-
GEBIET DER
ERFINDUNG
-
Die
vorliegende Erfindung bezieht sich auf Netzwerksicherheit und im
Besonderen auf Firewalls zur Handhabung von zusammenhängenden
Verbindungen in Firewalls.
-
HINTERGRUND
DER ERFINDUNG
-
Traditionell
wird eine Firewall als eine Gruppe von Komponenten angesehen, die
einen Durchgang bilden zwischen zwei oder mehr Netzwerken, die unterschiedliche
Sicherheitsanforderungen besitzen. Somit ist eine Firewall ein Durchgang,
der zur gleichen Zeit als ein Verbinder und ein Trenner arbeitet
zwischen den Netzwerken in einem Sinn dahingehend, dass die Firewall
den Verkehr verfolgt, der hier hindurch verläuft von einem Netzwerk zu einem
anderen und Anschlüsse
und Pakete verhindert, die definiert sind als unerwünscht von
dem Administrator des Systems. Physikalisch ist eine Firewall eine
Einrichtung mit einer entsprechenden Software, die dieser auferlegte
Aufgaben ausführt.
Es kann sich dabei um einen Router, einen Personalcomputer (PC)
oder um eine beliebige Einrichtung handeln, die für solche
Zwecke eingesetzt wird. Die WO 00/60826 beschreibt einen Netzwerkkantenrouter,
der mit einem Paketmapper versehen ist, welcher wechselseitiges
Ein- und Auslagern von Informationen an einem Ein-Ausgabe-Baustein
ausführt.
-
Eine
Firewall wird konfiguriert durch Regeln (die eine Regelbasis bilden),
welche definieren, welche Datenpakete die Firewall durchlaufen dürfen und
welche nicht. Eine Regel umfasst eine Information zur Identifizierung
eines Datenpakets (z.B. Quellen- und
Bestimmungsadressen und Ein- und Ausgabe-Bausteine) und einer zugeordneten
Aktion, die beispielsweise darin liegen kann, das Paket zuzulassen
oder zu verweigern. Normalerweise ist alles, was nicht in den Regeln
ausdrücklich
zugelassen wird, verweigert. Die Aktion kann auch etwa anderes sein
als einfach zuzulassen oder zu verweigern. Beispielsweise kann die
Aktion, die in der Regel definiert ist, anzeigen, dass eine weitere
Aktion unternommen werden muss, bevor ein Datenpaket freigesetzt
wird, welches im Prinzip zugelassen ist. Eine derartige weitere
Bearbeitung kann beispielsweise eine Netzwerkadressentranslation
(NAT), eine Verschlüsselung,
eine Entschlüsselung
oder eine Virenüberprüfung sein.
Auch eine Verweigerungsaktion kann eine weitere Bearbeitung einschließen. Zur
Vereinfachung werden hier im Wesentlichen nur die Aktionen des Verweigerns
und des Zulassens diskutiert, obwohl die Möglichkeit, weitere Bearbeitungszuordnungen
vorzusehen, bei diesen Aktionen nicht ausgeschlossen ist.
-
Eine
Firewall kann ein einfaches Paketfilter sein, welches Überschriftengebiete
von einem Datenpaket vergleicht mit der Regelbasis und das Datenpaket
bearbeitet entsprechend der Regel, die an das Datenpaket angepasst
ist. Eine fortgeschrittenere und mächtige Firewall verfolgt auch
den Status unterschiedlicher Anschlüsse. Das Prinzip in einer solchen
Firewall ist das folgende: Wenn ein Datenpaket, welches einen neuen Anschluss öffnet, bei
der Firewall ankommt, wird überprüft auf der
Basis der Regelbasis, ob der Anschluss zugelassen werden sollte
oder abgewiesen. Wenn der Anschluss zugelassen wird, wird ein Eingang
hinzugefügt zu
einer Tabelle von offenen Anschlüssen
(Anschlussstatustabelle), während
ansonsten das Datenpaket einfach entfernt wird. Ein Datenpaket,
welches keinen neuen Anschluss öffnet,
wird verglichen mit der Anschlussstatustabelle anstatt mit der Regelbasis.
Wenn der entsprechende Anschluss in der Tabelle existiert, wird
das Datenpaket zugelassen und ansonsten verweigert. Darüber hinaus
kann der Anschluss aufrechterhalten werden an dem entsprechenden
Eingang der Anschlussstatustabelle. Auf diese Weise werden nur Datenpakete zugelassen,
die zu den gültigen
offenen Anschlüssen
gehören,
um die Firewall zu durchlaufen.
-
Manche
Datentransferprotokolle bestehen aus mehr als einem getrennten Anschluss.
Beispielsweise wird ein erster Anschluss geöffnet und dann wird mindestens
ein weiterer Anschluss geöffnet
auf der Basis der Information, die erhalten wird von oder übertragen
wird innerhalb des ersten Anschlusses (siehe z.B. US-PS 6,219,706).
Das heißt,
manche Attribute des weiteren Anschlusses werden gehandhabt innerhalb
des ersten Anschlusses. Diese werden hier als Ausgangsanschluss
bezeichnet (der erste Anschluss) und als zusammenhängender
Anschluss (der andere Anschluss). Ein solcher zusammenhängender
Anschluss steht immer in Beziehung zu einem Ausgangsanschluss und
existiert nicht allein in einem Sinn dahingehend, dass die Öffnung des
zusammenhängenden
Anschlusses eine Intervention des Ausgangsanschlusses erfordert.
