DE60302003T2 - Handhabung von zusammenhängenden Verbindungen in einer Firewall - Google Patents

Handhabung von zusammenhängenden Verbindungen in einer Firewall Download PDF

Info

Publication number
DE60302003T2
DE60302003T2 DE60302003T DE60302003T DE60302003T2 DE 60302003 T2 DE60302003 T2 DE 60302003T2 DE 60302003 T DE60302003 T DE 60302003T DE 60302003 T DE60302003 T DE 60302003T DE 60302003 T2 DE60302003 T2 DE 60302003T2
Authority
DE
Germany
Prior art keywords
connection
contiguous
input
output
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60302003T
Other languages
English (en)
Other versions
DE60302003D1 (de
Inventor
Tuomo Syvänne
Matti Leppänen
Riku Salminen
Henri Sara
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stonesoft Corp
Original Assignee
Stonesoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stonesoft Corp filed Critical Stonesoft Corp
Application granted granted Critical
Publication of DE60302003D1 publication Critical patent/DE60302003D1/de
Publication of DE60302003T2 publication Critical patent/DE60302003T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Led Devices (AREA)
  • Fats And Perfumes (AREA)
  • Reverberation, Karaoke And Other Acoustics (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf Netzwerksicherheit und im Besonderen auf Firewalls zur Handhabung von zusammenhängenden Verbindungen in Firewalls.
  • HINTERGRUND DER ERFINDUNG
  • Traditionell wird eine Firewall als eine Gruppe von Komponenten angesehen, die einen Durchgang bilden zwischen zwei oder mehr Netzwerken, die unterschiedliche Sicherheitsanforderungen besitzen. Somit ist eine Firewall ein Durchgang, der zur gleichen Zeit als ein Verbinder und ein Trenner arbeitet zwischen den Netzwerken in einem Sinn dahingehend, dass die Firewall den Verkehr verfolgt, der hier hindurch verläuft von einem Netzwerk zu einem anderen und Anschlüsse und Pakete verhindert, die definiert sind als unerwünscht von dem Administrator des Systems. Physikalisch ist eine Firewall eine Einrichtung mit einer entsprechenden Software, die dieser auferlegte Aufgaben ausführt. Es kann sich dabei um einen Router, einen Personalcomputer (PC) oder um eine beliebige Einrichtung handeln, die für solche Zwecke eingesetzt wird. Die WO 00/60826 beschreibt einen Netzwerkkantenrouter, der mit einem Paketmapper versehen ist, welcher wechselseitiges Ein- und Auslagern von Informationen an einem Ein-Ausgabe-Baustein ausführt.
  • Eine Firewall wird konfiguriert durch Regeln (die eine Regelbasis bilden), welche definieren, welche Datenpakete die Firewall durchlaufen dürfen und welche nicht. Eine Regel umfasst eine Information zur Identifizierung eines Datenpakets (z.B. Quellen- und Bestimmungsadressen und Ein- und Ausgabe-Bausteine) und einer zugeordneten Aktion, die beispielsweise darin liegen kann, das Paket zuzulassen oder zu verweigern. Normalerweise ist alles, was nicht in den Regeln ausdrücklich zugelassen wird, verweigert. Die Aktion kann auch etwa anderes sein als einfach zuzulassen oder zu verweigern. Beispielsweise kann die Aktion, die in der Regel definiert ist, anzeigen, dass eine weitere Aktion unternommen werden muss, bevor ein Datenpaket freigesetzt wird, welches im Prinzip zugelassen ist. Eine derartige weitere Bearbeitung kann beispielsweise eine Netzwerkadressentranslation (NAT), eine Verschlüsselung, eine Entschlüsselung oder eine Virenüberprüfung sein. Auch eine Verweigerungsaktion kann eine weitere Bearbeitung einschließen. Zur Vereinfachung werden hier im Wesentlichen nur die Aktionen des Verweigerns und des Zulassens diskutiert, obwohl die Möglichkeit, weitere Bearbeitungszuordnungen vorzusehen, bei diesen Aktionen nicht ausgeschlossen ist.
  • Eine Firewall kann ein einfaches Paketfilter sein, welches Überschriftengebiete von einem Datenpaket vergleicht mit der Regelbasis und das Datenpaket bearbeitet entsprechend der Regel, die an das Datenpaket angepasst ist. Eine fortgeschrittenere und mächtige Firewall verfolgt auch den Status unterschiedlicher Anschlüsse. Das Prinzip in einer solchen Firewall ist das folgende: Wenn ein Datenpaket, welches einen neuen Anschluss öffnet, bei der Firewall ankommt, wird überprüft auf der Basis der Regelbasis, ob der Anschluss zugelassen werden sollte oder abgewiesen. Wenn der Anschluss zugelassen wird, wird ein Eingang hinzugefügt zu einer Tabelle von offenen Anschlüssen (Anschlussstatustabelle), während ansonsten das Datenpaket einfach entfernt wird. Ein Datenpaket, welches keinen neuen Anschluss öffnet, wird verglichen mit der Anschlussstatustabelle anstatt mit der Regelbasis. Wenn der entsprechende Anschluss in der Tabelle existiert, wird das Datenpaket zugelassen und ansonsten verweigert. Darüber hinaus kann der Anschluss aufrechterhalten werden an dem entsprechenden Eingang der Anschlussstatustabelle. Auf diese Weise werden nur Datenpakete zugelassen, die zu den gültigen offenen Anschlüssen gehören, um die Firewall zu durchlaufen.
  • Manche Datentransferprotokolle bestehen aus mehr als einem getrennten Anschluss. Beispielsweise wird ein erster Anschluss geöffnet und dann wird mindestens ein weiterer Anschluss geöffnet auf der Basis der Information, die erhalten wird von oder übertragen wird innerhalb des ersten Anschlusses (siehe z.B. US-PS 6,219,706). Das heißt, manche Attribute des weiteren Anschlusses werden gehandhabt innerhalb des ersten Anschlusses. Diese werden hier als Ausgangsanschluss bezeichnet (der erste Anschluss) und als zusammenhängender Anschluss (der andere Anschluss). Ein solcher zusammenhängender Anschluss steht immer in Beziehung zu einem Ausgangsanschluss und existiert nicht allein in einem Sinn dahingehend, dass die Öffnung des zusammenhängenden Anschlusses eine Intervention des Ausgangsanschlusses erfordert. Der Ausgangsanschluss kann jedoch beendet werden, bevor der zusammenhängende Anschluss beendet wird. Darüber hinaus kann ein zusammenhängender Anschluss ein Ausgangsanschluss eines weiteren zusammenhängenden Anschlusses sein. Dies trifft beispielsweise zu auf das H.323-Protokoll. Für diese Protokolle muss das Verfahren, welches die oben beschriebenen Anschlüsse zulässt, weiter eingestellt werden, da die Details des zusammenhängenden Anschlusses zuvor nicht bekannt sein müssen.
