3 beispielhafte
Auswahlregeln und eine Sicherheitsregelbasis sowie ihren Zusammenhang;
-
4 ein
Fließbild
einer ortsabhängigen
Regelbasisauswahl gemäß einer
Ausführungsform
der Erfindung;
-
5 und 6 Fließbilder
zur Illustrierung der Ortsverifikationsprozedur gemäß einer
Ausführungsform
der Erfindung;
-
7 und 8 Fließbilder
zur Illustration des Regelbasisupdatens gemäß einer Ausführungsform
der Erfindung; und
-
9 ein
Fließbild
zur Illustration der Handhabung von Protokolldateien gemäß einer
Ausführungsform
der Erfindung.
-
Bevorzugte
Ausführungsformen
der Erfindung
-
Die
vorliegende Erfindung kann für
persönliche
Firewalls in jeder Computer-Einrichtung
angewendet werden, die beweglich ist und an unterschiedliche Netze
angeschlossen werden kann. Typisch für solche Einrichtungen sind
tragbare Computer wie Laptops, PDAs, Communikatoren, Smartphones,
intelligente Telekommunikationseinrichtungen usw. Bei den folgenden
Ausführungsbeispielen
der Erfindung wird ein Laptop-Computer als Beispiel für geeignete
Computer-Einrichtungen
verwendet.
-
1 zeigt
ein schematisches Blockdiagramm einer beispielhaften Netzkonfiguration.
Die Konfiguration wird nur zur Erleichterung des Verständnisses
sowie der Beschreibung der vorliegenden Erfindung gezeigt. Die vorliegende
Erfindung soll nicht auf irgendeine spezielle Netzkonfiguration
beschränkt
werden. Darüber
hinaus werden zur Verbesserung der Klarheit in 1 nur
Netzelemente gezeigt, die mit der vorliegenden Erfindung in irgendeinem
Zusammenhang stehen.
-
Wie
aus 1 ersichtlich, sind die privaten lokalen Netze 10 und 13 mit
einem öffentlichen
Netz über
Firewalls 5 bzw. 7 verbunden, beispielsweise dem
Internet 12. Natürlich
kann die Verbindung zwischen den privaten Netzen und dem öffentlichen
Internet 12 auch Router und Internetserviceprovider (ISPs,
in 1 nicht gezeigt) aufweisen. Wie aus dem Stand
der Technik bekannt, können
private Netze 10 und 13 beispielsweise Firmennetze,
wie lokale Flächennetze
(LANs) sein, die Benutzer und Betriebsmittel, wie beispielsweise
Workstations, Server, Drucker und dergleichen, der Firma verbinden.
Ein privates internes Netz kann auch aus mehreren Unternetzen bestehen,
die durch interne Firewalls getrennt sind. Bei der in 1 gezeigten
beispielsweisen Netzkonfiguration ist das private Firmenunternetz 11 über einen
Firewall 6 mit dem privaten lokalen Netz 10 verbunden.
Ein derartiges Unternetz 11 kann beispielsweise ein Netz
sein, das einer speziellen Abteilung der Organisation zugeordnet
ist, wie beispielsweise der Research- und Entwicklungs- (R&D-)Abteilung,
die im Vergleich mit anderen Teilen des Firmennetzes einen beschränkten Zugang
und höheren
Schutzstandard haben muß.
Unternetze der Firma, wie beispielsweise die lokalen Netze der Organisationshauptquartiere
und Zweigbüros,
können durch
Sicherheitsverbindungen, wie beispielsweise ein virtuelles privates
Netz (VPN) miteinander verbunden sein.
-
Wie
bereits oben beschrieben, sind die Firewalls 5, 6 und 7 Zugänge, die
gleichzeitig als Verbinder und Separatoren zwischen den Netzen in
einem Sinne arbeiten, daß der
Firewall dem Verkehr, der durch ihn von einem Netz zum anderen hindurchläuft passieren
läßt und Verbindungen
und Partikel, die von dem Administrator des Systems als unerwünscht gekennzeichnet
werden, verhindert. Physikalisch gesehen, ist ein Firewall eine
Maschine mit geeigneter Software, die die ihr zugewiesene Aufgabe
erfüllt.