Der Ausgangsanschluss kann jedoch beendet werden, bevor der zusammenhängende Anschluss
beendet wird. Darüber
hinaus kann ein zusammenhängender
Anschluss ein Ausgangsanschluss eines weiteren zusammenhängenden Anschlusses
sein. Dies trifft beispielsweise zu auf das H.323-Protokoll. Für diese
Protokolle muss das Verfahren, welches die oben beschriebenen Anschlüsse zulässt, weiter
eingestellt werden, da die Details des zusammenhängenden Anschlusses zuvor nicht
bekannt sein müssen.
-
Beispielsweise
werden in einem FTP (File Transfer Protocol) die Öffnung und
die Attribute eines Datenanschlusses zwischen einem Server und einem
Abnehmer in einem getrennten Steueranschluss gehandhabt. (Das heißt, der
Datenanschluss ist ein zusammenhängender
Anschluss und der Steueranschluss ist ein Ausgangsanschluss.) Damit
das FTP durch eine aktive Firewall arbeiten kann, muss ein Eingang,
der dem Datenanschluss entspricht, in der Firewall gespeichert werden
(d.h. in der Tabelle der zusammenhängenden Anschlüsse oder
in einer Anschlussstatustabelle) auf der Basis der Inhalte des Steueranschlusses.
Da (alle) Attribute (z.B. Ein-Ausgabe-Bausteine)
des Datenanschlusses zuvor nicht erkannt sind, kann eine Firewallregel, die
einen speziellen Datenanschluss zulässt, nicht definiert werden.
Darüber
hinaus ist es erstrebenswert, den Datenanschluss nur für die Zeit
zuzulassen, in welcher er für
einen legitimen Einsatz benötigt
wird. Eine Lösung
hierfür
liegt darin, einen getrennten Bearbeitungsmodul vorzusehen, der
den FTP-Steueranschluss überwacht,
die Attribute, die gehandhabt werden für den Datenanschluss, erfasst
und die Details des schwebenden Datenanschlusses in der Firewall
speichert. Ein Eingang, der den Attributen entspricht, kann in einer
getrennten Tabelle von zusammenhängenden
Anschlüssen
hinzugefügt
werden oder ein Eingang kann unmittelbar der Anschlussstatustabelle
beigegeben werden. Wenn dann das erste Paket des FTP-Datenanschlusses
an der Firewall ankommt, wird es zugelassen auf der Basis des Eingangs,
der bereits erzeugt wurde durch diesen getrennten Bearbeitungsmodul,
und keine Regeln sind erforderlich, um den Datenanschluss zuzulassen.
-
Es
ist möglich,
dass ein derartiges getrenntes Modul erzeugt wird durch irgendjemand
anderes als die Partei, welche die Firewall verwaltet. Beispielsweise
kann ein MSP (Managed Service Provider) oder ein MSSP (Managed Security
Service Provider) Kunden Firewalldienste anbieten, so dass die Firewall
verwaltet wird durch den MSP oder MSSP und mögliche interne Netzwerke von
mehr als einem Kunden werden durch eine Firewall abgesichert. Eine
derartige Netzwerkkonfiguration ist in 1 dargestellt.
Ein MSP bietet einen Firewallservice für die Kunden A und B an. Somit
schließen
A und B ihre internen Netzwerke 100 und 102 an das
Internet 104 über
die Firewall 106 an, die verwaltet wird durch den MSP.
Der MSP managet die Firewall 106 von seinem internen Managementnetzwerk 108.
Bei dieser Anordnung abonnieren die Kunden eine bestimmte Schutzart
von dem MSP und der MSP stellt die Firewall mit den entsprechenden
Regeln zur Verfügung.
Kunden können
jedoch angewiesen werden, eine bestimmte Untergruppe von Firewallregeln
zu verwalten, die für
ihr Netzwerk spezifisch sind. Alternativ können die Kunden nicht in der
Lage sein (und sie werden es möglicherweise
nicht brauchen), die Regeln der Firewall zu modifizieren.
-
Nichtsdestoweniger
können
manche Kunden den Einsatz einiger spezieller Protokolle benötigen, die aus
mehr als einem Anschluss bestehen und ein getrenntes Verarbeitungsmodul,
welches oben beschrieben wurde, erfordern. Solche spezielle Protokolle
werden insbesondere benötigt
auf dem Finanz- und Banksektor. Für eine erhöhte Sicherheit können diese
Protokolle darüber
hinaus unveröffentlicht
und/oder kundenspezifisch sein. In derartigen Situationen kann der
MSP den Kunden Möglichkeiten
bereitstellen, ihre eigenen Bearbeitungsmodule zu erstellen, die
hier als Kundenprotokolleagenten bezeichnet werden.
-
Dies
erzeugt jedoch ein potenzielles Sicherheitsrisiko. Der Kundenprotokollagent
muss die Fähigkeit besitzen,
der Anschlussstatustabelle der Firewall Anschlüsse hin zuzufügen, um
in der Lage zu sein, die erforderliche Funktionalität bereitzustellen.
Der Firewalladministrator (z.B. der MSP) muss andererseits nicht
die Möglichkeit
besitzen, die Fähigkeit
des Kundenprotokollagenten zu begrenzen, um neue Anschlüsse zu ermöglichen,
da im Prinzip der Protokollagent irgendeinen der Anschlussstatustabelle
hinzufügen
könnte,
und wenn ein Anschluss existiert in der Anschlussstatustabelle,
wird dieser durch Vorgabe zugelassen. Dementsprechend können die
Kunden entweder zufällig
oder gewollt missliebige Protokollagenten einsetzen, die illegitime
Anschlüsse
durch die Firewall zulassen.