  • Beispielsweise werden in einem FTP (File Transfer Protocol) die Öffnung und die Attribute eines Datenanschlusses zwischen einem Server und einem Abnehmer in einem getrennten Steueranschluss gehandhabt. (Das heißt, der Datenanschluss ist ein zusammenhängender Anschluss und der Steueranschluss ist ein Ausgangsanschluss.) Damit das FTP durch eine aktive Firewall arbeiten kann, muss ein Eingang, der dem Datenanschluss entspricht, in der Firewall gespeichert werden (d.h. in der Tabelle der zusammenhängenden Anschlüsse oder in einer Anschlussstatustabelle) auf der Basis der Inhalte des Steueranschlusses. Da (alle) Attribute (z.B. Ein-Ausgabe-Bausteine) des Datenanschlusses zuvor nicht erkannt sind, kann eine Firewallregel, die einen speziellen Datenanschluss zulässt, nicht definiert werden. Darüber hinaus ist es erstrebenswert, den Datenanschluss nur für die Zeit zuzulassen, in welcher er für einen legitimen Einsatz benötigt wird. Eine Lösung hierfür liegt darin, einen getrennten Bearbeitungsmodul vorzusehen, der den FTP-Steueranschluss überwacht, die Attribute, die gehandhabt werden für den Datenanschluss, erfasst und die Details des schwebenden Datenanschlusses in der Firewall speichert. Ein Eingang, der den Attributen entspricht, kann in einer getrennten Tabelle von zusammenhängenden Anschlüssen hinzugefügt werden oder ein Eingang kann unmittelbar der Anschlussstatustabelle beigegeben werden. Wenn dann das erste Paket des FTP-Datenanschlusses an der Firewall ankommt, wird es zugelassen auf der Basis des Eingangs, der bereits erzeugt wurde durch diesen getrennten Bearbeitungsmodul, und keine Regeln sind erforderlich, um den Datenanschluss zuzulassen.
  • Es ist möglich, dass ein derartiges getrenntes Modul erzeugt wird durch irgendjemand anderes als die Partei, welche die Firewall verwaltet. Beispielsweise kann ein MSP (Managed Service Provider) oder ein MSSP (Managed Security Service Provider) Kunden Firewalldienste anbieten, so dass die Firewall verwaltet wird durch den MSP oder MSSP und mögliche interne Netzwerke von mehr als einem Kunden werden durch eine Firewall abgesichert. Eine derartige Netzwerkkonfiguration ist in 1 dargestellt. Ein MSP bietet einen Firewallservice für die Kunden A und B an. Somit schließen A und B ihre internen Netzwerke 100 und 102 an das Internet 104 über die Firewall 106 an, die verwaltet wird durch den MSP. Der MSP managet die Firewall 106 von seinem internen Managementnetzwerk 108. Bei dieser Anordnung abonnieren die Kunden eine bestimmte Schutzart von dem MSP und der MSP stellt die Firewall mit den entsprechenden Regeln zur Verfügung. Kunden können jedoch angewiesen werden, eine bestimmte Untergruppe von Firewallregeln zu verwalten, die für ihr Netzwerk spezifisch sind. Alternativ können die Kunden nicht in der Lage sein (und sie werden es möglicherweise nicht brauchen), die Regeln der Firewall zu modifizieren.
  • Nichtsdestoweniger können manche Kunden den Einsatz einiger spezieller Protokolle benötigen, die aus mehr als einem Anschluss bestehen und ein getrenntes Verarbeitungsmodul, welches oben beschrieben wurde, erfordern. Solche spezielle Protokolle werden insbesondere benötigt auf dem Finanz- und Banksektor. Für eine erhöhte Sicherheit können diese Protokolle darüber hinaus unveröffentlicht und/oder kundenspezifisch sein. In derartigen Situationen kann der MSP den Kunden Möglichkeiten bereitstellen, ihre eigenen Bearbeitungsmodule zu erstellen, die hier als Kundenprotokolleagenten bezeichnet werden.
  • Dies erzeugt jedoch ein potenzielles Sicherheitsrisiko. Der Kundenprotokollagent muss die Fähigkeit besitzen, der Anschlussstatustabelle der Firewall Anschlüsse hin zuzufügen, um in der Lage zu sein, die erforderliche Funktionalität bereitzustellen. Der Firewalladministrator (z.B. der MSP) muss andererseits nicht die Möglichkeit besitzen, die Fähigkeit des Kundenprotokollagenten zu begrenzen, um neue Anschlüsse zu ermöglichen, da im Prinzip der Protokollagent irgendeinen der Anschlussstatustabelle hinzufügen könnte, und wenn ein Anschluss existiert in der Anschlussstatustabelle, wird dieser durch Vorgabe zugelassen. Dementsprechend können die Kunden entweder zufällig oder gewollt missliebige Protokollagenten einsetzen, die illegitime Anschlüsse durch die Firewall zulassen.
  • Eine Lösung für dieses Problem liegt darin, in die Regelbasis spezielle Regeln für zusammenhängende Anschlüsse einzuschließen. In diesem Fall wird ein zusammenhängender Anschluss der Anschlusszustandtabelle nur hinzugefügt, wenn es eine Regel gibt, die einen solchen zusammenhängenden Anschluss gestattet. Bei dieser Lösung ist es möglich, alle zusammenhängenden Anschlüsse an eine Adresse/Ein-Ausgabe-Baustein zuzulassen oder zu verweigern. Am häufigsten gibt es jedoch die Notwendigkeit, manche legitime zusammenhängende Anschlüsse zuzulassen und andere zu verweigern. Es ist jedoch unmöglich, zuvor die exakten Details dieser legitimen Anschlüsse zu kennen, d.h. die Ein-Ausgabe-Bausteine, die die zusammenhängenden Anschlüsse verwenden, können mit der Zeit variieren und mehr als ein Protokoll kann die gleichen Ein-Ausgabe-Bausteine für zusammenhängende Anschlüsse benutzen. Dementsprechend ist diese Lösung unzureichend und nicht flexibel genug, insbesondere für den MSP- oder MSSP-Einsatz, und eine neue Lösung ist erforderlich.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Eine Aufgabe der Erfindung liegt darin, ein neues Verfahren, ein Computerprogrammprodukt sowie eine Firewall bereitzustellen zur Handhabung von Datenkommunikationsprotokollen mit mindestens einem Ausgangsanschluss sowie mindestens einem zusammenhängenden Anschluss.
  • Diese Aufgabe der Erfindung wird gelöst, wie dies in den angefügten unabhängigen Ansprüchen gemäß der Erfindung offenbart ist. Bevorzugte Ausführungsformen der Erfindung werden in den abhängigen Ansprüchen offenbart. Die Merkmale, die in einem abhängigen Anspruch beschrieben sind, können weiter kombiniert werden mit Merkmalen, die in einem anderen abhängigen Anspruch zitiert sind, um weitere Ausführungsformen der Erfindung vorzubringen.
  • Die Idee der Erfindung liegt darin, zusammenhängende Anschlüsse zu validieren auf der Basis von Information, welche mit dem Ausgangsanschluss in Beziehung steht, d.h. auf der Basis des Anschlusses, in welchem die Öffnung des zusammenhängenden Anschlusses gehandhabt wird.