Sie kann ein Router, ein Personalcomputer (PC) oder was auch immer
für derartige
Zwecke dienlich ist, sein.
-
Die
Firewalls zwischen Netzen und ihre Verwirklichung sind jedoch für die vorliegende
Erfindung nicht relevant.
-
Die
vorliegende Erfindung bezieht sich auf den Schutz der Computer-Einrichtung,
beispielsweise des Laptops selbst, mit Hilfe eines lokalen Sicherheitsmechanismus,
hier genannt eine persönliche Firewall,
installiert auf dem Laptop zusätzlich
oder anstelle einer Firewall in einem privaten Netz. Die persönliche Firewall
kann als Software ausgeführt werden,
die als bevorzugtes Ausführungsbeispiel
in der Computereinrichtung installiert ist oder in dem Computer
läuft oder
als separate elektronische Einrichtung, die mit der Computer-Einrichtung
verbunden ist. 1 zeigt die Laptops 1, 2, 3 und 4,
die mit einem persönlichen
Firewall ausgestattet sind.
-
2 zeigt
das grundlegende Prinzip einer in einem Laptop installierten persönlichen
Firewall. Physikalische und Netzschichten 200 beziehen
sich auf alle Protokolle und physikalischen Verbindungen, die zur Übertragung
von Protokolldateneinheiten (PDUs) der oberen Schichten erforderlich
sind. Die oberen Schichten 200 enthalten Anwendungen und beliebige
benutzte Übertragungsprotokolle,
beispielsweise Internetprotokolle (IP), Übertragungssteuerungsprotokolle
(TCP), NetPEUI, IPX usw. Grundsätzlich
arbeitet die persönliche
Firewall-Schutzschicht 201 in einer einer Firewall zwischen
Netzen analogen Weise. Im einzelnen arbeitet die persönliche Firewall-Schutzschicht 201 gleichzeitig
als Verbinder und Separator zwischen den darunter befindlichen Schichten
und der oberen Schicht in dem Sinne, daß der persönliche Firewall den Verkehr,
der durch ihn von den unteren Schichten zu den oberen Schichten
und umgekehrt hindurchläuft,
verfolgt und Verbindungen sowie Pakete, die gemäß den verwendeten Sicherheitsregeln
als unerwünscht
definiert sind, zurückhält. Die
persönliche
Firewall-Schutzschicht 201 wird durch eine persönliche Firewall-Anwendung 203,
die in dem Laptop läuft,
implementiert oder gesteuert. Bei einer bevorzugten Ausführungsform
der Erfindung führt
die persönliche Firewall-Anwendung 203 die
oben beschriebene Aufgabe der Ortsfeststellung sowie ortsabhängige Funktionen
aus, beispielsweise die Auswahl der aktiven Regelbasis gemäß dem gegenwärtigen Ort
des Laptops. Es wird jedoch darauf hingewiesen, daß die vorliegende
Erfindung nicht auf irgendeine spezielle praktische Verwirklichung
der persönlichen
Firewall beschränkt
sein soll.
-
Gemäß den Grundlagen
der vorliegenden Erfindung hat der persönliche Firewall verschiedene Regelsätze für das Heimnetz
(so beispielsweise das private Firmennetz 10) und das Fremdnetz,
so beispielsweise das öffentliche
Internet 12 oder das fremde private Netz 13 oder
ein Netz einer anderen Abteilung der Firma. Für die vorliegende Erfindung
spielt es keine Rolle, welche Art von Sicherheitsregeln zur Anwendung
gelangten, jedoch werden einige Beispiele in der 3 gegeben.
So kann beispielsweise eine Regelbasis 301 für das fremde
Firmennetz zulässige
Protokollverbindungen auflisten wie das Hyper-Text-Transfer-Protokoll
(http), das gesicherte http (Https), die Domainnamen-Dienstleistung
(DNS), das Einzelnachricht-Übermittlungsprotokoll
(SMTP) und eine VPN-Verbindung mit Ipsec. Bei der bevorzugten Ausführungsform
der Erfindung sind diese Regeln exklusiv, mit anderen Worten, durch
den persönlichen
Firewall werden andere Protokolle und Verbindungen gesperrt und
blockiert. Für
ein Standardnetz, das das öffentliche
Internet 12 sein kann, ist die Regelbasis 302 ähnlich der
Regelbasis 301 mit Ausnahme der Tatsache, daß das SMTP-Protokoll
nicht länger
zugelassen ist. Für
das Heimnetz 10 ist eine Regelbasis 300 festgelegt.