-
Eine
Lösung
für dieses
Problem liegt darin, in die Regelbasis spezielle Regeln für zusammenhängende Anschlüsse einzuschließen. In
diesem Fall wird ein zusammenhängender
Anschluss der Anschlusszustandtabelle nur hinzugefügt, wenn
es eine Regel gibt, die einen solchen zusammenhängenden Anschluss gestattet.
Bei dieser Lösung
ist es möglich,
alle zusammenhängenden
Anschlüsse
an eine Adresse/Ein-Ausgabe-Baustein zuzulassen oder zu verweigern.
Am häufigsten
gibt es jedoch die Notwendigkeit, manche legitime zusammenhängende Anschlüsse zuzulassen
und andere zu verweigern. Es ist jedoch unmöglich, zuvor die exakten Details
dieser legitimen Anschlüsse
zu kennen, d.h. die Ein-Ausgabe-Bausteine, die die zusammenhängenden
Anschlüsse
verwenden, können
mit der Zeit variieren und mehr als ein Protokoll kann die gleichen Ein-Ausgabe-Bausteine
für zusammenhängende Anschlüsse benutzen.
Dementsprechend ist diese Lösung unzureichend
und nicht flexibel genug, insbesondere für den MSP- oder MSSP-Einsatz,
und eine neue Lösung ist
erforderlich.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Eine
Aufgabe der Erfindung liegt darin, ein neues Verfahren, ein Computerprogrammprodukt
sowie eine Firewall bereitzustellen zur Handhabung von Datenkommunikationsprotokollen
mit mindestens einem Ausgangsanschluss sowie mindestens einem zusammenhängenden
Anschluss.
-
Diese
Aufgabe der Erfindung wird gelöst,
wie dies in den angefügten
unabhängigen
Ansprüchen
gemäß der Erfindung
offenbart ist. Bevorzugte Ausführungsformen
der Erfindung werden in den abhängigen
Ansprüchen
offenbart. Die Merkmale, die in einem abhängigen Anspruch beschrieben
sind, können
weiter kombiniert werden mit Merkmalen, die in einem anderen abhängigen Anspruch
zitiert sind, um weitere Ausführungsformen
der Erfindung vorzubringen.
-
Die
Idee der Erfindung liegt darin, zusammenhängende Anschlüsse zu validieren
auf der Basis von Information, welche mit dem Ausgangsanschluss
in Beziehung steht, d.h. auf der Basis des Anschlusses, in welchem
die Öffnung
des zusammenhängenden
Anschlusses gehandhabt wird.
-
Nachdem
zum Beispiel Attribute eines zusammenhängenden Anschlusses innerhalb
eines Ausgangsanschlusses gehandhabt wurden, werden diese Attribute
in einen neuen Eingang in einer getrennten zusammenhängenden
Anschlusstabelle hinzugefügt
zusammen mit der Information bezüglich
des Ausgangsanschlusses oder in Bezug auf einen Eingang, auf welchem
Information über
den Ausgangsanschluss gefunden wird. Dann wird eine spezielle Gruppe
von Regeln, die Teil einer normalen Regelbasis für die Firewall sein können oder
sich in einer zusätzlichen
anderen Regelbasis befinden, eingesetzt, um diesen Eingang zu validieren. Diese
Regeln zeigen an, ob die Kombination des zusammenhängenden
Anschlusses und des Ausgangsanschlusses zulässig ist. Mit anderen Worten
wird überprüft, ob der
Ausgangsanschluss autorisiert ist, einen solchen zusammenhängenden
Anschluss zu öffnen.
Wenn der zusammenhängende
Anschluss zulässig
ist, wird ein Eingang, der dem Anschluss entspricht, der Anschlussstatustabelle
der Firewall hinzugefügt,
um es dem zusammenhängenden
Anschluss zu gestatten, die Firewall zu durchlaufen. Dies kann vollzogen
werden unmittelbar nach der Handhabung der Attribute des zusammenhängenden
Anschlusses oder wenn ein erstes Datenpaket, welches zu dem zusammenhängenden
Anschluss gehört,
an der Firewall empfangen wird.
-
Alternativ
kann der Eingang der Attribute des zusammenhängenden Anschlusses, die auch
Information hinsichtlich des Ausgangsanschlusses wie oben erwähnt ent hält, direkt
der Anschlussstatustabelle zugefügt
und validiert werden, wenn das erste Datenpaket des zusammenhängenden
Anschlusses empfangen wird. In diesem Fall muss der Eingang markiert
werden als ein Eingang, welcher einen zusammenhängenden Anschluss betrifft,
entweder explizit oder implizit (d.h. durch einfaches Einschließen der
Information hinsichtlich des Ausgangsanschlusses, wobei die Information
nicht in "normalen" Eingängen der
Anschlussstatustabelle erscheint).
-
Die
Anschlussstatustabelle ist in diesem Kontext zu verstehen als jede
Art eines abstrakten Datenaufbaues, der in irgendeiner geeigneten
Art und Weise implementiert werden kann.