  • Nachdem zum Beispiel Attribute eines zusammenhängenden Anschlusses innerhalb eines Ausgangsanschlusses gehandhabt wurden, werden diese Attribute in einen neuen Eingang in einer getrennten zusammenhängenden Anschlusstabelle hinzugefügt zusammen mit der Information bezüglich des Ausgangsanschlusses oder in Bezug auf einen Eingang, auf welchem Information über den Ausgangsanschluss gefunden wird. Dann wird eine spezielle Gruppe von Regeln, die Teil einer normalen Regelbasis für die Firewall sein können oder sich in einer zusätzlichen anderen Regelbasis befinden, eingesetzt, um diesen Eingang zu validieren. Diese Regeln zeigen an, ob die Kombination des zusammenhängenden Anschlusses und des Ausgangsanschlusses zulässig ist. Mit anderen Worten wird überprüft, ob der Ausgangsanschluss autorisiert ist, einen solchen zusammenhängenden Anschluss zu öffnen. Wenn der zusammenhängende Anschluss zulässig ist, wird ein Eingang, der dem Anschluss entspricht, der Anschlussstatustabelle der Firewall hinzugefügt, um es dem zusammenhängenden Anschluss zu gestatten, die Firewall zu durchlaufen. Dies kann vollzogen werden unmittelbar nach der Handhabung der Attribute des zusammenhängenden Anschlusses oder wenn ein erstes Datenpaket, welches zu dem zusammenhängenden Anschluss gehört, an der Firewall empfangen wird.
  • Alternativ kann der Eingang der Attribute des zusammenhängenden Anschlusses, die auch Information hinsichtlich des Ausgangsanschlusses wie oben erwähnt ent hält, direkt der Anschlussstatustabelle zugefügt und validiert werden, wenn das erste Datenpaket des zusammenhängenden Anschlusses empfangen wird. In diesem Fall muss der Eingang markiert werden als ein Eingang, welcher einen zusammenhängenden Anschluss betrifft, entweder explizit oder implizit (d.h. durch einfaches Einschließen der Information hinsichtlich des Ausgangsanschlusses, wobei die Information nicht in "normalen" Eingängen der Anschlussstatustabelle erscheint).
  • Die Anschlussstatustabelle ist in diesem Kontext zu verstehen als jede Art eines abstrakten Datenaufbaues, der in irgendeiner geeigneten Art und Weise implementiert werden kann.
  • Die Information hinsichtlich des Ausgangsanschlusses kann zum Beispiel eines oder mehrere der folgenden Elemente umfassen: Information bezüglich der Quelle und der Bestimmung des Ausgangsanschlusses (z.B. eine Quellenadresse, eine Bestimmungsadresse, ein Quellen-Ein-Ausgabe-Baustein und/oder ein Bestimmungs-Ein-Ausgabe-Baustein), ein eingesetztes Protokoll (z.B. eine Protokollnummer), eine Benutzeridentifikation, eine Authentifizierungsinformation, eine Strömungstypidentifikation, eine Programmidentifikation sowie eine Information, die ein getrenntes Bearbeitungsmodul identifiziert (ein Protokollagent), wodurch der Ausgangsanschluss gehandhabt wird. Das getrennte Bearbeitungsmodul kann implementiert werden mit Hilfe von Software, Hardware oder einer Kombination von Software und Hardware. Die Attribute eines zusammenhängenden Anschlusses, der innerhalb des Ausgangsanschlusses gehandhabt wird, umfassen typischerweise eines oder mehrere der folgenden Elemente: eine Quellenadresse, eine Bestimmungsadresse, einen Quellen-Ein-Ausgabe-Baustein, einen Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll (z.B. eine Protokollnummer), eine Benutzeridentifikation, eine Authentifizierungsinformation, eine Strömungstypidentifikation sowie eine Programmidentifikation.
  • Die Erfindung stellt ein Verfahren bereit zur Handhabung von Datenkommunikationsprotokollen in einer Firewall mit mindestens einem Ausgangsanschluss und mindestens einem zusammenhängenden Anschluss, wobei mindestens ein Attribut des zu sammenhängenden Anschlusses innerhalb des Ausgangsanschlusses gehandhabt wird. Das Verfahren umfasst die Schritte des Ermöglichens eines Ausgangsanschlusses, des Speicherns einer Information hinsichtlich des Ausgangsanschlusses, des Überwachens der Inhalte des Ausgangsanschlusses, des Erfassens innerhalb des Ausgangsanschlusses, die Handhabung mindestens eines Attributs der zusammenhängenden Verbindung und des Einsetzens dieses mindestens eines gehandhabten Attributs des zusammenhängenden Anschlusses sowie der Information hinsichtlich des Ausgangsanschlusses für die Entscheidung, ob der zusammenhängende Anschluss zulässig ist.
  • Darüber hinaus stellt die Erfindung ein Verfahren bereit zur Handhabung von Datenkommunikationsprotokollen in einer Firewall mit mindestens einem Ausgangsanschluss und mindestens einem zusammenhängenden Anschluss, wobei mindestens ein Attribut des zusammenhängenden Anschlusses innerhalb des Ausgangsanschlusses gehandhabt wird. Das Verfahren umfasst die Schritte des Ermöglichens eines Ausgangsanschlusses, des Speicherns einer Information hinsichtlich des Ausgangsanschlusses, des Überwachens der Inhalte des Ausgangsanschlusses, des Erfassens innerhalb des Ausgangsanschlusses, die Handhabung mindestens eines Attributs eines zusammenhängenden Anschlusses, des Vergleichens des mindestens einen gehandhabten Attributs des zusammenhängenden Anschlusses sowie mindestens eines Informationsteils hinsichtlich des Ausgangsanschlusses zu einer Gruppe von Regeln zum Herausfinden einer passenden Regel und des Entscheidens auf der Basis der passenden Regel, ob der zusammenhängende Anschluss zulässig ist.
  • Darüber hinaus stellt die Erfindung weiterhin ein Verfahren bereit zur Handhabung von Datenkommunikationsprotokollen mit mindestens einem Ausgangsanschluss und mindestens einem zusammenhängenden Anschluss, wobei mindestens ein Attribut des zusammenhängenden Anschlusses innerhalb des Ausgangsanschlusses gehandhabt wird. Das Verfahren umfasst die Schritte des Ermöglichens eines Ausgangsanschlusses, des Speicherns eines ersten Einganges mit einer Information hinsichtlich des Ausgangsanschlusses, des Überwachens der Inhalte des Ausgangs anschlusses, des Erfassens innerhalb des Ausgangsanschlusses, die Handhabung des mindestens eines Attributs des zusammenhängenden Anschlusses, des Abspeicherns eines zweiten Einganges mit dem mindestens einen gehandhabten Attribut des zusammenhängenden Anschlusses und mindestens einem Informationsteil hinsichtlich des Ausgangsanschlusses des ersten abgespeicherten Einganges, des Vergleichens des zweiten Einganges mit einer Gruppe von Regeln zum Herausfinden einer passenden Regel und des Entscheidens auf der Basis dieser passenden Regel, ob der zusammenhängende Anschluss zulässig ist.
  • Das mindestens eine Informationsteil hinsichtlich des Ausgangsanschlusses kann beispielsweise ein Bezug zum ersten Eingang sein, wobei in diesem Fall der Schritt des Vergleichens das Vergleichen einer Kombination umfasst, des zweiten Einganges und des ersten Einganges mit einer Gruppe von Regeln, um die passende Regel herauszufinden.