Die zugelassenen Protokolle weisen zusätzlich zu dem http, https und
SMTP auch andere Übermittlungsprotokolle
auf, wie beispielsweise NetBEUI und IPX. Die Regelbasis 300 läßt auch
ein Plattensharing für
vorgegebene Server, die NetBIOS verwenden, zu. Andere Protokolle
und Verbindungen werden gesperrt. Es ist auch möglich, daß die Regelbasis 300 alle
Protokolle und Verbindungen in dem Heimnetz zuläßt. Da das Heimnetz durch einen
Firmen-Firewall geschützt
ist, kann die Verwendung einer persönlichen Firewall in dem Heimnetz
als nicht erforderlich angesehen werden. Der Firmen-Firewall gibt
jedoch Schutz nur gegen Angriffe von außerhalb des Heimnetzes, so
daß die
Verwendung eines persönlichen
Firewall-Schutzes zum Schutz gegen Angriffe aus dem Heimnetz notwendig sein
kann.
-
Die
verschiedenen Regelbasen können
von einem Benutzer von Hand aktiviert werden. Gemäß dem grundlegenden
Prinzip der vorliegenden Erfindung wählt jedoch der persönliche Firewall
automatisch die richtige Regelbasis gemäß der augenblicklichen Lage
des Laptops aus und aktiviert sie.
-
4 zeigt
ein Fließbild,
das die Auswahl der Regelbasis gemäß der einen Ausführungsform der
vorliegenden Erfindung betrifft. Die einfachste Weise zur Bestimmung
des gegenwärtigen
Ortes des Laptops geschieht nur auf der Grundlage der gegenwärtig benutzten
IP-Adresse. Dies ist in den Fällen möglich, in
denen der Laptop in unterschiedlichen Netzen eine unterschiedliche
IP-Adresse hat, entweder eine fixe oder eine dynamische Adresse.
Wie beim Stand der Technik bekannt, identifiziert ein Teil der IP-Adresse
das Netz und läßt sich
auf diese Weise zur Feststellung des augenblicklichen Netzes des Laptops
benutzen. Der persönli che
Firewall kann beispielsweise Informationen über den IP-Adressenraum des
Heimnetzes und, falls gewünscht,
von Fremdnetzen enthalten oder eine Liste von Adressen, die für den Laptop
in dem Heimnetz zur Verfügung
stehen.
-
Wenn
die gegenwärtige
IP-Adresse des Laptops zu einem gegebenen Adressenraum oder beispielsweise
einer Adressenliste des Heimnetzes 10 paßt, kann
angenommen werden, daß der
Laptop in dem Heimnetz 10 liegt und die Regelbasis 300 des Heimnetzes 10 benutzt
wird. Somit wird die gegenwärtige
IP-Adresse als Auswahlregel zur Aktivierung der Regelbasis 300 eingesetzt.
Es besteht jedoch eine gewisse Unsicherheit bei der Bestimmung des Platzes,
wenn dies nur auf der Grundlage der gegenwärtigen IP-Adresse geschieht,
und deshalb werden einige Näherungsschritte
zur Überwindung
dieses Problems unter Bezug auf weitere Ausführungsformen der Erfindung
im folgenden beschrieben.
-
Um
nochmals auf das allgemeine Fließbild, das in 4 gezeigt
ist, zurückzukommen,
ist festzustellen, daß die
gegenwärtige
IP-Adresse des Laptops zunächst
in der Stufe 401 bestimmt wird. Die gegenwärtige IP-Adresse
läßt sich
am einfachsten durch Erfragen aus dem Betriebssystem des Laptops durch
Benutzung des IP-Konfigurationsprogramms erhalten. Der gegenwärtige Platz
des Laptops wird ständig überwacht
und deshalb kann der persönliche Firewall
so konfiguriert werden, um die gegenwärtige IP-Adresse aus dem Betriebssystem
periodisch zu erfragen. Noch vorteilhafter ist es, wenn das Betriebssystem
des Laptops so konfiguriert werden kann, daß alle Änderungen in der IP-Adresse
an den persönlichen
Firewall übermittelt
werden, so daß die Notwendigkeit
dafür,
die IP-Adresse von Zeit zu Zeit zu ertragen, vermieden werden kann.