-
Die
Information hinsichtlich des Ausgangsanschlusses kann zum Beispiel
eines oder mehrere der folgenden Elemente umfassen: Information
bezüglich
der Quelle und der Bestimmung des Ausgangsanschlusses (z.B. eine
Quellenadresse, eine Bestimmungsadresse, ein Quellen-Ein-Ausgabe-Baustein
und/oder ein Bestimmungs-Ein-Ausgabe-Baustein),
ein eingesetztes Protokoll (z.B. eine Protokollnummer), eine Benutzeridentifikation,
eine Authentifizierungsinformation, eine Strömungstypidentifikation, eine
Programmidentifikation sowie eine Information, die ein getrenntes
Bearbeitungsmodul identifiziert (ein Protokollagent), wodurch der Ausgangsanschluss
gehandhabt wird. Das getrennte Bearbeitungsmodul kann implementiert
werden mit Hilfe von Software, Hardware oder einer Kombination von
Software und Hardware. Die Attribute eines zusammenhängenden
Anschlusses, der innerhalb des Ausgangsanschlusses gehandhabt wird,
umfassen typischerweise eines oder mehrere der folgenden Elemente:
eine Quellenadresse, eine Bestimmungsadresse, einen Quellen-Ein-Ausgabe-Baustein,
einen Bestimmungs-Ein-Ausgabe-Baustein, ein eingesetztes Protokoll
(z.B. eine Protokollnummer), eine Benutzeridentifikation, eine Authentifizierungsinformation,
eine Strömungstypidentifikation
sowie eine Programmidentifikation.
-
Die
Erfindung stellt ein Verfahren bereit zur Handhabung von Datenkommunikationsprotokollen
in einer Firewall mit mindestens einem Ausgangsanschluss und mindestens
einem zusammenhängenden
Anschluss, wobei mindestens ein Attribut des zu sammenhängenden
Anschlusses innerhalb des Ausgangsanschlusses gehandhabt wird. Das
Verfahren umfasst die Schritte des Ermöglichens eines Ausgangsanschlusses,
des Speicherns einer Information hinsichtlich des Ausgangsanschlusses,
des Überwachens
der Inhalte des Ausgangsanschlusses, des Erfassens innerhalb des
Ausgangsanschlusses, die Handhabung mindestens eines Attributs der
zusammenhängenden
Verbindung und des Einsetzens dieses mindestens eines gehandhabten
Attributs des zusammenhängenden
Anschlusses sowie der Information hinsichtlich des Ausgangsanschlusses
für die
Entscheidung, ob der zusammenhängende
Anschluss zulässig
ist.
-
Darüber hinaus
stellt die Erfindung ein Verfahren bereit zur Handhabung von Datenkommunikationsprotokollen
in einer Firewall mit mindestens einem Ausgangsanschluss und mindestens
einem zusammenhängenden
Anschluss, wobei mindestens ein Attribut des zusammenhängenden
Anschlusses innerhalb des Ausgangsanschlusses gehandhabt wird. Das
Verfahren umfasst die Schritte des Ermöglichens eines Ausgangsanschlusses,
des Speicherns einer Information hinsichtlich des Ausgangsanschlusses,
des Überwachens
der Inhalte des Ausgangsanschlusses, des Erfassens innerhalb des
Ausgangsanschlusses, die Handhabung mindestens eines Attributs eines
zusammenhängenden
Anschlusses, des Vergleichens des mindestens einen gehandhabten
Attributs des zusammenhängenden
Anschlusses sowie mindestens eines Informationsteils hinsichtlich
des Ausgangsanschlusses zu einer Gruppe von Regeln zum Herausfinden
einer passenden Regel und des Entscheidens auf der Basis der passenden
Regel, ob der zusammenhängende
Anschluss zulässig
ist.
-
Darüber hinaus
stellt die Erfindung weiterhin ein Verfahren bereit zur Handhabung
von Datenkommunikationsprotokollen mit mindestens einem Ausgangsanschluss
und mindestens einem zusammenhängenden Anschluss,
wobei mindestens ein Attribut des zusammenhängenden Anschlusses innerhalb
des Ausgangsanschlusses gehandhabt wird. Das Verfahren umfasst die
Schritte des Ermöglichens
eines Ausgangsanschlusses, des Speicherns eines ersten Einganges
mit einer Information hinsichtlich des Ausgangsanschlusses, des Überwachens
der Inhalte des Ausgangs anschlusses, des Erfassens innerhalb des
Ausgangsanschlusses, die Handhabung des mindestens eines Attributs
des zusammenhängenden
Anschlusses, des Abspeicherns eines zweiten Einganges mit dem mindestens
einen gehandhabten Attribut des zusammenhängenden Anschlusses und mindestens
einem Informationsteil hinsichtlich des Ausgangsanschlusses des
ersten abgespeicherten Einganges, des Vergleichens des zweiten Einganges
mit einer Gruppe von Regeln zum Herausfinden einer passenden Regel
und des Entscheidens auf der Basis dieser passenden Regel, ob der
zusammenhängende Anschluss
zulässig
ist.
-
Das
mindestens eine Informationsteil hinsichtlich des Ausgangsanschlusses
kann beispielsweise ein Bezug zum ersten Eingang sein, wobei in
diesem Fall der Schritt des Vergleichens das Vergleichen einer Kombination
umfasst, des zweiten Einganges und des ersten Einganges mit einer
Gruppe von Regeln, um die passende Regel herauszufinden.
-
Eine
Regel der zuvor erwähnten
Gruppe von Regeln umfasst mindestens ein Attribut des zusammenhängenden
Anschlusses, Information hinsichtlich des Ausgangsanschlusses und
eine Aktion, die zu unternehmen ist für einen zusammenhängenden
Anschluss. Die Gruppe von Regeln kann in irgendeiner geeigneten Weise
aufgebaut sein, wobei es sich zum Beispiel um eine Liste, eine Tabelle
oder eine Baumstruktur von Regeln handeln kann.