  • Eine Regel der zuvor erwähnten Gruppe von Regeln umfasst mindestens ein Attribut des zusammenhängenden Anschlusses, Information hinsichtlich des Ausgangsanschlusses und eine Aktion, die zu unternehmen ist für einen zusammenhängenden Anschluss. Die Gruppe von Regeln kann in irgendeiner geeigneten Weise aufgebaut sein, wobei es sich zum Beispiel um eine Liste, eine Tabelle oder eine Baumstruktur von Regeln handeln kann.
  • Mit dem Verfahren gemäß der Erfindung ist es möglich zu verifizieren, dass ein zusammenhängender Anschluss geöffnet wird durch einen legitimierten Ausgangsanschluss, was sehr wichtig ist insbesondere in einer MSP- oder MSSP-Umgebung. Die Erfindung macht es möglich, bestimmte zusammenhängende Anschlüsse für einen speziellen Ein-Ausgabe-Baustein zuzulassen oder abzuweisen oder bestimmte zusammenhängende Anschlüsse auf eine spezielle Weise zu handhaben. Das heißt, eine sehr hohe Körnigkeit kann erhalten werden bei dem Abweisen oder Zulassen von zusammenhängenden Anschlüssen. Konsequenterweise kann das Sicherheitsniveau erhöht werden.
  • Ein Unterschied zwischen den Lösungen nach dem Stand der Technik und der Erfindung liegt darin, dass beim Stand der Technik ein zusammenhängender Anschluss typischerweise zugelassen oder abgewiesen wird auf der Basis von Information, die von Datenpaketen des zusammenhängenden Anschlusses erhalten wird, während jedoch die Erfindung ein Verfahren lehrt auch des Einsatzes von Information, die erhalten wird von Datenpaketen des Ausgangsanschlusses.
  • Diese und weitere Merkmale der Erfindung wie auch die hierdurch erzielbaren Vorteile werden nachfolgend beschrieben unter Bezugnahme auf Ausführungsformen, die in den beigefügten Zeichnungen illustriert sind.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 illustriert ein Beispiel eines Netzwerkaufbaus,
  • 2 ist ein Programmablaufplan, der einen Aspekt des Verfahrens gemäß der Erfindung illustriert,
  • 3 ist ein Programmablaufplan, der andere Aspekte des Verfahrens gemäß der Erfindung illustriert, und
  • 4 illustriert ein weiteres Beispiel eines Netzwerkaufbaus.
  • BEVORZUGTE AUSFÜHRUNGSFORMEN DER ERFINDUNG
  • Eine Firewall ist als eine Gruppe von Komponenten anzusehen, die ein Tor bilden zwischen zwei oder mehr Netzwerken, welche unterschiedliche Sicherheitsanforderungen besitzen. Physikalisch ist eine Firewall eine Einrichtung mit einer entsprechenden Software, um die Aufgabe auszuführen, die ihr auferlegt werden. Dies kann ein Router, ein Personalcomputer (PC) oder was auch immer sein, welches für einen derartigen Zweck eingesetzt wird. Die Erfindung kann zum Einsatz kommen in jeder derartigen Firewall und insbesondere in einer Firewall, in welcher getrennte Bearbei tungsmodule zum Einsatz kommen zur Handhabung von Datenpaketen von verschiedenen Protokollen. Darüber hinaus ist die Erfindung geeignet zur Bereitstellung einer erhöhten Sicherheit in einer Umgebung, in welcher mehr als eine Partei die gleiche Firewall nutzt. Wenn beispielsweise ein MSP (oder ein MSSP) einen Firewallservice bereitstellt für einen oder mehr Kunden zur Absicherung interner Netzwerke des Kunden, kann der MSP eine erhöhte Sicherheit gewinnen für das eigene Managementnetzwerk und konsequenterweise für die gesamte Anordnung mit Hilfe der Erfindung.
  • Gemäß der Erfindung werden zusammenhängende Anschlüsse validiert auf der Basis von Information, die mit dem Ausgangsanschluss in Beziehung steht, d.h. auf der Basis des Anschlusses, innerhalb dessen die Öffnung des zusammenhängenden Anschlusses gehandhabt wird. In der nachfolgenden Beschreibung wird die Erfindung illustriert im Zusammenhang mit paketgeschalteten Datenkommunikationen. Die Erfindung soll jedoch nicht beschränkt werden nur auf die paketgeschalteten Kommunikationen; statt dessen ist das Verfahren gemäß der Erfindung in gleicher Weise geeignet für schaltkreisgeschaltete Kommunikationen.
  • Die 2 ist ein Programmablaufplan, der einen Aspekt der Erfindung illustriert. Im Schritt 200 wird ein Ausgangsanschluss zunächst zugelassen. Die Zulassung des Ausgangsanschlusses wird hier nicht weiter angesprochen, da dies ausgeführt werden kann beispielsweise auf der Basis einer Firewallregelbasis, die hinlänglich bekannt ist für jeden, der mit Firewalls vertraut ist. Dann wird die Information hinsichtlich des Ausgangsanschlusses in der Firewall abgespeichert im Schritt 202. Typischerweise wird in einer aktiven Firewall ein Eingang vorgenommen in eine Anschlussstatustabelle, um es folgenden Statusdatenpaketen des Ausgangsanschlusses zu ermöglichen, die Firewall zu durchlaufen und um den Status des Ausgangsanschlusses aufrechtzuerhalten.
  • Die Inhalte des Ausgangsanschlusses werden überwacht im Schritt 204, welches geschehen kann beispielsweise durch ein getrenntes Bearbeitungsmodul, wie etwa einen Protokollagenten. Im Schritt 206 wird die Handhabung mindestens eines Attri buts eines zusammenhängenden Anschlusses erfasst innerhalb des Ausgangsanschlusses. Dann werden im Schritt 208 die Attribute des zusammenhängenden Anschlusses und die Information hinsichtlich des Ausgangsanschlusses zusammen eingesetzt für die Entscheidung, ob der zusammenhängende Anschluss zulässig ist.
  • Die Information hinsichtlich des Ausgangsanschlusses kann zum Beispiel eine oder mehrere der folgenden Maßnahmen sein: Information bezüglich der Quelle und der Bestimmung des Ausgangsanschlusses (z.B. eine Quellenadresse, eine Bestimmungsadresse, ein Quellen-Ein-Ausgabe-Baustein und/oder ein Bestimmungs-Ein-Ausgabe-Baustein), ein eingesetztes Protokoll (z.B. eine Protokollnummer), eine Benutzeridentifikation, eine Authentifizierungsinformation, eine Strömungstypidentifikation, eine Programmidentifikation sowie eine Information, die ein getrenntes Bearbeitungsmodul identifiziert (ein Protokollagent), der den Ausgangsanschluss handhabt. Das getrennte Bearbeitungsmodul kann implementiert werden mit Hilfe von Software, Hardware oder einer Kombination von Software und Hardware. Die Attribute eines zusammenhängenden Anschlusses, die innerhalb des Ausgangsanschlusses gehandhabt werden, umfassen typischerweise eines oder mehrere der folgenden Elemente: eine Quellenadresse, eine Bestimmungsadresse, einen Quellen-Ein-Ausgabe-Baustein, einen Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll (z.B. eine Protokollnummer), eine Benutzeridentifikation, eine Authentifizierungsinformation, eine Strömungstypidentifikation sowie eine Programmidentifikation.