Der Schritt 401 kann auch die Verifizierung des auf der
Grundlage der IP-Adresse bestimmten Platzes durch ein Verifizierungsverfahren
enthalten, das im folgenden beschrieben wird. Im Schritt 402 vergleicht
der persönliche
Firewall die gegenwärtige
IP-Adresse mit der in der persönlichen
Firewall gespeicherten laufenden IP-Adresse. Falls sich die IP-Adresse
nicht geändert hat,
kann die gegenwärtige
aktive Regelbasis beibehalten werden. Wenn jedoch die IP-Adresse
sich geändert
hat, überprüft der persönliche Firewall,
ob die neue IP-Adresse zu irgendeinem IP-Adressenraum paßt oder
die IP-Adresse zu einem der Netze auf der Auswahlregelliste in der
persönlichen
Firewall (Schritt 403) gehört. Wenn die neue Adresse nicht
zu irgendeinem Netz auf der Auswahlregelliste gehört, betrachtet
der persönliche
Firewall das gegenwärtige Netz
als ein nicht identifiziertes Netz, und eine Voreinstellungs-Regelbasis 302 wird
ausgewählt
(Stufe 404). Wenn das Netz nicht identifiziert werden kann und
die Voreinstellungsregelbasis benutzt werden muß, wird normalerweise angenommen,
daß sich
der Laptop in einer potentiell übergeordneten
Umgebung befindet, aller Wahrscheinlichkeit nach in dem öffentlichen
Internet 12. Daher wird die Voreinstellungsbasisregel gewöhnlich so
definiert, daß sie
den maximal erforderlichen Schutz liefert. Wenn die neue IP-Adresse
zu einem der Netze gehört,
die auf der Auwahlregelliste im Schritt 403 zu finden sind,
so bedeutet dies, daß das
Netz identifiziert worden ist und eine Regelbasis mit dem identifizierten
Netz (oder der korrespondierenden Auswahlregel) gewählt und aktiviert
wird (Schritt 405). Bei der einfachsten Anwendung weisen
die Auswahlregeln nur das Heimnetz des Laptops und den entsprechenden
IP-Adressenraum oder Adressenliste auf. Wenn die gegenwärtige IP-Adresse
zu dem Heimnetz gehört,
wird die Regelbasis 300 des Heimnetzes 10 benutzt.
Anderenfalls wird die Regelbasis 310 für Fremdnetze oder die Voreinstellungsregelbasis 302 verwendet.
Bei einer komplizierteren Anwendung sind Auswahlregeln (d. h. IP-Adressen
und zugehörige
Regelbasen) auch für
wenigstens ein Fremdnetz und/oder verschiedene Segmente des Heimnetzes 10 vorhanden.
-
Bei
den oben beschriebenen Beispielen gibt es zwei oder mehr Regelbasen,
die auf der Grundlage des gegenwärtigen
Platzes des Laptops freigegeben oder nicht freigegeben werden. Es
gibt jedoch auch alternative Wege zur Anwendung unterschiedlicher
Regelbasen. Eine Alternative besteht darin, nur eine Regelbasis
zu schaffen, für
die die Regeln in unterschiedlichen Kombinationen auf der Grundlage des
gegenwärtigen
Platzes des Laptops freigegeben und nicht freigegeben werden.
-
Wie
oben bereits erwähnt,
gibt es Situationen, in denen der Platz (das gegenwärtige Netz),
bestimmt auf der Grundlage der gegenwärtigen IP-Adresse, unsicher
ist, d. h. die IP-Adresse ist nicht in der Lage, den gegenwärtigen Platz
oder Ort des Laptops anzuzeigen. Wenn die IP-Adresse nicht zu dem
gegenwärtigen
Netz paßt,
ist die Benutzung des Internetprotokolls (IP) zum Angriff auf den
Laptop, unwahrscheinlich, und man kann annehmen, daß in diesem
Fall ein persönlicher
Firewall nicht verwendet werden muß. Es besteht jedoch noch eine
Möglichkeit,
daß ein
Angriff unter Verwendung anderer Protokolle, beispielsweise dem
Net-BEUI oder IPX
stattfindet. Wenn die Situation festgestellt wird, in der die IP-Adresse des Laptops
keine IP-Adresse des gegenwärtigen
Netzes ist, besteht die Möglichkeit,
derartige Protokolle zu blockieren, während sie sich in Fremdnetzen
befinden. Darüber
hinaus werden häufig
NAT (Netz-Adressen-Übersetzung)
und private IP-Adressen benutzt. D. h., dieselbe IP-Adresse wird in
mehreren Netzen verwendet. In diesem Fall reicht es nicht aus, nur
auf die IP-Adressen-Information zu vertrauen, wenn die Lage des
Laptops bestimmt wird. Es ist sogar möglich, daß bei einer Verwendung mit einem
Hostnetz das DHCP (dynamische Host-Konfigurations-Protokoll) eine bekannte
IP-Adresse liefert, um dadurch das Angreifen des Laptop zu erleichtern. Grundsätzlich ermöglicht das
DHCP einzelnen Computern an einem Netz, mit einem DHCP-Server in Verbindung
zu treten, wie beispielsweise dem Server 9 von 1,
sowie die Zuordnung einer dynamischen IP-Adresse des vorhandenen
Netzes.
-
Somit
wird gemäß einem
Aspekt der Erfindung zusätzlich
zu der Feststellung des Ortes auf der Grundlage der gegenwärtigen IP-Adresse,
wie oben beschrieben, eine weitere Ortsverifikationsprozedur mit
einem vorbestimmten Netzelement ausgeführt, das vorzugsweise nur von
dem zu verifizierenden Ort erreichbar ist. Allgemeiner gesagt heißt das,
das Netzelement wird so gewählt,
daß es
auf die Verifikationsforderung nur anspricht, wenn die Forderung
von dem zu verifizierenden Ort (beispielsweise das Netz) herrührt. Vorzugsweise
ist das spezielle Netzelement mit einem Ortsverifikationsservice
ausgestattet, der die Verifikation gemäß der Erfindung unterstützt. Die Verifikationsprozedur
erfordert, daß das
Verifikationsverfahren für
den persönlichen
Firewall gekennzeichnet wird, und zwar vorzugsweise zur selben Zeit wie
die verschiedenen Orte. Mit anderen Worten, die Verfahren zur Verifizierung
des Ortes werden für
den persönlichen
Firewall beispielsweise in der Anfangskonfiguration gekennzeichnet.
Es besteht auch die Möglichkeit,
die Verifikationsverfahren mit Hilfe der unten beschriebenen Updatungs-
oder Aktualisierungsprozedur zu aktualisieren oder zu ändern, und zwar
in gleicher Weise wie andere Sicherheitsregeln.
-
Eine
Ortsverifikationsprozedur gemäß einer Ausführungsform
der Erfindung ist in Bezug auf die 5 und 6 beschrieben.
Zunächst
wird der gegenwärtige
Ort auf der Basis der gegenwärtig
benutzten IP-Adresse, wie oben beschrieben (Schritt 501) bestimmt.
Danach wählt
der persönliche
Firewall ein bestimmtes Netzelement, das für die Verifikation von dem
bestimmten gegenwärtigen
Platz (Schritt 502) zur Verfügung stehen sollte. Dann sendet
der persönliche
Firewall an das ausgewählte
Netzelement eine Aufforderung zur Absendung einer Antwort mit gewissen
Daten, die die Identität
des Netzelementes beweisen (Schritt 503). In 6 ist
dargestellt, daß das
verifizierende Netzelement die Verifizierungsaufforderung (Schritt 601)
von einer persönlichen
Firewall empfängt.
Daraufhin sendet das Netzelement entweder ständig in Beantwortung der Verifizierungsaufforderung
oder nur dann, wenn vorbestimmte Erfordernisse erfüllt sind,
die Antwort mit den verlangten Identitätsdaten an die persönliche Firewall (Schritt 602).
Wiederum in Bezug auf 5 ist darauf hinzuweisen, daß der persönliche Firewall
auf eine Antwort wartet (Schritt 504), und falls keine
Antwort eingeht (vorzugsweise in einer vorbestimmten Zeitspanne),
wird der Ort, der auf der Basis der gegenwärtigen IP-Adresse bestimmt ist, zurückgewiesen und
als unbekannt ausgewiesen (Schritt 505). In diesem Fall
können
ein Vorgabeort und eine zugeordnete Regelbasis, beispielsweise die
Regelbasis 300, verwendet werden.
-
Wenn
jedoch von dem Netzelement in der Stufe 504 die Antwort
erhalten wird, verifiziert der persönliche Firewall die Identität des Netzelementes auf
der Basis der empfangenen Identitätsdaten, beispielsweise durch
Vergleichen der empfangenen Identitätsdaten mit den in der persönlichen
Firewall gespeicherten Identitätsdaten
(Schritt 506). Wenn die Verifizierung der Identität nicht
erfolgreich ist (Schritt 507) läuft das Verfahren zu dem oben
beschriebenen Schritt 505 weiter. Wenn jedoch die Verifizierung
der Identität
des Netzelementes erfolgreich ist, ist auch der Ort des Laptops,
der auf der Basis der gegenwärtigen
IP-Adresse bestimmt wurde, erfolgreich verifiziert worden und kann
akzeptiert werden. Dazu kommt, daß es möglich ist, daß eine IP-Adresse
in mehr als einer Auswahlregel in der persönlichen Firewall enthalten
ist. In diesem Fall, wenn die Verifizierung des Laptops, der sich
in einem ersten Netz befindet, das durch die gegenwärtige IP-Adresse angezeigt
wird, mißlingt,
wird überprüft, ob der
Laptop in einem zweiten Netz liegt, das durch die gegenwärtige IP-Adresse
angezeigt wird. Es gibt verschiedene Wege, die obene beschriebene
generelle Ortsverifikationsprozedur durchzuführen. Die einfachste Weise,
den Ortsverifikationsservice anzuwenden, besteht darin, ein in gewisser
Weise bekanntes Element (bekannt dem persönlichen Firewall) zu prüfen. Beispielsweise
ist es möglich,
die Mac-Adresse des bekannten Netzelementes, das in dem Heimnetz
liegt und eine bekannte IP-Adresse aufweist, zu befragen. Das Netzelement
gibt in Beantwortung die Mac-Adresse zurück, und falls die Mac-Adresse
derjenigen entspricht, von der angenommen wird, daß es sein
kann (beispielsweise paßt sie
zu der Mac-Adresse, die in der persönlichen Firewall gespeichert
ist), dann ist nachgewiesen, daß der Laptop
sich in dem Heimnetz befindet. Falls die Mac-Adresse nicht stimmt,
wird festgestellt, daß der Laptop
sich außerhalb
des internen Netzes befindet.
-
Eine
mögliche
Anwendung besteht darin, daß der
Ortsverifikationsservice bei einem solchen Netzelement in einem
internen Netz ausgeführt
wird, das nur von innerhalb des internen Netzes erreicht werden
kann. So kann beispielsweise der das interne Netz schützende Firewall,
wie der Firewall 5 in 1, so gestaltet
werden, daß alle
Verbindungen von außerhalb
des internen Netzes mit diesem Netzelement aufgegeben werden. Wenn
der persönliche
Firewall dieses spezielle Netzelement erreichen kann, ist nachgewiesen,
daß der
persönliche
Firewall innerhalb des internen Netzes liegt. Andernfalls liegt
der persönliche
Firewall außerhalb
des internen Netzes. Es kann mehrere solcher Ortsverifikationshilfen
in mehreren internen Netzen oder Unternetzen geben, und wenn der
persönliche
Firewall eine von ihnen erreichen kann, dann wird angenommen, daß er sich außerhalb
der mehreren internen Netze oder Unternetze befindet.
-
Die
Ortsverifikationshilfe kann Bestandteil der Netzfirewall sein, so
beispielsweise die Ortsverifikationshilfe 50 in der Firewall 5 von 1.
Beispielsweise können
Verifikationsanfragen nur von der Richtung des internen Netzes (beispielsweise des
Heimnetzes 10) durch die Ortsverifikationshilfe 50 beantwortet
werden. Diese Anwendung ist ziemlich direkt, weil die vorhandenen
Firewalls durchaus in der Lage sind, festzustellen, aus welcher
Richtung, d. h. von welchem Interface, ein Datenpaket kommt.
-
In
jedem Fall wird bevorzugt, daß der
persönliche
Firewall mit der Ortsverifikationshilfe kommuniziert, indem ein
einigermaßen
kryptografisch starkes Verfahren Verwendung findet, beispielsweise die öffentliche
Verschlüsselung.
Beispielsweise kann SSL Verwendung finden. Sicherlich läßt sich
die Verifikation des Ortes weiter dadurch verbessern, daß das TTL
(Lebenszeit)-Gebiet bei der Ortsverifikationsanfrage auf einem relativ
niedrigem Wert eingesetzt wird, so daß die Anfrage nur eine nahe
gelegene Ortsverifikationshilfe erreichen kann. Der TTL-Wert wird
jedesmal dann, wenn die Verifikationsanfrage durch einen Router
läuft,
der verschiedene Netzwerke oder Netzwerksegmente verbindet, heruntergesetzt.
Wenn der TTL-Wert beispielsweise auf den Wert Null gesetzt wird,
kann die Verifikationsanfrage nicht durch einen Router zu einem
anderen Netz oder Netzsegment laufen.
-
Die
Verwendung einer zusätzlichen
Ortsverifikation macht es jedoch möglich, automatisch einen VPN-Tunnel
zum Heimnetz zu erzeugen, und selbst dann, wenn der gegenwärtige Ort
(ein fremdes Netz) dieselbe IP-Adresse benutzt wie in dem internen Netz.
-
Alle
oben beschriebenen Ausführungsformen
arbeiten sowohl in Verbindung mit allein stehenden Computern als
auch mit zentral betriebenen Computern. Das zentrale Management
von persönlichen
Firewalls ermöglicht
ein gleichmäßiges Schutzniveau
in allen Computereinrichtungen, die das private Netz benutzen. Ein
Merkmal des zentralen Managements besteht darin, daß vorzugsweise
alle persönlichen
Firewalls im wesentlichen gleiche Sicherheitsregeln haben. Auch
sollte es möglich
sein, diese zu aktualisieren, also upzudaten. Vorzugsweise werden
Regelaktualisierungen in den Firewalls durchgeführt, nachdem sie in dem zentralen
Management erfolgt sind. Da es nicht ausreicht, sich auf das manuelle
Updaten durch den Benutzer zu verlassen, muß der Prozeß des Updatens der Regeln automatisiert werden.
Deshalb reicht die Verteilung der aktualisierten Regeln durch an
die Übertragung
mittels Drucktaste von dem zentralen Management in einem Fall nicht
aus, in dem die persönlichen
Firewalls sich von dem einen Netz zum anderen bewegen können. Daher
sind, gemäß einem
Aspekt der Erfindung, die persönlichen
Firewalls so angeordnet, daß sie
periodisch die Verfügbarkeit
der Aktualisierungsregeln von einem zentralen Management abfragen.
Eine Updatungsprozedur gemäß einer
Ausführungsform
der Erfindung ist unter Bezug auf die 7 und 8 beschrieben.
-
Zunächst mißt ein persönlicher
Firewall eine vorbestimmte Updatungsperiode, die jede beliebige Zeitspanne
sein kann, vorzugsweise ein Tag oder mehrere Tage (Schritt 701).
Im Schritt 702 überprüft der persönliche Firewall,
ob die Updatungsperiode abgelaufen ist, und falls nicht, kehrt die
Prozedur zum Schritt 701 zurück. Sobald die Updatungsperiode
abgelaufen ist, überprüft der persönliche Firewall,
ob der gegenwärtige
Ort des Laptops sich in dem Heimnetz befindet (Schritt 703)
oder in einem anderen Unternetzwerk derselben Firma. Die Ortsbestimmung basiert
vorzugsweise auf den oben beschriebenen Verfahren. Wenn sich der
gegenwärtige
Ort im Heimnetzwerk befindet, läuft
das Verfahren direkt zum Schritt 705 weiter. Wenn jedoch
der gegenwärtige
Ort nicht im Heimnetz liegt, wartet der persönliche Firewall auf den Laptop,
um zum Heimnetz zurückzukehren
(Schritt 704) oder eine Verbindung (beispielsweise VPN)
zum Heimnetz herzustellen, bevor die Prozedurch zum Schritt 705 weiterläuft. Im
Schritt 705 sendet der persönliche Firewall an das zentrale
Management eine Regelupdatungsanfrage, so beispielsweise den persönlichen
Firewall-Management-Server 8 in 1. Wie jetzt
aus 8 ersichtlich, empfängt das persönliche Firewall-Management 8 die
Regelupdatungsanfrage von der persönlichen Firewall (Schritt 801)
und verschickt aktualisierte, also upgedatete Regeln, falls solche
vorliegen, an den persönlichen
Firewall (Schritt 802). Wie wiederum aus 7 ersichtlich, überprüft der persönliche Firewall,
ob die von dem persönlichen
Firewall-Management 8 erhaltene Antwort Regelaktualisierungen
enthält
(Schritt 706) und falls nicht, kehrt der Prozeß zu dem
Schritt 701 zurück,
um die nächste
Updatungsperiode zu beurteilen. Wenn jedoch Regelaktualisierungen
empfangen worden sind, aktualisiert der persönliche Firewall die entsprechenden
Regelbasen, die in dem Laptop gespeichert sind (Schritt 707).
-
Es
ist ebenfalls vorteilhaft, wenn die sich auf die Kommunikationsübertragungen
des Laptop beziehenden Protokolle an einem zentralen Ort behandelt
werden. Da die Laptops häufig
von dem Heimnetz getrennt sind, müssen Protokolle lokal gesammelt
werden. Um eine zentrale Handhabung zu ermöglichen, müssen die Protokolle einem zentralen Protokollserver übermittelt
werden, so beispielsweise dem persönlichen Firewall-Management 8,
wenn ein solches zur Verfügung
steht. Dies sollte automatisch geschehen, sobald die Computer-Einrichtung,
die mit einer persönlichen
Firewall ausgestattet ist, an ein Heimnetz angeschlossen wird. 9 zeigt
die Protokollhandhabung gemäß einer
Ausführungsform
der Erfindung.
-
Zunächst erzeugt
der persönliche
Firewall jedesmal dann, wenn der Laptop mit einem Kommunikationsvorgang
betroffen ist, beispielsweise einer Internet-Session (Schritt 91)
eine Protokolldatei. Dann bestimmt der persönliche Firewall den gegenwärtigen Ort
des Laptop, vorzugsweise auf der Grundlage der oben beschriebenen
Ortsbestimmungsverfahren (Schritte 92 und 93).
Wenn der Ort des Laptops sich in dem Heimnetz oder einem anderen
Unternetz derselben Firma befindet, sendet der persönliche Firewall
sofort die Protokolldatei an den zentralen Protokollserver 8 (Schritt 94).
Falls jedoch der gegenwärtige
Ort des Laptops nicht in dem Heimnetz liegt, läuft das Verfahren zum Schritt 95 weiter,
wo die Protokolldatei lokal gespeichert wird. In ähnlicher
Weise werden eine Reihe Protokolldateien lokal gesammelt, während der
Laptop von dem Heimnetz getrennt wird. Wenn der persönliche Firewall
das nächste
Mal feststellt, daß die
Computer-Einrichtung in dem Heimnetz verlagert worden ist, sendet
er die gesammelten Protokolldateien an den zentralen Dateiserver 8.
Falls gewünscht,
kann der persönliche
Firewall die gesammelten Protokolldateien auch an das persönliche Firewall-Management 8 schicken,
wenn der Laptop eine Verbindung (beispeilsweise VPN) mit dem Heimnetz
hergestellt hat.
-
Es
versteht sich für
die auf diesem Gebiet tätigen
Fachleute, daß die
beschriebenen Ausführungsformen
nur Beispiele sind und daß verschiedene
Abänderungen
durchgeführt
werden können,
die innerhalb des Schutzumfang der Erfindung liegen, der in den
beigefügten
Ansprüchen
definiert ist.