-
Mit
dem Verfahren gemäß der Erfindung
ist es möglich
zu verifizieren, dass ein zusammenhängender Anschluss geöffnet wird
durch einen legitimierten Ausgangsanschluss, was sehr wichtig ist
insbesondere in einer MSP- oder MSSP-Umgebung. Die Erfindung macht
es möglich,
bestimmte zusammenhängende
Anschlüsse
für einen
speziellen Ein-Ausgabe-Baustein zuzulassen oder abzuweisen oder
bestimmte zusammenhängende
Anschlüsse
auf eine spezielle Weise zu handhaben. Das heißt, eine sehr hohe Körnigkeit
kann erhalten werden bei dem Abweisen oder Zulassen von zusammenhängenden
Anschlüssen.
Konsequenterweise kann das Sicherheitsniveau erhöht werden.
-
Ein
Unterschied zwischen den Lösungen
nach dem Stand der Technik und der Erfindung liegt darin, dass beim
Stand der Technik ein zusammenhängender
Anschluss typischerweise zugelassen oder abgewiesen wird auf der
Basis von Information, die von Datenpaketen des zusammenhängenden
Anschlusses erhalten wird, während
jedoch die Erfindung ein Verfahren lehrt auch des Einsatzes von
Information, die erhalten wird von Datenpaketen des Ausgangsanschlusses.
-
Diese
und weitere Merkmale der Erfindung wie auch die hierdurch erzielbaren
Vorteile werden nachfolgend beschrieben unter Bezugnahme auf Ausführungsformen,
die in den beigefügten
Zeichnungen illustriert sind.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1 illustriert
ein Beispiel eines Netzwerkaufbaus,
-
2 ist
ein Programmablaufplan, der einen Aspekt des Verfahrens gemäß der Erfindung
illustriert,
-
3 ist
ein Programmablaufplan, der andere Aspekte des Verfahrens gemäß der Erfindung
illustriert, und
-
4 illustriert
ein weiteres Beispiel eines Netzwerkaufbaus.
-
BEVORZUGTE
AUSFÜHRUNGSFORMEN
DER ERFINDUNG
-
Eine
Firewall ist als eine Gruppe von Komponenten anzusehen, die ein
Tor bilden zwischen zwei oder mehr Netzwerken, welche unterschiedliche
Sicherheitsanforderungen besitzen. Physikalisch ist eine Firewall eine
Einrichtung mit einer entsprechenden Software, um die Aufgabe auszuführen, die
ihr auferlegt werden. Dies kann ein Router, ein Personalcomputer
(PC) oder was auch immer sein, welches für einen derartigen Zweck eingesetzt
wird. Die Erfindung kann zum Einsatz kommen in jeder derartigen
Firewall und insbesondere in einer Firewall, in welcher getrennte
Bearbei tungsmodule zum Einsatz kommen zur Handhabung von Datenpaketen
von verschiedenen Protokollen. Darüber hinaus ist die Erfindung
geeignet zur Bereitstellung einer erhöhten Sicherheit in einer Umgebung,
in welcher mehr als eine Partei die gleiche Firewall nutzt. Wenn
beispielsweise ein MSP (oder ein MSSP) einen Firewallservice bereitstellt
für einen
oder mehr Kunden zur Absicherung interner Netzwerke des Kunden,
kann der MSP eine erhöhte
Sicherheit gewinnen für
das eigene Managementnetzwerk und konsequenterweise für die gesamte
Anordnung mit Hilfe der Erfindung.
-
Gemäß der Erfindung
werden zusammenhängende
Anschlüsse
validiert auf der Basis von Information, die mit dem Ausgangsanschluss
in Beziehung steht, d.h. auf der Basis des Anschlusses, innerhalb
dessen die Öffnung
des zusammenhängenden
Anschlusses gehandhabt wird. In der nachfolgenden Beschreibung wird
die Erfindung illustriert im Zusammenhang mit paketgeschalteten
Datenkommunikationen. Die Erfindung soll jedoch nicht beschränkt werden
nur auf die paketgeschalteten Kommunikationen; statt dessen ist
das Verfahren gemäß der Erfindung
in gleicher Weise geeignet für
schaltkreisgeschaltete Kommunikationen.
-
Die 2 ist
ein Programmablaufplan, der einen Aspekt der Erfindung illustriert.
Im Schritt 200 wird ein Ausgangsanschluss zunächst zugelassen.
Die Zulassung des Ausgangsanschlusses wird hier nicht weiter angesprochen,
da dies ausgeführt
werden kann beispielsweise auf der Basis einer Firewallregelbasis,
die hinlänglich
bekannt ist für
jeden, der mit Firewalls vertraut ist. Dann wird die Information
hinsichtlich des Ausgangsanschlusses in der Firewall abgespeichert
im Schritt 202. Typischerweise wird in einer aktiven Firewall ein
Eingang vorgenommen in eine Anschlussstatustabelle, um es folgenden
Statusdatenpaketen des Ausgangsanschlusses zu ermöglichen,
die Firewall zu durchlaufen und um den Status des Ausgangsanschlusses aufrechtzuerhalten.
-
Die
Inhalte des Ausgangsanschlusses werden überwacht im Schritt 204,
welches geschehen kann beispielsweise durch ein getrenntes Bearbeitungsmodul,
wie etwa einen Protokollagenten. Im Schritt 206 wird die
Handhabung mindestens eines Attri buts eines zusammenhängenden
Anschlusses erfasst innerhalb des Ausgangsanschlusses. Dann werden
im Schritt 208 die Attribute des zusammenhängenden
Anschlusses und die Information hinsichtlich des Ausgangsanschlusses
zusammen eingesetzt für
die Entscheidung, ob der zusammenhängende Anschluss zulässig ist.