  • Die 3 ist ein Programmablaufplan, der einige andere Aspekte der Erfindung illustriert. Die Schritte, die zu den Schritten der 2 identisch sind, werden hier mit den gleichen Bezugsziffern versehen. Im Schritt 200 wird zunächst ein Ausgangsanschluss zugelassen. Dann wird die Information hinsichtlich des Ausgangsanschlusses in einem ersten Eingang in der Firewall im Schritt 300 abgespeichert. Dieser Eingang wird oft zu einer Anschlussstatustabelle ausgebildet.
  • Die Inhalte des Ausgangsanschlusses werden überwacht und die Handhabung mindestens eines Attributs eines zusammenhängenden Anschluss wird erfasst innerhalb des Ausgangsanschlusses in den Schritten 204 bzw. 206. Dann wird im Schritt 302 ein zweiter Eingang abgespeichert mit den Attributen des zusammenhängenden Anschlusses und der Information hinsichtlich des Ausgangsanschlusses oder eines Bezugs zum ersten Eingang. Das heißt, ein Eingang mit den Attributen des zusammenhängenden Anschlusses und entweder mit Information hinsichtlich des zugeordneten Ausgangsanschlusses oder in Bezug auf diese Information wird abgespeichert. Dieser zweite Eingang kann in einem zusätzlichen Anschlusstabellenaufbau für zusammenhängende Anschlüsse eingeführt werden. Alternativ kann der zweite Eingang direkt in die Anschlussstatustabelle der Firewall aufgenommen werden oder auf eine andere Art und Weise in der Firewall aufrechterhalten werden.
  • Im Schritt 304 werden der zweite Eingang oder eine Kombination des ersten und des zweiten Einganges verglichen mit einer Gruppe von Regeln, um eine passende Regel herauszufinden. Mit anderen Worten werden eine Information hinsichtlich des zusammenhängenden Anschlusses und des zugeordneten Ausgangsanschlusses mit der Gruppe von Regeln verglichen. Die Regeln zeigen an, ob die Kombination des zusammenhängenden Anschlusses und des Ausgangsanschlusses zulässig ist, d.h. ob der Ausgangsanschluss autorisiert ist, einen derartigen Anschluss zu öffnen. Zu diesem Zweck umfasst eine Regel aus der Gruppe der Regeln mindestens ein Attribut eines zusammenhängenden Anschlusses, eine Information hinsichtlich des Ausgangsanschlusses sowie eine Aktion, die auszuführen ist für einen zusammenhängenden Anschluss.
  • Somit zeigt die Aktion der passenden Regel an, wie der zusammenhängende Anschluss gehandhabt werden muss im Schritt 306. Wenn die Aktion lautet gestatten, wird der zusammenhängende Anschluss zugelassen, Schritt 308. Wenn in ähnlicher Weise die Aktion lautet verweigern, dann wird der zusammenhängende Anschluss abgewiesen, Schritt 310. Wie zuvor ausgeführt wurde, kann jede dieser Aktionen darüber hinaus auch die Bearbeitung des Anschlusses umfassen. Ein derartiges weiteres Bearbeiten wird jedoch hier nicht weiter angesprochen aus Gründen der Klarheit. Ein Zulassen des zusammenhängenden Anschlusses bedeutet normalerweise das Hinzufügen eines Einganges entsprechend des zusammenhängenden Anschlusses zu der Anschlussstatustabelle der Firewall.
  • Der Schritt 304 und die Schritte, die diesem folgen, können ausgeführt werden unmittelbar nach der Handhabung der Adressendetails des zusammenhängenden Anschlusses oder wenn ein erstes Datenpaket, welches zu dem zusammenhängenden Anschluss gehört, bei der Firewall angekommen ist. Die Gruppe von Regeln, die eingesetzt wird zur Validitierung zusammenhängender Anschlüsse, kann Teil der normalen Regelbasis der Firewall sein oder einer zusätzlichen Regelbasis, die aufgebaut wird zum Zweck der Validitierung der zusammenhängenden Anschlüsse oder vorgegeben wird in einer anderen geeigneten Struktur.
  • Wenn der zweite Eingang direkt der Anschlussstatustabelle zugeführt wird, wird er validiert, wenn das erste Datenpaket des zusammenhängenden Anschlusses empfangen wird. In diesem Fall wird der Eingang markiert als ein Eingang, der einen zusammenhängenden Anschluss betrifft und eine Validitierung erfordert, entweder explizit oder implizit (was erreicht wird zum Beispiel durch ein einfaches Einschließen von Information hinsichtlich des Ausgangsanschlusses, wobei die Information nicht in "normalen" Eingängen der Anschlussstatustabelle erscheint).
  • Die 4 zeigt einen beispielhaften Netzwerkaufbau, bei welchem die Erfindung eingesetzt werden kann. In der gleichen Weise wie in 1 bietet ein MSP Firewallservice für Kunden A und B, die ihr internes Netzwerk 100 und 102 an das Internet 104 über die Firewall 106 anschließen, welche verwaltet wird durch den MSP. Der MSP managet die Firewall 106 von seinem internen Netzwerk 108 (der MSP besitzt auch einen Anschluss an das Internet über diese Firewall). Wie zuvor erläutert wurde, abonnieren die Kunden A und B eine bestimmte Schutzart von dem MSP und der MSP stellt die Firewall 106 mit den entsprechenden Regeln bereit.
  • Dem Kunden kann es gestattet werden, eine bestimmte Untergruppe der Firewallregeln zu verwalten, die für sein Netzwerk spezifisch sind, aber die Firewall als Ganzes wird durch den MSP verwaltet. Alternativ können die Kunden nicht in der Lage sein (und sie werden es auch nicht brauchen), die Regeln der Firewall zu modifizieren.
  • Die Erfindung wird nun in größerem Detail illustriert mit Hilfe eines einfachen Beispiels im Zusammenhang mit 4. Die nachfolgende Bezeichnung wird hier eingesetzt für einen Anschluss (Quellenausgang, Quellen-Ein-Ausgabe-Baustein, Bestimmungsausgang, Bestimmungs-Ein-Ausgabe-Baustein). Die folgende Regelbasis soll angenommen werden, die FTP-Anschlüsse zuletzt von dem Netzwerk 102 des Kunden B zum Internet 104, während alle anderen Anschlüsse abgewiesen werden. Zusätzlich muss ein Protokollagent PA1 für die FTP-Anschlüsse eingesetzt werden.
  • Figure 00150001
  • Bei einem legitimierten Einsatz öffnet ein Datenanbieter B1 im Netzwerk des Kunden B einen FTP-Steueranschluss an einen FTP-Server 110 im Internet 104. Dies wird gestattet durch die Regel Nr. 1 und der folgende Eingang, der ankommende TCP-Datenpakete zulässt zwischen dem Ein-Ausgabe-Baustein SP des Datenanbieters B1 und dem Ein-Ausgabe-Baustein FTPC des Servers S, wird der Anschlussstatustabelle beigegeben:
  • Figure 00150002