-
Die
Information hinsichtlich des Ausgangsanschlusses kann zum Beispiel
eine oder mehrere der folgenden Maßnahmen sein: Information bezüglich der
Quelle und der Bestimmung des Ausgangsanschlusses (z.B. eine Quellenadresse,
eine Bestimmungsadresse, ein Quellen-Ein-Ausgabe-Baustein und/oder
ein Bestimmungs-Ein-Ausgabe-Baustein),
ein eingesetztes Protokoll (z.B. eine Protokollnummer), eine Benutzeridentifikation,
eine Authentifizierungsinformation, eine Strömungstypidentifikation, eine
Programmidentifikation sowie eine Information, die ein getrenntes
Bearbeitungsmodul identifiziert (ein Protokollagent), der den Ausgangsanschluss
handhabt. Das getrennte Bearbeitungsmodul kann implementiert werden
mit Hilfe von Software, Hardware oder einer Kombination von Software
und Hardware. Die Attribute eines zusammenhängenden Anschlusses, die innerhalb
des Ausgangsanschlusses gehandhabt werden, umfassen typischerweise
eines oder mehrere der folgenden Elemente: eine Quellenadresse,
eine Bestimmungsadresse, einen Quellen-Ein-Ausgabe-Baustein, einen Bestimmungs-Ein-Ausgabe-Baustein,
ein eingesetztes Protokoll (z.B. eine Protokollnummer), eine Benutzeridentifikation,
eine Authentifizierungsinformation, eine Strömungstypidentifikation sowie
eine Programmidentifikation.
-
Die 3 ist
ein Programmablaufplan, der einige andere Aspekte der Erfindung
illustriert. Die Schritte, die zu den Schritten der 2 identisch
sind, werden hier mit den gleichen Bezugsziffern versehen. Im Schritt 200 wird
zunächst
ein Ausgangsanschluss zugelassen. Dann wird die Information hinsichtlich
des Ausgangsanschlusses in einem ersten Eingang in der Firewall
im Schritt 300 abgespeichert. Dieser Eingang wird oft zu einer
Anschlussstatustabelle ausgebildet.
-
Die
Inhalte des Ausgangsanschlusses werden überwacht und die Handhabung
mindestens eines Attributs eines zusammenhängenden Anschluss wird erfasst
innerhalb des Ausgangsanschlusses in den Schritten 204 bzw. 206.
Dann wird im Schritt 302 ein zweiter Eingang abgespeichert
mit den Attributen des zusammenhängenden
Anschlusses und der Information hinsichtlich des Ausgangsanschlusses
oder eines Bezugs zum ersten Eingang. Das heißt, ein Eingang mit den Attributen
des zusammenhängenden
Anschlusses und entweder mit Information hinsichtlich des zugeordneten
Ausgangsanschlusses oder in Bezug auf diese Information wird abgespeichert.
Dieser zweite Eingang kann in einem zusätzlichen Anschlusstabellenaufbau
für zusammenhängende Anschlüsse eingeführt werden.
Alternativ kann der zweite Eingang direkt in die Anschlussstatustabelle
der Firewall aufgenommen werden oder auf eine andere Art und Weise
in der Firewall aufrechterhalten werden.
-
Im
Schritt 304 werden der zweite Eingang oder eine Kombination
des ersten und des zweiten Einganges verglichen mit einer Gruppe
von Regeln, um eine passende Regel herauszufinden. Mit anderen Worten werden
eine Information hinsichtlich des zusammenhängenden Anschlusses und des
zugeordneten Ausgangsanschlusses mit der Gruppe von Regeln verglichen.
Die Regeln zeigen an, ob die Kombination des zusammenhängenden
Anschlusses und des Ausgangsanschlusses zulässig ist, d.h. ob der Ausgangsanschluss autorisiert
ist, einen derartigen Anschluss zu öffnen. Zu diesem Zweck umfasst
eine Regel aus der Gruppe der Regeln mindestens ein Attribut eines
zusammenhängenden
Anschlusses, eine Information hinsichtlich des Ausgangsanschlusses
sowie eine Aktion, die auszuführen
ist für
einen zusammenhängenden
Anschluss.
-
Somit
zeigt die Aktion der passenden Regel an, wie der zusammenhängende Anschluss
gehandhabt werden muss im Schritt 306. Wenn die Aktion
lautet gestatten, wird der zusammenhängende Anschluss zugelassen,
Schritt 308. Wenn in ähnlicher
Weise die Aktion lautet verweigern, dann wird der zusammenhängende Anschluss
abgewiesen, Schritt 310. Wie zuvor ausgeführt wurde,
kann jede dieser Aktionen darüber
hinaus auch die Bearbeitung des Anschlusses umfassen. Ein derartiges
weiteres Bearbeiten wird jedoch hier nicht weiter angesprochen aus
Gründen
der Klarheit. Ein Zulassen des zusammenhängenden Anschlusses bedeutet
normalerweise das Hinzufügen
eines Einganges entsprechend des zusammenhängenden Anschlusses zu der
Anschlussstatustabelle der Firewall.
-
Der
Schritt 304 und die Schritte, die diesem folgen, können ausgeführt werden
unmittelbar nach der Handhabung der Adressendetails des zusammenhängenden
Anschlusses oder wenn ein erstes Datenpaket, welches zu dem zusammenhängenden
Anschluss gehört,
bei der Firewall angekommen ist. Die Gruppe von Regeln, die eingesetzt
wird zur Validitierung zusammenhängender
Anschlüsse,
kann Teil der normalen Regelbasis der Firewall sein oder einer zusätzlichen
Regelbasis, die aufgebaut wird zum Zweck der Validitierung der zusammenhängenden
Anschlüsse
oder vorgegeben wird in einer anderen geeigneten Struktur.