  • Dann wird ein PORT-Befehl, welcher die Quellen- und Bestimmungsadressen sowie die Ein-Ausgabe-Bausteine des Datenanschlusses (B1, DP, S, FTPD) definiert, übertragen innerhalb des Steueranschlusses. Der Protokollagent PA1 erfasst dies und fügt den Eingang Nr. 2 der Anschlussstatustabelle zu. Dieser Eingang lässt TCP-Datenpakete zwischen dem Ein-Ausgabe-Baustein FTPD des Servers S und dem Ein-Ausgabe-Baustein DP des Datenanbieters B1 zu, d.h. den geforderten FTP-Datenanschluss.
  • Figure 00160001
  • Ein Beispiel eines legitimierten Einsatzes ist das Öffnen des FTP-Steueranschlusses in einer normalen Weise und dann einen PORT-Befehl abzusenden, der die folgende Quellen- und Bestimmungsadressinformation definiert: (A1, DPA, S, FTPD). Wenn die Gültigkeit der Adressinformation nicht in dem Protokollagenten verifiziert wird, wird der Eingang 2' der Anschlussstatustabelle hinzugefügt und ein illegitimer Anschluss zwischen dem Eingabe-Baustein FTPD des Servers S und dem Ein-Ausgabe-Baustein DPA des Datenanbieters A1 wird zugelassen.
  • Figure 00160002
  • Es ist möglich, dass ein Fehler in dem Protokollagent die Hinzufügung eines derartigen illegitimen Einganges bewirkt, das heißt, der Protokollagentmodul ändert die Adressinformation des gehandhabten zusammenhängenden Anschlusses durch einen Fehler. Auf diese Art und Weise kann der Kunde B ein Sicherheitsrisiko für den Kunden A darstellen, auch wenn dies unbeabsichtigt ist. Natürlich kann das Verhalten des Protokollagenten auch beabsichtigt sein.
  • Diese Schwäche des Systems kann auch auf manch andere Art und Weise ausgenutzt werden. Beispiele von anderen Protokollen, welche einen Protokollagenten erfordern, der in der Lage ist, zusammenhängende Anschlüsse zuzulassen, sind H.323, SQLNET sowie eine Mehrzahl von gesetzlich geschützten oder benutzerspezifischen Protokollen.
  • Bei dem Verfahren gemäß der Erfindung wird der Steueranschluss zunächst auf eine normale Art und Weise gehandhabt. Wenn der PORT-Befehl (A1, DPA, S, FTPD) empfangen wird und der Protokollagent bietet an, dass der entsprechende Eingang 2' der Anschlussstatustabelle zugefügt wird, wird der neue Eingang überprüft gegen die Ausgangsinformation und spezielle Regeln. Hierfür folgt man dem Einsatz einfacher Regeln:
  • Figure 00170001
  • Nun passt der zusammenhängende Anschluss nicht zu der zusammenhängenden Regel Nr. 1 und dementsprechend sollte der zusammenhängende Anschluss abgelehnt werden. Dementsprechend wird der Eingang 2' nicht der Anschlussstatustabelle zugefügt.
  • Alternativ kann der Eingang 2' der Anschlussstatustabelle hinzugefügt werden mit der Beigabe eines Indikators, dass es sich hierbei um einen zusammenhängenden Anschluss handelt, sowie eine Information hinsichtlich des Ausgangsanschlusses. Die Information hinsichtlich des Ausgangsanschlusses kann beispielsweise ein Bindeglied zu dem Anschlussstatustabelleneingang des entsprechenden Ausgangsanschlusses sein. Wenn dann ein empfangenes Datenpaket zum Eingang 2' passt, wird die Legitimität des Anschlusses überprüft auf der Basis der obigen zusammenhängenden Regeln.
  • Es ist klar, dass die Gruppe der obigen Regeln keine realistische ist, da in der Realität mehr als eine Art von zusammenhängenden Anschlüssen zugelassen werden würde. Eine Gruppe von Regeln, die bestimmte Typen von zusammenhängenden Anschlüssen abweist und andere zulässt, ist mit größerer Wahrscheinlichkeit eine einsetzbare Wahl, aber das obige Beispiel illustriert deutlich das Prinzip der Erfindung.
  • Wenn ein neuer Protokollagent der Firewall hinzugefügt wird, muss eine neue zusammenhängende Regel normalerweise ebenfalls zugefügt werden. Wenn bei spielsweise der Kunde A gemäß 1 einen Kundenprotokollagenten PA2 implementiert, kann ein Eingang 1.5 den zusammenhängenden Regeln beigegeben werden.
  • Figure 00180001
  • Nun werden zusammenhängende Anschlüsse nur zwischen dem Server 2 und dem Netzwerk A zugelassen und zusätzlich muss der Ausgangsanschluss initiiert werden durch den Datenanbieter A1.
  • Es soll nun ein weiteres Beispiel in Betracht gezogen werden im Zusammenhang mit einem Oracle SQL*Net-Protokoll. Der Kunde B der 4 kann vor der Notwendigkeit stehen, mit einem SQL*Net-Listener Process zu kommunizieren in einem Server 400400, und eine Mehrzahl von Oracle Databasen 402, 404 befinden sich irgendwo im Internet. Der Datenanbieter B1 in dem internen Netzwerk kontaktiert den SQL*Net-Listener und fordert einige Daten an. Der SQL*Net-Listener kann beispielsweise antworten, dass die Daten gefunden worden sind in der Oracle Database 404, Ein-Ausgabe-Baustein 3000. Auf dieser Basis muss die Firewall den zusammenhängenden Anschluss zulassen zwischen jedem Ein-Ausgabe-Baustein des Datenanbieters B1 und der Oracle Database 404, Ein-Ausgabe-Baustein 3000.
  • Da der Kunde B wahrscheinlich Kontrolle über den SQL*Net-Listener Process in dem Server 400 besitzt, kann B den Listener anpassen, so dass er auf eine Anforderung von dem Datenanbieter B1 auf eine spezielle Weise anspricht. Er kann beispielsweise antworten, dass die Daten von dem Datenanbieter M1 gefunden wurden, Ein-Ausgabe-Baustein X, wobei M1 sich in dem internen Netzwerk 108 des MSP befindet. Nun wird die Firewall 106 versuchen, zuzulassen, dass B1 sich an das interne Netzwerk von dem MSP anschließt. Wenn die Protokolle, die zusammenhängende Anschlüsse einsetzen, aktiviert werden müssen in dem Datenanbieter M1, kann der MSP dies mit herkömmlichen Mitteln nicht vermeiden. Mit Hilfe der Erfindung kann dies jedoch vermieden werden. Der MSP kann zum Beispiel zusammenhängende Anschlüsse zulassen zum oder von seinem internen Netzwerk nur dann, wenn der zugeordnete Ausgangsanschluss ebenfalls von seinem internen Netzwerk stammt und alle anderen zusammenhängenden Anschlüsse zum oder von seinem internen Netzwerk ablehnen.
  • Damit die obige Ausnutzung realistisch ist, muss B offenbar herausfinden, dass es einen Datenanbieter M1 gibt, der im Netzwerk des MSP angreift. Dies wird jedoch nicht weiter hier in Betracht gezogen, da das Ziel hier nicht darin liegt, eine solche Ausnutzung zu ermöglichen, sondern diese zu vermeiden.
  • Es ist klar, dass ein Sachverständiger auf diesem Gebiet auch verschiedene andere Arten von Einschränkungen erzeugen kann mit Hilfe der zusammenhängenden Regeln. Darüber hinaus leuchtet ein, dass der Netzwerkaufbau gemäß 4 und der Einsatz von Szenarien der oben beschriebenen Erfindung lediglich Beispiele darstellen und die Erfindung auf verschiedene andere Art und Weise eingesetzt werden kann innerhalb des Rahmens der Erfindung, wie dieser durch die nachfolgenden Ansprüche definiert wird.

Claims (19)

  1. Verfahren zur Handhabung von Datenkommunikationsprotokollen in einer Firewall umfassend mindestens einen Ausgangsanschluss und mindestens einen zusammenhängenden Anschluss, wobei mindestens ein Attribut des zusammenhängenden Anschlusses innerhalb des Ausgangsanschlusses gehandhabt wird, wobei das Verfahren die folgenden Merkmale umfasst, nämlich Ermöglichen (200) eines Ausgangsanschlusses, Speichern (202) einer Information hinsichtlich des Ausgangsanschlusses, Überwachen (204) der Inhalte des Ausgangsanschlusses und Erfassen (206) innerhalb des Ausgangsanschlusses die Handhabung mindestens eines Attributs der zusammenhängenden Verbindung, wobei das Verfahren gekennzeichnet ist durch den Einsatz (208) des mindestens einen gehandhabten Attributs der zusammenhängenden Verbindung und der Information hinsichtlich des Ausgangsanschlusses für die Entscheidung, ob die zusammenhängende Verbindung zulässig ist.
  2. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, dass die Information hinsichtlich des Ausgangsanschlusses mindestens eines der folgenden Merkmale umfasst: eine Quellenadresse, eine Bestimmungsadresse, einen Quellen-Ein-Ausgabe-Baustein, einen Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll, eine Nutzerkennung, eine Authentitätsinformation, eine Strömungstypkennung, eine Programmkennung sowie eine Information, die ein getrenntes Verfahrensmodul identifiziert, welches zur Handhabung der Ausgangsverbindung eingesetzt wird.
  3. Verfahren gemäß einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass das mindestens eine Attribut einer zusammenhängenden Verbindung eine Quellenadresse, eine Bestimmungsadresse, ein Quellen-Ein-Ausgabe-Baustein, ein Bestimmungs-Ein-Ausgabe-Baustein, ein benutztes Protokoll, eine Nutzerkennung, eine Authentifizierungsinformation, eine Strömungstypkennung oder eine Programmkennung ist.
  4. Verfahren gemäß einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der Benutzungsschritt die folgenden Merkmale umfasst: Vergleichen des mindestens einen gehandhabten Attributs der zusammenhängenden Verbindung und mindestens eines Informationsteils hinsichtlich des Ausgangsanschlusses zu einer Gruppe von Regeln zum Herausfinden einer passenden Regel und Entscheiden (306) auf der Basis der passenden Regel, ob die zusammenhängende Verbindung zulässig ist.
  5. Verfahren gemäß einem der Ansprüche 1 bis 3 gekennzeichnet durch Speichern (300) dieser Information hinsichtlich des Ausgangsanschlusses in einem ersten Eingang, Speichern (302) eines zweiten Einganges umfassend, das mindestens ein gehandhabtes Attribut der zusammenhängenden Verbindung sowie mindestens eines Informationsteils hinsichtlich des Ausgangsanschlusses, während der Schritt des Einsatzes die folgenden Merkmale umfasst. Vergleichen (304) des zweiten Einganges mit einer Gruppe von Regeln zum Herausfinden einer passenden Regel und Entscheiden (306) auf der Basis dieser passenden Regel, ob die zusammenhängende Verbindung zulässig ist.
  6. Verfahren gemäß Anspruch 4 oder 5, dadurch gekennzeichnet, dass eine Regel aus der Gruppe der Regeln mindestens ein Attribut einer zusammen hängenden Verbindung, eine Information hinsichtlich eines Ausgangsanschlusses und eine für die zusammenhängende Verbindung zu unternehmende Aktion umfasst.
  7. Verfahren gemäß Anspruch 5, dadurch gekennzeichnet, dass das mindestens eine Informationsteil hinsichtlich des Ausgangsanschlusses im zweiten Eingang einen Bezug zum ersten Eingang ist und dass der Schritt des Vergleichens (304) das Vergleichen einer Kombination des zweiten Einganges und des ersten Einganges zu der Gruppe von Regeln umfasst zum Herausfinden der passenden Regel.
  8. Computerprogrammprodukt umfassend einen Computerprogrammcode, welcher, wenn er innerhalb eines Computers ausgeführt wird, eine Routine bereitstellt zur Handhabung von Datenkommunikationsprotokollen umfassend mindestens eine Ausgangsverbindung und mindestens eine damit zusammenhängende Verbindung, wobei mindestens ein Attribut der zusammenhängenden Verbindung gehandhabt wird mit der Ausgangsverbindung und die Routine folgende Merkmale umfasst. Ermöglichen (200) einer Ausgangsverbindung, Abspeichern (207) von Information hinsichtlich der Ausgangsverbindung, Überwachen (204) der Inhalte der Ausgangsverbindung und Erfassen (206) innerhalb der Ausgangsverbindung die Handhabung mindestens eines Attributs der zusammenhängenden Verbindung, wobei die Routine gekennzeichnet ist durch das Einsetzen (208) des mindestens einen gehandhabten Attributs der zusammenhängenden Verbindung und der Information hinsichtlich der Ausgangsverbindung für die Entscheidung, ob die zusammenhängende Verbindung zulässig ist.
  9. Computerprogrammprodukt gemäß Anspruch 8, dadurch gekennzeichnet, dass die Information hinsichtlich des Ausgangsanschlusses mindestens eines der folgenden Merkmale umfasst: eine Quellenadresse, eine Bestimmungsadresse, einen Quellen-Ein-Ausgabe-Baustein, einen Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll, eine Benutzerkennung, eine Authentifizierungsinformation, eine Strömungstypkennung, eine Programmkennung sowie eine Information, die ein getrenntes Bearbeitungsmodul identifiziert, welches eingesetzt wird zur Handhabung der Ausgangsverbindung.
  10. Computerprogrammprodukt gemäß Anspruch 8 oder 9, dadurch gekennzeichnet, dass das mindestens eine Attribut einer zusammenhängenden Verbindung eine Quellenadresse, eine Bestimmungsadresse, ein Quellen-Ein-Ausgabe-Baustein, ein Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll, eine Benutzerkennung, eine Authentifizierungsinformation, eine Strömungstypkennung oder eine Programmkennung ist.
  11. Computerprogrammprodukt gemäß einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass der Schritt des Einsatzes die folgenden Merkmale umfasst Vergleichen (304) des mindestens einen gehandhabten Attributs der zusammenhängenden Verbindung und des mindestens einen Informationsteils hinsichtlich der Ausgangsverbindung mit einer Gruppe zum Herausfinden einer passenden Regel und Entscheiden (306) auf der Basis der passenden Regel, ob die zusammenhängende Verbindung zulässig ist.
  12. Computerprogrammprodukt gemäß einem der Ansprüche 8 bis 10, gekennzeichnet durch Speichern (200) eines ersten Einganges der Information hinsichtlich der Ausgangsverbindung, Speichern (302) eines zweiten Einganges umfassend, das mindestens ein Informationsteil hinsichtlich der Ausgangsverbindung des ersten gespeicherten Einganges, wobei der Schritt des Einsatzes die folgenden Merkmale umfasst: Vergleichen (304) des zweiten Einganges mit einer Gruppe von Regeln, um eine passende Regel herauszufinden, und Entscheiden (306) auf der Basis der passenden Regel, ob die zusammenhängende Verbindung zulässig ist.
  13. Computerprogrammprodukt gemäß Anspruch 11 oder 13, dadurch gekennzeichnet, dass eine Regel aus der Gruppe der Regeln mindestens ein Attribut einer zusammenhängenden Verbindung, eine Information hinsichtlich einer Ausgangsverbindung sowie eine auszuführende Aktion für eine zusammenhängende Verbindung umfasst.
  14. Computerprogrammprodukt gemäß Anspruch 12 oder 13, dadurch gekennzeichnet, dass das mindestens eine Informationsteil hinsichtlich der Ausgangsverbindung im zweiten Eingang ein Bezug ist zum ersten Eingang und dass der Schritt des Vergleichens (304) ein Vergleichen einer Kombination des zweiten Einganges und des ersten Einganges mit der Gruppe von Regeln umfasst, um die passende Regel herauszufinden.
  15. Firewalleinrichtung (106) zur Handhabung von Datenkommunikations-Protokollen umfassend mindestens eine Ausgangsverbindung und mindestens eine zusammenhängende Verbindung, wobei mindestens eines der Adressierdetails der zusammenhängenden Verbindung innerhalb der Ausgangsverbindung gehandhabt wird, wobei die Firewall (106) die folgenden Merkmale um fasst: einen Mechanismus (200), welcher eine Ausgangsverbindung gestattet, einen Speicher zum Abspeichern (202) von Information hinsichtlich der Ausgangsverbindung, einen Mechanismus (204) zur Überwachung der Inhalte der Ausgangsverbindung und einen Mechanismus (206) zur Erfassung innerhalb der Ausgangsverbindungshandhabung mindestens eines Attributs einer zusammen hängenden Verbindung, wobei die Firewalleinrichtung gekennzeichnet ist durch einen Mechanismus (208), der das mindestens eine gehandhabte Attribut der zusammenhängenden Verbindung und die Information hinsichtlich der Ausgangsverbindung einsetzt, um zu entscheiden, ob die zusammenhängende Verbindung zulässig ist.
  16. Firewalleinrichtung gemäß Anspruch 15, dadurch gekennzeichnet, dass die Information hinsichtlich der Ausgangsverbindung mindestens eines der folgenden Merkmale umfasst: eine Quellenadresse, eine Bestimmungsadresse, einen Quellen-Ein-Ausgabe-Baustein, einen Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll, eine Benutzerkennung, eine Authentifizierungs-Information, eine Strömungstypkennung, eine Programmkennung sowie eine Information, die ein getrenntes Prozessmodul identifiziert, welches zur Handhabung der Ausgangsverbindung eingesetzt wird.
  17. Firewalleinrichtung gemäß Anspruch 15 oder 16, dadurch gekennzeichnet, dass das mindestens eine Attribut einer zusammenhängenden Verbindung eine Quellenadresse, eine Bestimmungsadresse, ein Quellen-Ein-Ausgabe-Baustein, ein Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll, eine Benutzerkennung, eine Authentifizierungsinformation, eine Strömungstypkennung oder eine Programmkennung ist.
  18. Firewalleinrichtung gemäß einem der Ansprüche 15 bis 17, dadurch gekennzeichnet, dass sie folgendes umfasst: einen Speicher zum Abspeichern einer Gruppe von Regeln, wobei der Mechanismus zum Einsatz die folgenden Merkmale umfasst: einen Mechanismus (304), der das mindestens eine gehandhabte Attribut der zusammenhängenden Verbindung sowie mindestens ein Informationsteil hinsichtlich der Ausgangsverbindung vergleicht mit der Gruppe von Regeln zum Herausfinden einer passenden Regel und einen Mechanismus (306) zum Entscheiden auf der Basis der passenden Regel, ob die zusammenhängende Verbindung zulässig ist.
  19. Firewalleinrichtung gemäß Anspruch 18, dadurch gekennzeichnet, dass eine Regel der Gruppe von Regeln mindestens ein Attribut einer zusammenhängenden Verbindung, eine Information hinsichtlich einer Ausgangsverbindung und eine für eine zusammenhängende Verbindung zu unternehmende Aktion umfasst.
DE60302003T 2002-05-08 2003-05-02 Handhabung von zusammenhängenden Verbindungen in einer Firewall Expired - Lifetime DE60302003T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20020882A FI20020882A0 (fi) 2002-05-08 2002-05-08 Toisiinsa liittyvien yhteyksien käsittely palomuurissa
FI20020882 2002-05-08