-
Wenn
der zweite Eingang direkt der Anschlussstatustabelle zugeführt wird,
wird er validiert, wenn das erste Datenpaket des zusammenhängenden
Anschlusses empfangen wird. In diesem Fall wird der Eingang markiert
als ein Eingang, der einen zusammenhängenden Anschluss betrifft
und eine Validitierung erfordert, entweder explizit oder implizit
(was erreicht wird zum Beispiel durch ein einfaches Einschließen von
Information hinsichtlich des Ausgangsanschlusses, wobei die Information
nicht in "normalen" Eingängen der
Anschlussstatustabelle erscheint).
-
Die 4 zeigt
einen beispielhaften Netzwerkaufbau, bei welchem die Erfindung eingesetzt
werden kann. In der gleichen Weise wie in 1 bietet
ein MSP Firewallservice für
Kunden A und B, die ihr internes Netzwerk 100 und 102 an
das Internet 104 über
die Firewall 106 anschließen, welche verwaltet wird
durch den MSP. Der MSP managet die Firewall 106 von seinem
internen Netzwerk 108 (der MSP besitzt auch einen Anschluss
an das Internet über
diese Firewall). Wie zuvor erläutert
wurde, abonnieren die Kunden A und B eine bestimmte Schutzart von
dem MSP und der MSP stellt die Firewall 106 mit den entsprechenden
Regeln bereit.
-
Dem
Kunden kann es gestattet werden, eine bestimmte Untergruppe der
Firewallregeln zu verwalten, die für sein Netzwerk spezifisch
sind, aber die Firewall als Ganzes wird durch den MSP verwaltet.
Alternativ können
die Kunden nicht in der Lage sein (und sie werden es auch nicht
brauchen), die Regeln der Firewall zu modifizieren.
-
Die
Erfindung wird nun in größerem Detail
illustriert mit Hilfe eines einfachen Beispiels im Zusammenhang
mit 4. Die nachfolgende Bezeichnung wird hier eingesetzt
für einen
Anschluss (Quellenausgang, Quellen-Ein-Ausgabe-Baustein, Bestimmungsausgang,
Bestimmungs-Ein-Ausgabe-Baustein). Die folgende Regelbasis soll
angenommen werden, die FTP-Anschlüsse zuletzt von dem Netzwerk 102 des
Kunden B zum Internet 104, während alle anderen Anschlüsse abgewiesen
werden. Zusätzlich
muss ein Protokollagent PA1 für
die FTP-Anschlüsse
eingesetzt werden.
-
-
Bei
einem legitimierten Einsatz öffnet
ein Datenanbieter B1 im Netzwerk des Kunden B einen FTP-Steueranschluss
an einen FTP-Server 110 im Internet 104. Dies
wird gestattet durch die Regel Nr. 1 und der folgende Eingang, der
ankommende TCP-Datenpakete
zulässt
zwischen dem Ein-Ausgabe-Baustein SP des Datenanbieters B1 und dem
Ein-Ausgabe-Baustein FTPC des Servers S, wird der Anschlussstatustabelle beigegeben:
-
-
Dann
wird ein PORT-Befehl, welcher die Quellen- und Bestimmungsadressen
sowie die Ein-Ausgabe-Bausteine des Datenanschlusses (B1, DP, S,
FTPD) definiert, übertragen
innerhalb des Steueranschlusses. Der Protokollagent PA1 erfasst
dies und fügt
den Eingang Nr. 2 der Anschlussstatustabelle zu. Dieser Eingang
lässt TCP-Datenpakete zwischen
dem Ein-Ausgabe-Baustein FTPD des Servers S und dem Ein-Ausgabe-Baustein
DP des Datenanbieters B1 zu, d.h. den geforderten FTP-Datenanschluss.
-
-
Ein
Beispiel eines legitimierten Einsatzes ist das Öffnen des FTP-Steueranschlusses
in einer normalen Weise und dann einen PORT-Befehl abzusenden, der
die folgende Quellen- und Bestimmungsadressinformation definiert:
(A1, DPA, S, FTPD). Wenn die Gültigkeit
der Adressinformation nicht in dem Protokollagenten verifiziert
wird, wird der Eingang 2' der
Anschlussstatustabelle hinzugefügt
und ein illegitimer Anschluss zwischen dem Eingabe-Baustein FTPD
des Servers S und dem Ein-Ausgabe-Baustein
DPA des Datenanbieters A1 wird zugelassen.
-
-
Es
ist möglich,
dass ein Fehler in dem Protokollagent die Hinzufügung eines derartigen illegitimen
Einganges bewirkt, das heißt,
der Protokollagentmodul ändert
die Adressinformation des gehandhabten zusammenhängenden Anschlusses durch einen
Fehler. Auf diese Art und Weise kann der Kunde B ein Sicherheitsrisiko
für den
Kunden A darstellen, auch wenn dies unbeabsichtigt ist. Natürlich kann
das Verhalten des Protokollagenten auch beabsichtigt sein.
-
Diese
Schwäche
des Systems kann auch auf manch andere Art und Weise ausgenutzt
werden. Beispiele von anderen Protokollen, welche einen Protokollagenten
erfordern, der in der Lage ist, zusammenhängende Anschlüsse zuzulassen,
sind H.323, SQLNET sowie eine Mehrzahl von gesetzlich geschützten oder
benutzerspezifischen Protokollen.
-
Bei
dem Verfahren gemäß der Erfindung
wird der Steueranschluss zunächst
auf eine normale Art und Weise gehandhabt. Wenn der PORT-Befehl
(A1, DPA, S, FTPD) empfangen wird und der Protokollagent bietet an,
dass der entsprechende Eingang 2' der
Anschlussstatustabelle zugefügt
wird, wird der neue Eingang überprüft gegen
die Ausgangsinformation und spezielle Regeln. Hierfür folgt
man dem Einsatz einfacher Regeln:
-
-
Nun
passt der zusammenhängende
Anschluss nicht zu der zusammenhängenden
Regel Nr. 1 und dementsprechend sollte der zusammenhängende Anschluss
abgelehnt werden. Dementsprechend wird der Eingang 2' nicht der Anschlussstatustabelle
zugefügt.
-
Alternativ
kann der Eingang 2' der
Anschlussstatustabelle hinzugefügt
werden mit der Beigabe eines Indikators, dass es sich hierbei um
einen zusammenhängenden
Anschluss handelt, sowie eine Information hinsichtlich des Ausgangsanschlusses.
Die Information hinsichtlich des Ausgangsanschlusses kann beispielsweise
ein Bindeglied zu dem Anschlussstatustabelleneingang des entsprechenden
Ausgangsanschlusses sein. Wenn dann ein empfangenes Datenpaket zum
Eingang 2' passt,
wird die Legitimität
des Anschlusses überprüft auf der
Basis der obigen zusammenhängenden
Regeln.
-
Es
ist klar, dass die Gruppe der obigen Regeln keine realistische ist,
da in der Realität
mehr als eine Art von zusammenhängenden
Anschlüssen
zugelassen werden würde.
Eine Gruppe von Regeln, die bestimmte Typen von zusammenhängenden
Anschlüssen
abweist und andere zulässt,
ist mit größerer Wahrscheinlichkeit
eine einsetzbare Wahl, aber das obige Beispiel illustriert deutlich
das Prinzip der Erfindung.
-
Wenn
ein neuer Protokollagent der Firewall hinzugefügt wird, muss eine neue zusammenhängende Regel
normalerweise ebenfalls zugefügt
werden. Wenn bei spielsweise der Kunde A gemäß 1 einen
Kundenprotokollagenten PA2 implementiert, kann ein Eingang 1.5 den
zusammenhängenden
Regeln beigegeben werden.
-
-
Nun
werden zusammenhängende
Anschlüsse
nur zwischen dem Server 2 und dem Netzwerk A zugelassen und zusätzlich muss
der Ausgangsanschluss initiiert werden durch den Datenanbieter A1.
-
Es
soll nun ein weiteres Beispiel in Betracht gezogen werden im Zusammenhang
mit einem Oracle SQL*Net-Protokoll. Der Kunde B der 4 kann
vor der Notwendigkeit stehen, mit einem SQL*Net-Listener Process
zu kommunizieren in einem Server 400400, und eine Mehrzahl von Oracle
Databasen 402, 404 befinden sich irgendwo im Internet.
Der Datenanbieter B1 in dem internen Netzwerk kontaktiert den SQL*Net-Listener
und fordert einige Daten an. Der SQL*Net-Listener kann beispielsweise
antworten, dass die Daten gefunden worden sind in der Oracle Database 404,
Ein-Ausgabe-Baustein 3000. Auf dieser Basis muss die Firewall
den zusammenhängenden
Anschluss zulassen zwischen jedem Ein-Ausgabe-Baustein des Datenanbieters
B1 und der Oracle Database 404, Ein-Ausgabe-Baustein 3000.
-
Da
der Kunde B wahrscheinlich Kontrolle über den SQL*Net-Listener Process
in dem Server 400 besitzt, kann B den Listener anpassen,
so dass er auf eine Anforderung von dem Datenanbieter B1 auf eine
spezielle Weise anspricht. Er kann beispielsweise antworten, dass
die Daten von dem Datenanbieter M1 gefunden wurden, Ein-Ausgabe-Baustein
X, wobei M1 sich in dem internen Netzwerk 108 des MSP befindet.
Nun wird die Firewall 106 versuchen, zuzulassen, dass B1
sich an das interne Netzwerk von dem MSP anschließt. Wenn die
Protokolle, die zusammenhängende
Anschlüsse
einsetzen, aktiviert werden müssen
in dem Datenanbieter M1, kann der MSP dies mit herkömmlichen
Mitteln nicht vermeiden. Mit Hilfe der Erfindung kann dies jedoch vermieden
werden. Der MSP kann zum Beispiel zusammenhängende Anschlüsse zulassen
zum oder von seinem internen Netzwerk nur dann, wenn der zugeordnete
Ausgangsanschluss ebenfalls von seinem internen Netzwerk stammt
und alle anderen zusammenhängenden
Anschlüsse
zum oder von seinem internen Netzwerk ablehnen.
-
Damit
die obige Ausnutzung realistisch ist, muss B offenbar herausfinden,
dass es einen Datenanbieter M1 gibt, der im Netzwerk des MSP angreift.
Dies wird jedoch nicht weiter hier in Betracht gezogen, da das Ziel
hier nicht darin liegt, eine solche Ausnutzung zu ermöglichen,
sondern diese zu vermeiden.
-
Es
ist klar, dass ein Sachverständiger
auf diesem Gebiet auch verschiedene andere Arten von Einschränkungen
erzeugen kann mit Hilfe der zusammenhängenden Regeln. Darüber hinaus
leuchtet ein, dass der Netzwerkaufbau gemäß 4 und der
Einsatz von Szenarien der oben beschriebenen Erfindung lediglich Beispiele
darstellen und die Erfindung auf verschiedene andere Art und Weise
eingesetzt werden kann innerhalb des Rahmens der Erfindung, wie
dieser durch die nachfolgenden Ansprüche definiert wird.