Publications (2)

Publication Number Publication Date
DE60302003D1 DE60302003D1 (de) 2005-12-01
DE60302003T2 true DE60302003T2 (de) 2006-04-20

Family

ID=8563913

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60302003T Expired - Lifetime DE60302003T2 (de) 2002-05-08 2003-05-02 Handhabung von zusammenhängenden Verbindungen in einer Firewall

Country Status (5)

Country Link
US (1) US7461401B2 (de)
EP (1) EP1361724B1 (de)
AT (1) ATE308191T1 (de)
DE (1) DE60302003T2 (de)
FI (1) FI20020882A0 (de)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
FI20030104A0 (fi) 2003-01-23 2003-01-23 Stonesoft Oyj Ilkivaltaisten yhteyksien ilmaisu ja estäminen
FR2865335A1 (fr) * 2004-01-16 2005-07-22 France Telecom Systeme de communication entre reseaux ip prives et publics
US20080148382A1 (en) * 2006-12-15 2008-06-19 International Business Machines Corporation System, method and program for managing firewalls
WO2009007985A2 (en) * 2007-07-06 2009-01-15 Elitecore Technologies Limited Identity and policy-based network security and management system and method
US8732829B2 (en) * 2008-04-14 2014-05-20 Tdi Technologies, Inc. System and method for monitoring and securing a baseboard management controller
US8261326B2 (en) * 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
FR2949934B1 (fr) * 2009-09-09 2011-10-28 Qosmos Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees
US20140006570A1 (en) * 2012-06-29 2014-01-02 Globalfoundries Inc. Method and system for customer specific test system allocation in a production environment
US9380081B1 (en) * 2013-05-17 2016-06-28 Ca, Inc. Bidirectional network data replications
CN114006809B (zh) * 2021-10-09 2023-11-28 北京天融信网络安全技术有限公司 调整工控防火墙数据传输的方法、装置、设备和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6449251B1 (en) * 1999-04-02 2002-09-10 Nortel Networks Limited Packet mapper for dynamic data packet prioritization
ATE336847T1 (de) 2000-06-26 2006-09-15 Tenovis Gmbh & Co Kg Firewall-vorrichtung

Also Published As

Publication number Publication date
EP1361724A1 (de) 2003-11-12
US7461401B2 (en) 2008-12-02
US20040054927A1 (en) 2004-03-18
EP1361724B1 (de) 2005-10-26
ATE308191T1 (de) 2005-11-15
DE60302003D1 (de) 2005-12-01
FI20020882A0 (fi) 2002-05-08

Similar Documents

Publication Publication Date Title
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE602004011689T2 (de) Verfahren und System zur Handhabung der Übermittlung von Inhalten in Kommunikationsnetzen
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60220333T2 (de) Verfahren und Systeme zur Authentifizierung durch eine Vielzahl von Proxy-Servern
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
EP3542511B1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE60122033T4 (de) Schutz von Computernetzen gegen böswillige Inhalte
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
DE602004011864T2 (de) Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router
DE602004002198T2 (de) Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
WO2003015369A2 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE102017212474A1 (de) Verfahren und Kommunikationssystem zur Überprüfung von Verbindungsparametern einer kryptographisch geschützten Kommunikationsverbindung während des Verbindungsaufbaus
WO2004028107A2 (de) Überwachung von datenübertragungen
DE60302833T2 (de) Auf Benutzerkennwort basierende Paketvermittlung in virtuellen Netzen
DE102019210223A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
DE102014112466A1 (de) Verfahren zur Kommunikation zwischen abgesicherten Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
EP4264930A1 (de) Gateway, speziell für ot-netzwerke
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern
DE19645006B4 (de) Verfahren zur Kommunikation zwischen Prozessen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition