EP4052440A1 - Transmission device for transmitting data - Google Patents

Transmission device for transmitting data

Info

Publication number
EP4052440A1
EP4052440A1 EP20828978.5A EP20828978A EP4052440A1 EP 4052440 A1 EP4052440 A1 EP 4052440A1 EP 20828978 A EP20828978 A EP 20828978A EP 4052440 A1 EP4052440 A1 EP 4052440A1
Authority
EP
European Patent Office
Prior art keywords
network
real
transmission device
simulation
rnw1
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20828978.5A
Other languages
German (de)
French (fr)
Inventor
Rainer Falk
Christina Otto
Heiko Patzlaff
Martin Wimmer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens Mobility GmbH
Original Assignee
Siemens Mobility GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Mobility GmbH filed Critical Siemens Mobility GmbH
Publication of EP4052440A1 publication Critical patent/EP4052440A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Definitions

  • Transmission device for transmitting data
  • the present invention relates to a transmission device for transmitting data between a real first network and a real second network.
  • transmission devices For secure communication between a safety-critical network, such as a production network or a railroad safety network, and an open network, such as a local network or the Internet, transmission devices such as data diodes or firewalls are conventionally used to ensure unidirectional data transmission between to enable the security-critical network and the open network. These transmission devices are, for example, set up to ensure that no arbitrary data can be transmitted from the open network to the security-critical network and, in particular, are also set up to protect the security-critical network from attacks and intrusion attempts protect.
  • a transmission device for transmitting data between a real first network and a real second network.
  • the transmission device has a first network port for coupling to the real first network and a second network port for coupling to the real second network and further comprises: a simulation unit connected to the first network port, which is set up for this purpose , network-specific data from the real first network via the first network port to provide a virtual simulation network from the real first network as a function of the network-specific data obtained, and to provide the provided virtual simulation network via the second network port for access to the provided virtual simulation network from the real second network .
  • the transmission device makes it possible to provide a virtual simulation network from the real first network via the second network port using real network-specific data, for example from real participants in the real first network.
  • real network-specific data for example from real participants in the real first network.
  • This targeted misleading of the attacker has the advantage that the security against access or attacks from the real second network to the real first network is increased and consequently the reliability and security of the data transmission between the real first network and the real second network are increased becomes.
  • the term “real” is understood in particular to mean that the first network and the second network are designed as an existing network in reality.
  • the existing network can be a physical network, for example implemented in hardware, or a virtual (virtualized) network, for example implemented using virtual machines and / or virtual switches, or a hybrid network (partially virtualized network).
  • a virtualized network, such as a virtual first network is, for example, a network which is set up virtually or is designed as a network virtualization.
  • the term “virtual” is preferably understood to mean that the simulation network simulates or virtually maps the first real network.
  • the virtual simulation network simulates in particular at least parts or participants of the real first network. In particular, their function and effect are simulated by the virtual simulation network.
  • a simulated subscriber can also be referred to as a so-called "honeypot” and the simulation of a real network can be referred to as a simulation of a "honeypot network", also referred to as a honeynet.
  • the simulation unit can also be set up to create a plurality V of virtual simulation networks from a plurality N of real first networks and to provide this plurality V via the second network port.
  • connection and “connected” is understood here in particular to mean that a unit, for example the simulation unit, directly or indirectly via at least one other component or another component with, for example, the first network port or other components of the Transmission device is connected.
  • a network port such as the first or the second network port, is designed in particular as a physical network port.
  • the physical network port preferably has an RJ-45 connection, an M12 connection or a single-pair Ethernet connection in order to be connected or coupled to the real first network or the real second network.
  • the transmission device can, for example, comprise further network ports in addition to the first and second network ports.
  • the first and / or the second network port can also be part of a network address, which allows the assignment of TCP connections ("Transmission Control Protocol") and UDP connections ("User Datagram Protocol”) and data packets to the server and / or Cli- ent, which are arranged in the real first and / or real second network, enables.
  • the simulation unit is set up to simulate the real first network when the virtual simulation network is provided.
  • the provision by the simulation unit preferably includes a simulation of the real first network.
  • the access is in particular an access by a participant or an attack by an attacker from the real second network via the second network port to the virtual simulation network.
  • the attack can be a software attack, especially a hacker attack.
  • a software attack is in particular an attack on the virtual simulation network via the second network port from the real second network.
  • the attack can also include an attempt to attack and / or an attempt to intrude on the transmission device.
  • the simulation unit is also set up to simulate the virtual simulation network as a function of at least three different simulation levels.
  • the simulation unit is set up, depending on the network-specific data obtained, the virtual simulation network in a first simulation level of the at least three different simulation levels using at least one network topology of the real first network, in a second simulation level of the at least three different ones Simulation stages using at least one layer of a network protocol and / or a display of a service based on the real first network and, in a third simulation stage, simulating the at least three different simulation stages using at least one content-plausible website based on the real first network.
  • simulating the virtual simulation network using different simulation levels it is advantageously possible to provide the attacker from the real second network with only certain data from the real first network, which depend on the respective simulation level, or for this to display the virtual simulation network.
  • the virtual simulation network With each increase in the simulation level, for example when the virtual simulation network is increased from the first to the second simulation level, further data from the real first network can be made available to the attacker by the virtual simulation network. As a result, each time the simulation level is increased, the virtual simulation network is mapped more and more precisely in relation to the real first network. In other words, with each increase in the simulation level, the virtual simulation network includes further data from the real first network.
  • This increases the probability that the attacker will access the virtual simulation network or want to attack it, and thus the probability that the attacker will be misled increases.
  • This has the advantage that the security against access from the real second network to the real first network is increased and, as a result, the reliability and security in the data transmission between the real first network and the real second network is increased.
  • a network topology of the real first network includes, in particular, one or more end points of the real first network.
  • An end point is in particular an interface of a participant in the real first network.
  • a participant is, for example, a computer such as a server, a client or a router.
  • the network topology includes in particular the arrangement of the participants and the connection between the participants in the real first network. The same applies to the real second network.
  • One layer of a network protocol is in particular part of the TCP / IP reference model (“Transmission Control Protocol” / “Internet Protocol”), which maps a group of network protocols using different layers.
  • the first simulation stage includes, in particular, the simulation of the network topology, the network ports present in the network topology and, in addition, which network ports can be reached and which are inaccessible.
  • the first simulation level can in particular be assigned to layers 1 - 3 according to the OSI / ISO layer model, so that preferably the physical participants of the real first network and their media access control address (MAC) and / or Internet protocol Address (IP address) can be simulated in the virtual simulation network in the first simulation stage.
  • MAC media access control address
  • IP address Internet protocol Address
  • Using the only first simulation stage has the particular advantage that the simulation of the virtual simulation network requires little memory and computing effort, since the simulation effort is low due to the simulated network topology with the network ports.
  • the second simulation stage includes in particular the simulation of a layer of a network protocol or a display of a service.
  • a service is, for example, the simulation of a TCP / UDP port ("User Datagram Protocol") or a response he generated to an HTTP request ("Hypertext Transfer Protocol”) by a randomly generated empty website.
  • the third simulation stage preferably includes the simulation of a content-plausible website.
  • a website with plausible content can correspond to a website in which the graphical user interface, for example PLC software (programmable logic controller), is displayed.
  • PLC software programmable logic controller
  • measured values such as pressure or temperature of a real PLC, which controls a real machine in the real first network, can then be displayed.
  • the measured values can also be simulated in such a way that they change as required over time.
  • These measured values can also be changed as a reaction to an attack by the attacker in such a way that the attacker assumes that he has successfully attacked the real system or the PLC of the real first network.
  • the third simulation stage also includes, in particular, the simulation of an application logic of the first network.
  • the application logic preferably includes algorithms and / or rules for describing functions of end points, such as subscribers, of the first network.
  • the virtual simulation network precisely simulates the real first network and its technical processes.
  • the virtual simulation network or the honeypot is designed to be particularly realistic. forms. This particularly realistic training can also be referred to as a "digital twin".
  • the different simulation levels correspond in particular to the layers of the OSI / ISO layer model.
  • the transmission device further comprises a configuration unit which is set up to receive network-specific data from the real first network via the first network port, to analyze them and to use the analyzed network-specific data as configuration data for configuring the virtual simulation network.
  • the configuration unit is also set up to use the configuration data to automatically configure the virtual simulation network at least at a specific point in time, the at least one specific point in time including a point in time during operation of the simulation unit.
  • the transmission device comprises, in particular, a CPU (“Central Processing Unit”) in which the simulation unit and the configuration unit are implemented.
  • a CPU Central Processing Unit
  • the respective unit for example the simulation unit or the configuration unit, can be implemented in terms of hardware and / or also in terms of software.
  • the respective unit can be designed as a device or as part of a device, for example as a computer or as a microprocessor or as a control computer of a vehicle.
  • the respective unit can be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.
  • the configuration data include, in particular, the network-specific data of the real first network.
  • the configuration Ration data include at least the network topology of the real first network, the IP addresses of the participants in the real first network and the services that are carried out on the real first network.
  • the configuration unit makes it possible in an advantageous manner to configure the virtual simulation network by means of the configuration data.
  • a "configuration” is understood in particular to mean that the configuration unit of the simulation unit, in particular the simulated, virtual simulation network, has already preprocessed data from the real first network, for example network topologies with the participants, network Ports or IP addresses of participants. This means that there is no need to extract or process the network-specific data obtained by the simulation unit. This in particular reduces the configuration effort when setting up the virtual simulation network for the first time or when it is set up again.
  • the configuration unit can learn the network topology or the layout of the real first network by means of an algorithm for machine learning, for example by means of neural networks. This also reduces the effort involved in setting up or configuring the virtual simulation network for the first time or repeatedly.
  • the specific point in time includes, in particular, a point in time during operation of the simulation unit, when the simulation unit is started, when the simulation level is changed and / or a specific point in time that is given by an operator or administrator of the transmission device.
  • the transmission device is set up to run the simulation unit and the configuration unit in parallel.
  • This embodiment has the advantage that the simulation unit and the configuration unit are carried out simultaneously or in parallel or are active or in operation at the same time.
  • the parallel execution of the configuration unit in combination with the simulation unit leads to the technical effect that during operation the virtual simulation network can be adapted on the one hand by means of the simulation unit in the respective simulation stages, and on the other hand the initial and / or repeated setup This is facilitated by a better database based on the configuration data of the configuration unit and since the configuration effort is reduced with it.
  • the level of detail of the virtual simulation network can be increased.
  • the probability increases, in particular, that potential attackers will be distracted from accessing the real first network, so that security can thus be increased.
  • the reliability and security of the data transmission between the real first network and the real second network are increased.
  • Parallel is understood in particular to mean that the transmission device is set up to execute or operate the simulation unit and the configuration unit simultaneously or simultaneously.
  • the transmission device is set up to receive data from the real first network via a network switch arranged between the real first network and the first network port, with at least one input of the network switch for the transmission of data is connected to the real first network and a mirroring port formed as an output of the network switch for the transmission of data is connected to the first network port.
  • a network switch with a mirror port it is advantageously possible, please include to provide the entire data traffic of the real first network at the first network port for the transmission device. This advantageously enables the transmission device to receive and analyze the data traffic of each participant in the real first network.
  • a first connection section is arranged between the real first network and the network switch, a second connection section between the network switch and the transmission device, and a third connection section between the transmission device and the real second network.
  • the first connection section in particular establishes a connection between the real first network and the network switch.
  • the second connection section preferably establishes a connection between the network switch and the transmission device.
  • the third connection section establishes, for example, a connection between the real second network and the transmission device.
  • the first, second and / or third connection section is in particular wired, for example in the form of at least one copper line or an aluminum line, and / or optically in the form of at least one glass fiber line.
  • the network switch can also be referred to as a switch.
  • the mirroring port of the network switch is used in particular to mirror the network traffic of the real first network in order to provide the entire data and / or network traffic of the real first network of the transmission device at the first network port.
  • the transmission device is set up to facilitate the transmission of data between the real first network and the real second network work in a transmission layer, layer 2 according to the OSI / ISO layer model.
  • the real first network comprises a control network, in particular a production network or a railway safety network
  • the real second network comprises a diagnosis network, a local network or the Internet.
  • the real first network is designed in particular as a safety-critical network, while the real second network is designed as an open network.
  • the real first network can also be referred to as a network with a high security requirement, while the real second network is referred to as a network with a low security requirement.
  • a production network is used in particular in a production facility.
  • the production plant comprises several machines and computers connected to one another via the production network.
  • a railway safety network preferably comprises control and safety technology for a rail infrastructure.
  • the control network includes, in particular, a road safety network which has control and safety technology for a road infrastructure.
  • a local network includes, for example, a LAN (“Local Area Network”) and / or a WLAN (“Wireless Local Area Network”).
  • LAN Local Area Network
  • WLAN Wireless Local Area Network
  • the real first network and the real second network each include in particular at least one end point, which is designed as a respective participant.
  • the real first network and / or the real second network in particular each comprise a plurality of participants that are connected to one another and thereby form the respective network.
  • the transmission device is partially or completely designed as a unidirectional data diode, as a firewall or as a gateway.
  • a unidirectional data diode is, in particular, a one-way communication device which enables the real first network and the real second network to be separated physically without interference.
  • the unidirectional data diode is designed as a "data capture unit” (DCU).
  • DCU data capture unit
  • a "physical" reaction-free separation is present in particular when the reaction-free separation physically separates the real first and the real second network due to physical components in the unidirectional data diode.
  • a firewall is in particular a component which is implemented in hardware and / or software, in particular in software, and which is set up to establish a connection between a real first and a real second network.
  • the firewall can also be designed as a unidirectional firewall, which enables a logically reaction-free separation of the real first network and the real second network.
  • the term “logical”, reaction-free separation is understood in the present case in particular when the reaction-free separation takes place by means of an application of algorithms, in the case when the firewall is implemented in software.
  • a gateway is in particular a component which is implemented in hardware and / or software and which is set up to establish a connection between a real first and a real second network.
  • the gateway can also be designed as a unidirectional gateway, which enables a physical or logical reaction-free separation of the real first network and the real second network.
  • the unidirectional data diode, the unidirectional firewall and the unidirectional gateway are set up in particular to allow only released and / or specially marked data for transmission from the real second network into the real first network.
  • reaction-free separation is understood in particular to mean that changes or attempts at attack from the real second network have no influence on the real first network.
  • the term “partially” is understood in particular to mean that the transmission device includes further components in addition to the unidirectional data diode, the firewall or the gateway.
  • the unidirectional data diode is part of the transmission device, the transmission device also having further components.
  • the term “complete” is understood in particular to mean that the transmission device in its entirety is designed as a unidirectional data diode, as a firewall or as a gateway.
  • the transmission device is set up to provide the real second network with a routing table comprising a plurality A of IP addresses of participants in the real first network.
  • the routing table is, in particular, a table that provides information about which subscribers in a network, such as the real first network, can be reached via which IP addresses or which IP addresses are assigned to the subscribers.
  • Another network such as the real second network, thus has information about the IP address via which a subscriber in the real first network can be reached from the real second network.
  • the transmission device is set up to provide the real second network with at least one specific IP address of a specific subscriber of the real first network.
  • the routing table provided provides at least one specific IP address of a specific subscriber from the real first network to the real second network.
  • This specific IP address provided is advantageously used, in particular, as a trap that has a technical endpoint. If, for example, an attacker wants to attack the specific subscriber via the transmission device using the specific IP address assigned to him, the attack ends in the technical end point.
  • the technical end point is in particular designed to be isolated from the real first and real second network. The attacker is thus deliberately misled by means of the determined IP address and the routing table in order to increase the security and reliability when operating the transmission device and the real first network.
  • the network-specific data include measured values, such as pressure and / or temperature of participants in the real first network, at least a number T of participants in the real first network, operating states of participants in the real first network and / or a technical one Process which is carried out by at least one participant in the real first network.
  • At least the simulation unit, the configuration unit, the first network port and the second network port are implemented in a common housing.
  • the components listed in this embodiment, including the transmission device itself, are implemented in particular in a common housing.
  • a housing or a common housing is designed in particular as a housing of a processor or a computer chip, for example in the form of an integrated circuit ("Integrated Circuit" (IC)). Furthermore, a housing or a common housing is preferably designed as a common housing of a device or, for example, as a common implementation on an FPGA (Field Programmable Gate Array).
  • IC integrated circuit
  • FPGA Field Programmable Gate Array
  • FIG. 1 shows a schematic block diagram of a first embodiment of a transmission device for transmitting data
  • FIG. 2 shows a schematic block diagram of a second embodiment of a transmission device for transmitting data.
  • elements that are the same or have the same function have been given the same reference symbols, unless otherwise stated.
  • Fig. 1 shows a schematic block diagram of a first embodiment of a transmission device 1 for transmitting data between a real first network RNW1, for example comprising a production network, and a real second network RNW2, for example comprising a local network.
  • a real first network RNW1 for example comprising a production network
  • a real second network RNW2 for example comprising a local network.
  • This transmission of data is carried out in particular in a transmission layer, layer 2 according to the OSI / ISO layer model.
  • the real first network RNW1 can comprise a railway safety network
  • the real second network RNW2 comprises the Internet.
  • the transmission device 1 is designed entirely as a unidirectional data diode.
  • the transmission device 1 can be designed partially or completely as a firewall (not shown) or as a gateway (not shown).
  • the transmission device 1 has a first network port PI for coupling to the real first network RNW1 and a second network port P2 for coupling to the real second network RNW2.
  • the transmission device 1 also includes a simulation unit 2.
  • the simulation unit 2 is connected to the first network port PI and is set up to receive network-specific data from the real first network RNW1 via the first network port PI, depending on the network-specific data received, a virtual simulation network VSN from the real first network RNW1 and to provide the provided virtual simulation network VSN via the second network port P2 for access to the provided virtual simulation network VSN from the real second network RNW2.
  • the network-specific data include, in particular, measured values, such as pressure and / or temperature of participants in the real first network RNW1 or at least a number T of participants in the real first network RNW1.
  • the network-specific data also preferably include operating states of participants in the real first network RNW1 or a technical process which is carried out by at least one participant in the real first network RNW1.
  • the simulation unit 2 is set up to simulate the virtual simulation network VSN as a function of at least three different simulation levels.
  • the simulation unit 2 is set up, depending on the network-specific data obtained, the virtual simulation network VSN in a first simulation stage using at least one network topology of the real first network RNW1 and in a second simulation stage using at least one layer of a network protocol and / or to simulate a display of a service based on the real first network RNW1.
  • the simulation unit 2 is also set up to simulate the virtual simulation network VSN in a third simulation stage based on the real first network RNW1 based on the real first network RNW1 as a function of the network-specific data obtained.
  • a network switch 4 is also arranged between the real first network RNW1 and the first network port PI.
  • the transmission device 1 is set up to receive the data from the real first network RNW1 via the network switch 4. At least one input of the network switch 4 is for the transmission of data with the real connected to the first network RNW1. A mirroring port SP designed as an output of the network switch 4 for transmitting data is connected to the first network port PI.
  • the transmission device 1 is preferably set up to provide the real second network RNW2 with a routing table comprising a plurality A of IP addresses of participants from the real first network RNW1.
  • the transmission device 1 is also set up to provide the second network RNW2 with at least one specific IP address of a specific subscriber from the real first network RNW1.
  • FIG. 2 shows a schematic block diagram of a second embodiment of a transmission device 1 for transmitting data.
  • the second embodiment includes all of the features of the first embodiment.
  • the transmission device 1 of the second embodiment in FIG. 2 comprises a configuration unit 3 which is connected to the simulation unit 2 and a CPU 5 in which the simulation unit 2 and the configuration unit 3 are implemented .
  • the configuration unit 3 is set up to receive network-specific data from the real first network RNW1 via the first network port PI, to analyze them and to use the analyzed network-specific data as configuration data for configuring the virtual simulation network VSN.
  • the transmission device 1 including at least the simulation unit 2, the configuration unit 3, the first network port PI and the second network port P2 are implemented in a common housing 6.
  • the configuration unit 3 is also set up to use the configuration data to automatically configure the virtual simulation network VSN at least at a specific point in time.
  • the specific point in time includes, in particular, a point in time during the operation of the simulation unit 2.
  • the transmission device 1 is preferably set up to run the simulation unit 2 and the configuration unit 3 in parallel.

Abstract

Proposed is a transmission device for transmitting data between a real first network and a real second network. The transmission device has a first network port for coupling to the real first network and a second network port for coupling to the real second network and also comprises: a simulation unit which is connected to the first network port and which is configured to receive network-specific data from the real first network via the first network port, to provide, in accordance with the received network-specific data, a virtual simulation network of the real first network, and to prepare the provided virtual simulation network, via the second network port, for access to said provided virtual simulation network by the real second network. The transmission device provided allows an attacker to be deliberately deceived, which advantageously increases security against attempts to access the real first network from the real second network.

Description

Beschreibung description
Übertragungsvorrichtung zum Übertragen von Daten Transmission device for transmitting data
Die vorliegende Erfindung betrifft eine Übertragungsvorrich tung zum Übertragen von Daten zwischen einem realen ersten Netzwerk und einem realen zweiten Netzwerk. The present invention relates to a transmission device for transmitting data between a real first network and a real second network.
Zur sicheren Kommunikation zwischen einem sicherheitskriti schen Netzwerk, wie beispielsweise einem Produktionsnetzwerk oder einem Bahnsicherungsnetzwerk, und einem offenen Netz werk, wie beispielsweise einem lokalen Netzwerk oder dem In ternet, werden herkömmlicherweise insbesondere Übertragungs vorrichtungen, wie Datendioden oder Firewalls eingesetzt, um eine unidirektionale Datenübertragung zwischen dem sicher- heitskritischen Netzwerk und dem offenen Netzwerk zu ermögli chen. Diese Übertragungsvorrichtungen sind beispielsweise da zu eingerichtet sicherzustellen, dass von dem offenen Netz werk keine beliebigen Daten an das sicherheitskritische Netz werk übermittelt werden können und sind insbesondere ferner dazu eingerichtet, das sicherheitskritische Netzwerk vor An griffen und Eindringversuchen (engl. "Intrusion attempts") zu schützen. For secure communication between a safety-critical network, such as a production network or a railroad safety network, and an open network, such as a local network or the Internet, transmission devices such as data diodes or firewalls are conventionally used to ensure unidirectional data transmission between to enable the security-critical network and the open network. These transmission devices are, for example, set up to ensure that no arbitrary data can be transmitted from the open network to the security-critical network and, in particular, are also set up to protect the security-critical network from attacks and intrusion attempts protect.
Vor diesem Hintergrund besteht eine Aufgabe der vorliegenden Erfindung darin, eine verbesserte Übertragungsvorrichtung be reitzustellen. Against this background, it is an object of the present invention to provide an improved transmission device.
Gemäß einem ersten Aspekt wird eine Übertragungsvorrichtung zum Übertragen von Daten zwischen einem realen ersten Netz werk und einem realen zweiten Netzwerk vorgeschlagen. Die Übertragungsvorrichtung weist einen ersten Netzwerk-Port zum Koppeln an das reale erste Netzwerk und einen zweiten Netz werk-Port zum Koppeln an das reale zweite Netzwerk auf und umfasst ferner: eine an dem ersten Netzwerk-Port verbundene Simulations- Einheit, die dazu eingerichtet ist, über den ersten Netzwerk- Port von dem realen ersten Netzwerk netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspe zifischen Daten ein virtuelles Simulationsnetzwerk von dem realen ersten Netzwerk bereitzustellen, und das bereitge stellte virtuelle Simulationsnetzwerk über den zweiten Netz werk-Port für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk von dem realen zweiten Netzwerk aus be reitzustellen. According to a first aspect, a transmission device for transmitting data between a real first network and a real second network is proposed. The transmission device has a first network port for coupling to the real first network and a second network port for coupling to the real second network and further comprises: a simulation unit connected to the first network port, which is set up for this purpose , network-specific data from the real first network via the first network port to provide a virtual simulation network from the real first network as a function of the network-specific data obtained, and to provide the provided virtual simulation network via the second network port for access to the provided virtual simulation network from the real second network .
Durch die bereitgestellte Übertragungsvorrichtung ist es mög lich, ein virtuelles Simulationsnetzwerk von dem realen ers ten Netzwerk über den zweiten Netzwerk-Port mittels realer netzwerkspezifischer Daten, von beispielsweise realen Teil nehmern des realen ersten Netzwerkes, bereitzustellen. Infol gedessen, wenn nun ein Angreifer von dem realen zweiten Netz werk aus auf das vermeintlich erste reale Netzwerk, nämlich das virtuelle Simulationsnetzwerk, zugreifen oder dieses an greifen will, greift der Angreifer in Wirklichkeit das virtu elle Simulationsnetzwerk anstelle des realen ersten Netzwerks an, oder greift auf dieses zu. The transmission device provided makes it possible to provide a virtual simulation network from the real first network via the second network port using real network-specific data, for example from real participants in the real first network. As a result, if an attacker wants to access or attack the supposedly first real network, namely the virtual simulation network, from the real second network, the attacker actually attacks the virtual simulation network instead of the real first network, or access this.
Diese gezielte Irreführung des Angreifers hat den Vorteil, dass sich die Sicherheit vor Zugriffen oder Angriffen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk er höht und infolgedessen die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht wird. This targeted misleading of the attacker has the advantage that the security against access or attacks from the real second network to the real first network is increased and consequently the reliability and security of the data transmission between the real first network and the real second network are increased becomes.
Unter dem Begriff "real" wird vorliegend insbesondere ver standen, dass das erste Netzwerk und das zweite Netzwerk in der Realität als ein existierendes Netzwerk ausgebildet sind. Das existierende Netzwerk kann ein physikalisches Netzwerk sein, beispielsweise realisiert in Hardware, oder ein virtu elles (virtualisiertes) Netzwerk sein, beispielsweise reali siert mittels virtueller Maschinen und/oder virtuellen Swit ches, oder ein hybrides Netzwerk (teil-virtualisiertes Netz werk) sein. Ein virtualisiertes Netzwerk, wie ein virtuelles erstes Netzwerk, ist beispielsweise ein Netzwerk, welches virtuell aufgesetzt wird oder als eine Netzwerk- Virtualisierung ausgebildet ist. In the present case, the term “real” is understood in particular to mean that the first network and the second network are designed as an existing network in reality. The existing network can be a physical network, for example implemented in hardware, or a virtual (virtualized) network, for example implemented using virtual machines and / or virtual switches, or a hybrid network (partially virtualized network). A virtualized network, such as a virtual first network, is, for example, a network which is set up virtually or is designed as a network virtualization.
Unter dem Begriff "virtuell" wird vorliegend vorzugsweise verstanden, dass das Simulationsnetzwerk das erste reale Netzwerk simuliert oder virtuell abbildet. Das virtuelle Si mulationsnetzwerk simuliert insbesondere zumindest Teile oder Teilnehmer des realen ersten Netzwerkes. Dabei wird insbeson dere deren Funktion und Wirkung durch das virtuelle Simulati onsnetzwerk simuliert. Ein simulierter Teilnehmer kann auch als ein sogenannter "Honeypot" und die Simulation eines rea len Netzwerks kann als eine Simulation eines "Honeypot- Netzwerkes" bezeichnet werden, auch als Honeynet bezeichnet. Die Simulations-Einheit kann auch dazu eingerichtet sein, ei ne Mehrzahl V von virtuellen Simulationsnetzwerken von einer Mehrzahl N von realen ersten Netzwerken zu erstellen und die se Mehrzahl V über den zweiten Netzwerk-Port bereitzustellen. In the present case, the term “virtual” is preferably understood to mean that the simulation network simulates or virtually maps the first real network. The virtual simulation network simulates in particular at least parts or participants of the real first network. In particular, their function and effect are simulated by the virtual simulation network. A simulated subscriber can also be referred to as a so-called "honeypot" and the simulation of a real network can be referred to as a simulation of a "honeypot network", also referred to as a honeynet. The simulation unit can also be set up to create a plurality V of virtual simulation networks from a plurality N of real first networks and to provide this plurality V via the second network port.
Unter dem Begriff "verbinden" und "verbunden" wird vorliegend insbesondere verstanden, dass eine Einheit, beispielsweise die Simulations-Einheit, unmittelbar oder mittelbar über zu mindest eine andere Komponente oder ein anderes Bauteil mit beispielsweise dem ersten Netzwerk-Port oder anderen Kompo nenten der Übertragungsvorrichtung verbunden ist. The term “connect” and “connected” is understood here in particular to mean that a unit, for example the simulation unit, directly or indirectly via at least one other component or another component with, for example, the first network port or other components of the Transmission device is connected.
Ein Netzwerk-Port, wie der erste oder der zweite Netzwerk- Port, ist insbesondere als ein physikalischer Netzwerk-Port ausgebildet. Der physikalische Netzwerk-Port weist vorzugs weise eine RJ-45-Verbindung, eine M12-Verbindung oder eine Single-Pair- Ethernet-Verbindung auf, um jeweils mit dem rea len ersten Netzwerk oder dem realen zweiten Netzwerk verbun den oder gekoppelt zu werden. Die Übertragungsvorrichtung kann beispielsweise weitere Netzwerk-Ports, zusätzlich zu dem ersten und dem zweiten Netzwerk-Port, umfassen. Auch kann der erste und/oder der zweite Netzwerk-Port ein Teil einer Netz werkadresse sein, der die Zuordnung von TCP-Verbindungen ("Transmission Control Protocol") und UDP-Verbindungen ("User Datagram Protocol") und Datenpaketen zu Server und/oder Cli- ents, die in dem realen ersten und/oder realen zweiten Netz werk angeordnet sind, ermöglicht. A network port, such as the first or the second network port, is designed in particular as a physical network port. The physical network port preferably has an RJ-45 connection, an M12 connection or a single-pair Ethernet connection in order to be connected or coupled to the real first network or the real second network. The transmission device can, for example, comprise further network ports in addition to the first and second network ports. The first and / or the second network port can also be part of a network address, which allows the assignment of TCP connections ("Transmission Control Protocol") and UDP connections ("User Datagram Protocol") and data packets to the server and / or Cli- ent, which are arranged in the real first and / or real second network, enables.
Insbesondere ist die Simulations-Einheit dazu eingerichtet, bei dem Bereitstellen des virtuellen Simulationsnetzwerkes das reale erste Netzwerk zu simulieren. In anderen Worten um fasst das Bereitstellen durch die Simulations-Einheit vor zugsweise ein Simulieren des realen ersten Netzwerkes. In particular, the simulation unit is set up to simulate the real first network when the virtual simulation network is provided. In other words, the provision by the simulation unit preferably includes a simulation of the real first network.
Der Zugriff ist insbesondere ein Zugriff eines Teilnehmers oder ein Angriff eines Angreifers von dem realen zweiten Netzwerk aus über den zweiten Netzwerk-Port auf das virtuelle Simulationsnetzwerk. Der Angriff kann ein Software-Angriff, insbesondere ein Hacker-Angriff sein. Ein Software-Angriff ist insbesondere ein Angriff auf das virtuelle Simulations netzwerk über den zweiten Netzwerk-Port von dem realen zwei ten Netzwerk aus. Der Angriff kann auch einen Angriffsversuch und/oder einen Eindringversuch auf die Übertragungsvorrich tung umfassen. The access is in particular an access by a participant or an attack by an attacker from the real second network via the second network port to the virtual simulation network. The attack can be a software attack, especially a hacker attack. A software attack is in particular an attack on the virtual simulation network via the second network port from the real second network. The attack can also include an attempt to attack and / or an attempt to intrude on the transmission device.
Gemäß einer Ausführungsform ist die Simulations-Einheit fer ner dazu eingerichtet, das virtuelle Simulationsnetzwerk in Abhängigkeit von zumindest drei unterschiedlichen Simulati onsstufen zu simulieren. According to one embodiment, the simulation unit is also set up to simulate the virtual simulation network as a function of at least three different simulation levels.
Gemäß einer weiteren Ausführungsform ist die Simulations- Einheit dazu eingerichtet, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk in einer ersten Simulationsstufe der zumindest drei unter schiedlichen Simulationsstufen mittels zumindest einer Netz werktopologie des realen ersten Netzwerkes, in einer zweiten Simulationsstufe der zumindest drei unterschiedlichen Simula tionsstufen mittels zumindest einer Schicht eines Netzwerk protokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes und in einer dritten Simulati onsstufe der zumindest drei unterschiedlichen Simulationsstu fen mittels zumindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes zu simulieren. Durch das Simulieren des virtuellen Simulationsnetzwerkes mittels unterschiedlicher Simulationsstufen ist es in vor teilhafter Weise möglich, dem Angreifer von dem realen zwei ten Netzwerk aus nur bestimmte Daten des realen ersten Netz werkes, die von der jeweiligen Simulationsstufe abhängen, zur Verfügung zu stellen oder für diesen durch das virtuelle Si mulationsnetzwerk anzeigen zu lassen. Durch eine jede Erhö hung der Simulationsstufe, beispielsweise wenn das virtuelle Simulationsnetzwerk von der ersten auf die zweite Simulati onsstufe erhöht wird, können weitere Daten des realen ersten Netzwerkes dem Angreifer durch das virtuelle Simulationsnetz werk bereitgestellt werden. Infolgedessen wird das virtuelle Simulationsnetzwerk bei jeder Erhöhung der Simulationsstufe immer genauer in Bezug auf das reale erste Netzwerk abgebil det. In anderen Worten umfasst bei jeder Erhöhung der Simula tionsstufe das virtuelle Simulationsnetzwerk weitere Daten des realen ersten Netzwerkes. According to a further embodiment, the simulation unit is set up, depending on the network-specific data obtained, the virtual simulation network in a first simulation level of the at least three different simulation levels using at least one network topology of the real first network, in a second simulation level of the at least three different ones Simulation stages using at least one layer of a network protocol and / or a display of a service based on the real first network and, in a third simulation stage, simulating the at least three different simulation stages using at least one content-plausible website based on the real first network. By simulating the virtual simulation network using different simulation levels, it is advantageously possible to provide the attacker from the real second network with only certain data from the real first network, which depend on the respective simulation level, or for this to display the virtual simulation network. With each increase in the simulation level, for example when the virtual simulation network is increased from the first to the second simulation level, further data from the real first network can be made available to the attacker by the virtual simulation network. As a result, each time the simulation level is increased, the virtual simulation network is mapped more and more precisely in relation to the real first network. In other words, with each increase in the simulation level, the virtual simulation network includes further data from the real first network.
Dadurch erhöht sich die Wahrscheinlichkeit dafür, dass der Angreifer auf das virtuelle Simulationsnetzwerk zugreifen o- der dieses angreifen will und somit erhöht sich die Wahr scheinlichkeit der Irreführung des Angreifers. Dies hat den Vorteil, dass sich die Sicherheit vor Zugriffen von dem rea len zweiten Netzwerk aus auf das reale erste Netzwerk erhöht und infolgedessen die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwischen dem realen ersten Netzwerk und dem realen zweiten Netzwerk erhöht wird. This increases the probability that the attacker will access the virtual simulation network or want to attack it, and thus the probability that the attacker will be misled increases. This has the advantage that the security against access from the real second network to the real first network is increased and, as a result, the reliability and security in the data transmission between the real first network and the real second network is increased.
Eine Netzwerktopologie des realen ersten Netzwerkes umfasst insbesondere einen oder mehrere Endpunkte des realen ersten Netzwerkes. Ein Endpunkt ist insbesondere eine Schnittstelle eines Teilnehmers des realen ersten Netzwerkes. Ein Teilneh mer ist beispielsweise ein Computer, wie ein Server, ein Cli ent oder ein Router. Die Netzwerktopologie umfasst insbeson dere die Anordnung der Teilnehmer und die Verbindung der Teilnehmer untereinander in dem realen ersten Netzwerk. Ent sprechendes gilt für das reale zweite Netzwerk. Eine Schicht eines Netzwerkprotokolls ist insbesondere Teil des TCP/IP-Referenzmodells ("Transmission Control Proto- col "/"Internet Protocol"), welches eine Gruppe von Netzwerk protokollen mittels unterschiedlicher Schichten abbildet. A network topology of the real first network includes, in particular, one or more end points of the real first network. An end point is in particular an interface of a participant in the real first network. A participant is, for example, a computer such as a server, a client or a router. The network topology includes in particular the arrangement of the participants and the connection between the participants in the real first network. The same applies to the real second network. One layer of a network protocol is in particular part of the TCP / IP reference model (“Transmission Control Protocol” / “Internet Protocol”), which maps a group of network protocols using different layers.
Die erste Simulationsstufe umfasst insbesondere die Simulati on der Netzwerktopologie, der in der Netzwerktopologie vor handenen Netzwerk-Ports und darüber hinaus welche Netzwerk- Ports erreichbar und welche unerreichbar sind. Die erste Si mulationsstufe kann insbesondere den Schichten 1 - 3 gemäß dem OSI/ISO- Schichtmodell, zugeordnet werden, so dass vor zugsweise die physikalischen Teilnehmer des realen ersten Netzwerkes sowie deren Media-Access-Control- Adresse(MAC) und/oder Internetprotokoll-Adresse (IP-Adresse) in dem virtu ellen Simulationsnetzwerk in der ersten Simulationsstufe si muliert werden können. The first simulation stage includes, in particular, the simulation of the network topology, the network ports present in the network topology and, in addition, which network ports can be reached and which are inaccessible. The first simulation level can in particular be assigned to layers 1 - 3 according to the OSI / ISO layer model, so that preferably the physical participants of the real first network and their media access control address (MAC) and / or Internet protocol Address (IP address) can be simulated in the virtual simulation network in the first simulation stage.
Die Verwendung der ausschließlich ersten Simulationsstufe hat insbesondere den Vorteil, dass bei der Simulation des virtu ellen Simulationsnetzwerkes ein geringer Speicher- sowie Re chenaufwand anfällt, da der Simulationsaufwand aufgrund der simulierten Netzwerktopologie mit den Netzwerk-Ports gering ausfällt. Using the only first simulation stage has the particular advantage that the simulation of the virtual simulation network requires little memory and computing effort, since the simulation effort is low due to the simulated network topology with the network ports.
Die zweite Simulationsstufe umfasst insbesondere die Simula tion einer Schicht eines Netzwerkprotokolls oder eine Anzeige eines Service. Ein Service ist beispielsweise die Simulation eines TCP/UDP-Ports ("User Datagram Protocol") oder eine er zeugte Antwort auf eine HTTP-Anfrage ("Hypertext Transfer Protocol") durch eine zufällig generierte inhaltsleere Web seite. The second simulation stage includes in particular the simulation of a layer of a network protocol or a display of a service. A service is, for example, the simulation of a TCP / UDP port ("User Datagram Protocol") or a response he generated to an HTTP request ("Hypertext Transfer Protocol") by a randomly generated empty website.
Die dritte Simulationsstufe umfasst vorzugsweise die Simula tion einer inhaltsplausiblen Webseite. Eine inhaltsplausible Webseite kann einer Webseite entsprechen, in der die grafi sche Oberfläche, beispielsweise einer SPS-Software (Speicher programmierbaren Steuerung), angezeigt wird. Auf dieser gra- fischen Oberfläche der inhaltsplausiblen Webseite können dann Messwerte, wie Druck oder Temperatur einer realen SPS, welche eine reale Maschine des realen ersten Netzwerkes ansteuert, angezeigt werden. Die Messwerte können auch so simuliert wer den, dass sich diese über die Zeit beliebig verändern. Auch können diese Messwerte als eine Reaktion auf einen Angriff durch den Angreifer derart verändert werden, dass der Angrei fer davon ausgeht, er habe erfolgreich die reale Anlage oder die SPS des realen ersten Netzwerkes angegriffen. Ebenso kann die inhaltsplausible Webseite als eine statische Webseite ausgebildet sein, welche ihre grafische Oberfläche nicht ver ändert. Die dritte Simulationsstufe umfasst ferner insbeson dere die Simulation einer Applikationslogik des ersten Netz werkes. Die Applikationslogik umfasst vorzugsweise Algorith men und/oder Regeln zur Beschreibung von Funktionen von End punkten, wie beispielsweise Teilnehmern, des ersten Netzwer kes. The third simulation stage preferably includes the simulation of a content-plausible website. A website with plausible content can correspond to a website in which the graphical user interface, for example PLC software (programmable logic controller), is displayed. On this gra- On the surface of the website, which is plausible in terms of content, measured values such as pressure or temperature of a real PLC, which controls a real machine in the real first network, can then be displayed. The measured values can also be simulated in such a way that they change as required over time. These measured values can also be changed as a reaction to an attack by the attacker in such a way that the attacker assumes that he has successfully attacked the real system or the PLC of the real first network. Likewise, the content-plausible website can be designed as a static website that does not change its graphical surface. The third simulation stage also includes, in particular, the simulation of an application logic of the first network. The application logic preferably includes algorithms and / or rules for describing functions of end points, such as subscribers, of the first network.
Diese Möglichkeiten der Simulation durch die dritte Simulati onsstufe führen dazu, dass der Angreifer davon ausgeht, er befinde sich auf der echten, realen Webseite des realen ers ten Netzwerkes oder greift auf das reale erste Netzwerk zu. Dies erhöht signifikant die Wahrscheinlichkeit der Irrefüh rung des Angreifers. Dies hat den Vorteil, dass sich die Si cherheit vor Zugriffen von dem realen zweiten Netzwerk aus auf das reale erste Netzwerk erhöht und infolgedessen die Zu verlässigkeit und Sicherheit bei der Datenübertragung zwi schen dem realen ersten Netzwerk und dem realen zweiten Netz werk erhöht wird. These possibilities of simulation through the third simulation stage lead to the attacker assuming that he is on the real, real website of the real first network or is accessing the real first network. This significantly increases the likelihood of misleading the attacker. This has the advantage that the security against access from the real second network to the real first network is increased and, as a result, the reliability and security of the data transmission between the real first network and the real second network is increased.
Zusätzlich ist denkbar, dass technische Prozesse von realen Maschinen des realen ersten Netzwerkes in der dritten Simula tionsstufe oder in einer weiteren, numerisch höheren Simula tionsstufe simuliert werden können. Insbesondere in einer nu merisch sehr hohen Simulationsstufe simuliert das virtuelle Simulationsnetzwerk exakt das reale erste Netzwerk und dessen technische Prozesse. Infolgedessen ist das virtuelle Simula tionsnetzwerk oder der Honeypot besonders realitätsnah ausge- bildet. Diese besonders realitätsnahe Ausbildung kann auch als eine "Digitaler Zwilling" bezeichnet werden. In addition, it is conceivable that technical processes of real machines in the real first network can be simulated in the third simulation level or in a further, numerically higher simulation level. In particular, in a numerically very high simulation level, the virtual simulation network precisely simulates the real first network and its technical processes. As a result, the virtual simulation network or the honeypot is designed to be particularly realistic. forms. This particularly realistic training can also be referred to as a "digital twin".
Die unterschiedlichen Simulationsstufen korrespondieren ins besondere mit den Schichten des OSI/ISO-Schichtenmodells. The different simulation levels correspond in particular to the layers of the OSI / ISO layer model.
Gemäß einer weiteren Ausführungsform umfasst die Übertra gungsvorrichtung ferner eine Konfigurations-Einheit, die dazu eingerichtet ist, über den ersten Netzwerk-Port von dem rea len ersten Netzwerk netzwerkspezifische Daten zu erhalten, diese zu analysieren und die analysierten netzwerkspezifi schen Daten als Konfigurationsdaten zum Konfigurieren des virtuellen Simulationsnetzwerkes zu verwenden. According to a further embodiment, the transmission device further comprises a configuration unit which is set up to receive network-specific data from the real first network via the first network port, to analyze them and to use the analyzed network-specific data as configuration data for configuring the virtual simulation network.
Gemäß einer weiteren Ausführungsform ist die Konfigurations- Einheit ferner dazu eingerichtet, mittels der Konfigurations daten das virtuelle Simulationsnetzwerk zumindest zu einem bestimmten Zeitpunkt automatisch zu konfigurieren, wobei der zumindest eine bestimmte Zeitpunkt einen Zeitpunkt während des Betriebes der Simulations-Einheit umfasst. According to a further embodiment, the configuration unit is also set up to use the configuration data to automatically configure the virtual simulation network at least at a specific point in time, the at least one specific point in time including a point in time during operation of the simulation unit.
Die Übertragungsvorrichtung umfasst insbesondere eine CPU ("Central Processing Unit"), in welcher die Simulations- Einheit und die Konfigurations-Einheit implementiert sind.The transmission device comprises, in particular, a CPU (“Central Processing Unit”) in which the simulation unit and the configuration unit are implemented.
Die jeweilige Einheit, zum Beispiel die Simulations-Einheit oder die Konfigurations-Einheit, kann hardwaretechnisch und/oder auch softwaretechnisch implementiert sein. Bei einer hardwaretechnischen Implementierung kann die jeweilige Ein heit als Vorrichtung oder als Teil einer Vorrichtung, zum Beispiel als Computer oder als Mikroprozessor oder als Steu errechner eines Fahrzeuges ausgebildet sein. Bei einer soft waretechnischen Implementierung kann die jeweilige Einheit als Computerprogrammprodukt, als eine Funktion, als eine Rou tine, als Teil eines Programmcodes oder als ausführbares Ob jekt ausgebildet sein. The respective unit, for example the simulation unit or the configuration unit, can be implemented in terms of hardware and / or also in terms of software. In a hardware implementation, the respective unit can be designed as a device or as part of a device, for example as a computer or as a microprocessor or as a control computer of a vehicle. In the case of software implementation, the respective unit can be designed as a computer program product, as a function, as a routine, as part of a program code or as an executable object.
Die Konfigurationsdaten umfassen insbesondere die netzwerk spezifischen Daten des realen ersten Netzwerkes. Die Konfigu- rationsdaten umfassen zumindest die Netzwerktopologie des re alen ersten Netzwerkes, die IP-Adressen der Teilnehmer des realen ersten Netzwerkes und die Services, die auf dem realen ersten Netzwerk ausgeführt werden. The configuration data include, in particular, the network-specific data of the real first network. The configuration Ration data include at least the network topology of the real first network, the IP addresses of the participants in the real first network and the services that are carried out on the real first network.
Die Konfigurations-Einheit ermöglicht es in vorteilhafter Weise, mittels der Konfigurationsdaten das virtuelle Simula tionsnetzwerk zu konfigurieren. Unter einem "Konfigurieren" wird vorliegend insbesondere verstanden, dass die Konfigura tions-Einheit der Simulations-Einheit, insbesondere dem simu lierten, virtuellen Simulationsnetzwerk bereits durch die Konfigurations-Einheit vorverarbeitete Daten aus dem realen ersten Netzwerk, beispielsweise Netzwerktopologien mit den Teilnehmern, Netzwerk-Ports oder IP-Adressen von Teilnehmern, zukommen lässt. Dadurch entfällt ein Extrahieren oder ein Aufbereiten der erhaltenen netzwerkspezifischen Daten durch die Simulations-Einheit. Damit verringert sich insbesondere der Konfigurationsaufwand beim erstmaligen oder beim wieder holten Einrichten des virtuellen Simulationsnetzwerkes. The configuration unit makes it possible in an advantageous manner to configure the virtual simulation network by means of the configuration data. In the present case, a "configuration" is understood in particular to mean that the configuration unit of the simulation unit, in particular the simulated, virtual simulation network, has already preprocessed data from the real first network, for example network topologies with the participants, network Ports or IP addresses of participants. This means that there is no need to extract or process the network-specific data obtained by the simulation unit. This in particular reduces the configuration effort when setting up the virtual simulation network for the first time or when it is set up again.
Insbesondere kann die Konfigurations-Einheit mittels eines Algorithmus zum maschinellen Lernen, beispielsweise mittels neuronalen Netzen, die Netzwerktopologie oder das Layout des realen ersten Netzwerkes lernen. Damit verringert sich ebenso der Aufwand bei der erstmaligen oder wiederholten Einrichtung oder Konfiguration des virtuellen Simulationsnetzwerkes. In particular, the configuration unit can learn the network topology or the layout of the real first network by means of an algorithm for machine learning, for example by means of neural networks. This also reduces the effort involved in setting up or configuring the virtual simulation network for the first time or repeatedly.
Der bestimmte Zeitpunkt umfasst insbesondere einen Zeitpunkt während des Betriebes der Simulations-Einheit, beim Starten der Simulations-Einheit, bei einem Wechsel der Simulations stufe und/oder einen bestimmten Zeitpunkt, der durch einen Bediener oder Administrator der Übertragungsvorrichtung vor gegeben wird. The specific point in time includes, in particular, a point in time during operation of the simulation unit, when the simulation unit is started, when the simulation level is changed and / or a specific point in time that is given by an operator or administrator of the transmission device.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, die Simulations-Einheit und die Konfigurations-Einheit parallel auszuführen. Diese Ausführungsform hat den Vorteil, dass die Simulations- Einheit und die Konfigurations-Einheit gleichzeitig oder pa rallel ausgeführt werden oder gleichzeitig aktiv oder im Be trieb sind. Die parallele Ausführung der Konfigurations- Einheit in Kombination mit der Simulations-Einheit führt zu dem technischen Effekt, dass während des Betriebes das virtu elle Simulationsnetzwerk einerseits mittels der Simulations- Einheit in den jeweiligen Simulationsstufen anpassbar ist, und andererseits das erstmalige und/oder wiederholte Einrich ten durch eine bessere Datenbasis auf Basis der Konfigurati onsdaten der Konfigurations-Einheit erleichtert wird und da mit der Konfigurationsaufwand reduziert wird. Zusätzlich kann damit der Detailgrad des virtuellen Simulationsnetzwerkes er höht werden. Durch die möglichst realistische Simulation des realen ersten Netzwerkes steigt insbesondere die Wahrschein lichkeit, dass potentielle Angreifer von einem Zugriff auf das reale erste Netzwerk abgelenkt werden, so dass sich damit die die Sicherheit erhöhen lässt. Infolgedessen werden die Zuverlässigkeit und Sicherheit bei der Datenübertragung zwi schen dem realen ersten Netzwerk und dem realen zweiten Netz werk erhöht. According to a further embodiment, the transmission device is set up to run the simulation unit and the configuration unit in parallel. This embodiment has the advantage that the simulation unit and the configuration unit are carried out simultaneously or in parallel or are active or in operation at the same time. The parallel execution of the configuration unit in combination with the simulation unit leads to the technical effect that during operation the virtual simulation network can be adapted on the one hand by means of the simulation unit in the respective simulation stages, and on the other hand the initial and / or repeated setup This is facilitated by a better database based on the configuration data of the configuration unit and since the configuration effort is reduced with it. In addition, the level of detail of the virtual simulation network can be increased. By simulating the real first network as realistic as possible, the probability increases, in particular, that potential attackers will be distracted from accessing the real first network, so that security can thus be increased. As a result, the reliability and security of the data transmission between the real first network and the real second network are increased.
Unter parallel wird insbesondere verstanden, dass die Über tragungsvorrichtung dazu eingerichtet ist, die Simulations- Einheit und die Konfigurations-Einheit gleichzeitig oder si multan auszuführen oder zu betreiben. Parallel is understood in particular to mean that the transmission device is set up to execute or operate the simulation unit and the configuration unit simultaneously or simultaneously.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, über einen zwischen dem realen ersten Netzwerk und dem ersten Netzwerk-Port angeordneten Netzwerk-Switch Daten von dem realen ersten Netzwerk zu emp fangen, wobei zumindest ein Eingang des Netzwerk-Switches zur Übertragung von Daten mit dem realen ersten Netzwerk verbun den ist und ein als ein Ausgang des Netzwerk-Switches ausge bildeter Spiegelungs-Port zur Übertragung von Daten mit dem ersten Netzwerk-Port verbunden ist. Durch die Verwendung eines Netzwerk-Switches mit Spiegelungs- Port (engl, "mirror port") ist es in vorteilhafter Weise mög lich, den gesamten Datenverkehr des realen ersten Netzwerkes an dem ersten Netzwerk-Port für die Übertragungsvorrichtung bereitzustellen. Dadurch wird es in vorteilhafter Weise der Übertragungsvorrichtung ermöglicht, den Datenverkehr jedes Teilnehmers des realen ersten Netzwerkes zu erhalten und zu analysieren. According to a further embodiment, the transmission device is set up to receive data from the real first network via a network switch arranged between the real first network and the first network port, with at least one input of the network switch for the transmission of data is connected to the real first network and a mirroring port formed as an output of the network switch for the transmission of data is connected to the first network port. By using a network switch with a mirror port, it is advantageously possible, please include to provide the entire data traffic of the real first network at the first network port for the transmission device. This advantageously enables the transmission device to receive and analyze the data traffic of each participant in the real first network.
Insbesondere ist zwischen dem realen ersten Netzwerk und dem Netzwerk-Switch ein erster Verbindungsabschnitt, zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung ein zweiter Verbindungsabschnitt und zwischen der Übertragungsvorrichtung und dem realen zweiten Netzwerk ein dritter Verbindungsab schnitt angeordnet. Der erste Verbindungsabschnitt stellt insbesondere eine Verbindung zwischen dem realen ersten Netz werk und dem Netzwerk-Switch her. Der zweite Verbindungsab schnitt stellt vorzugsweise eine Verbindung zwischen dem Netzwerk-Switch und der Übertragungsvorrichtung her. Der dritte Verbindungsabschnitt stellt beispielsweise eine Ver bindung zwischen dem realen zweiten Netzwerk und der Übertra gungsvorrichtung her. Der erste, zweite und/oder dritte Ver bindungsabschnitt ist insbesondere drahtgebunden, beispiels weise in Form zumindest einer Kupferleitung oder einer Alumi niumleitung, und/oder optisch in Form zumindest einer Glasfa serleitung ausgebildet. Der Netzwerk-Switch kann auch als Switch bezeichnet werden. In particular, a first connection section is arranged between the real first network and the network switch, a second connection section between the network switch and the transmission device, and a third connection section between the transmission device and the real second network. The first connection section in particular establishes a connection between the real first network and the network switch. The second connection section preferably establishes a connection between the network switch and the transmission device. The third connection section establishes, for example, a connection between the real second network and the transmission device. The first, second and / or third connection section is in particular wired, for example in the form of at least one copper line or an aluminum line, and / or optically in the form of at least one glass fiber line. The network switch can also be referred to as a switch.
Der Spiegelungs-Port des Netzwerk-Switches dient insbesondere dazu, den Netzwerkverkehr des realen ersten Netzwerkes zu spiegeln, um damit den gesamten Daten- und/oder Netzwerkver kehr des realen ersten Netzwerkes der Übertragungsvorrichtung an dem ersten Netzwerk-Port bereitzustellen. The mirroring port of the network switch is used in particular to mirror the network traffic of the real first network in order to provide the entire data and / or network traffic of the real first network of the transmission device at the first network port.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, eine Übertragung von Daten zwi schen dem realen ersten Netzwerk und dem realen zweiten Netz- werk in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO-Schichtmodell, durchzuführen. According to a further embodiment, the transmission device is set up to facilitate the transmission of data between the real first network and the real second network work in a transmission layer, layer 2 according to the OSI / ISO layer model.
Gemäß einer weiteren Ausführungsform umfasst das reale erste Netzwerk ein Steuerungsnetzwerk, insbesondere ein Produkti onsnetzwerk oder ein Bahnsicherungsnetzwerk, und das reale zweite Netzwerk ein Diagnosenetzwerk, ein lokales Netzwerk oder das Internet. According to a further embodiment, the real first network comprises a control network, in particular a production network or a railway safety network, and the real second network comprises a diagnosis network, a local network or the Internet.
Das reale erste Netzwerk ist insbesondere als ein sicher- heitskritisches Netzwerk ausgebildet, während das reale zwei te Netzwerk als ein offenes Netzwerk ausgebildet ist. Auch kann das reale erste Netzwerk als ein Netzwerk mit einer ho hen Sicherheitsanforderung bezeichnet werden, während das re ale zweite Netzwerk als ein Netzwerk mit geringer Sicher- heitsanforderung bezeichnet wird. The real first network is designed in particular as a safety-critical network, while the real second network is designed as an open network. The real first network can also be referred to as a network with a high security requirement, while the real second network is referred to as a network with a low security requirement.
Ein Produktionsnetzwerk wird insbesondere in einer Produkti onsanlage verwendet. Die Produktionsanlage umfasst insbeson dere mehrere über das Produktionsnetzwerk miteinander verbun dene Maschinen und Computer. A production network is used in particular in a production facility. In particular, the production plant comprises several machines and computers connected to one another via the production network.
Ein Bahnsicherungsnetzwerk umfasst vorzugsweise Leit- und Si cherheitstechnik für eine Schieneninfrastruktur. A railway safety network preferably comprises control and safety technology for a rail infrastructure.
Das Steuerungsnetzwerk umfasst insbesondere ein Straßensiche rungsnetzwerk, welches Leit- und Sicherheitstechnik für eine Straßeninfrastruktur aufweist. The control network includes, in particular, a road safety network which has control and safety technology for a road infrastructure.
Ein lokales Netzwerk umfasst beispielsweise ein LAN ("Local Area Network") und/oder ein WLAN ("Wireless Local Area Net work"). A local network includes, for example, a LAN (“Local Area Network”) and / or a WLAN (“Wireless Local Area Network”).
Das reale erste Netzwerk und das reale zweite Netzwerk umfas sen jeweils insbesondere zumindest einen Endpunkt, welcher als ein jeweiliger Teilnehmer ausgebildet ist. Das reale ers te Netzwerk und/oder das reale zweite Netzwerk umfassen ins besondere jeweils mehrere Teilnehmer, die miteinander verbun den sind und dadurch das jeweilige Netzwerk ausbilden. Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung teilweise oder vollständig als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebil det. The real first network and the real second network each include in particular at least one end point, which is designed as a respective participant. The real first network and / or the real second network in particular each comprise a plurality of participants that are connected to one another and thereby form the respective network. According to a further embodiment, the transmission device is partially or completely designed as a unidirectional data diode, as a firewall or as a gateway.
Eine unidirektionale Datendiode ist insbesondere eine Einweg- Kommunikationseinrichtung, die eine physikalisch rückwir kungsfreie Trennung des realen ersten Netzwerkes und des rea len zweiten Netzwerkes ermöglicht. Insbesondere ist die un idirektionale Datendiode als eine "Data Capture Unit" (DCU) ausgebildet. Eine "physikalisch" rückwirkungsfreie Trennung liegt insbesondere dann vor, wenn die rückwirkungsfreie Tren nung aufgrund von physikalischen Bauelementen in der unidi- rektionalen Datendiode das reale erste und das reale zweite Netzwerk physikalisch trennt. A unidirectional data diode is, in particular, a one-way communication device which enables the real first network and the real second network to be separated physically without interference. In particular, the unidirectional data diode is designed as a "data capture unit" (DCU). A "physical" reaction-free separation is present in particular when the reaction-free separation physically separates the real first and the real second network due to physical components in the unidirectional data diode.
Eine Firewall ist insbesondere eine Komponente, welche in Hard- und/oder Software, insbesondere in Software, implemen tiert ist und welche dazu eingerichtet ist, zwischen einem realen ersten und einem realen zweiten Netzwerk eine Verbin dung herzustellen. Die Firewall kann ebenso als eine unidi rektionale Firewall ausgebildet sein, welche eine logisch rückwirkungsfreie Trennung des realen ersten Netzwerkes und des realen zweiten Netzwerkes ermöglicht. Unter dem Begriff einer "logisch" rückwirkungsfreien Trennung wird insbesondere vorliegend verstanden, wenn die rückwirkungsfreie Trennung mittels einer Anwendung von Algorithmen erfolgt, in dem Fall, wenn die Firewall in Software implementiert ist. A firewall is in particular a component which is implemented in hardware and / or software, in particular in software, and which is set up to establish a connection between a real first and a real second network. The firewall can also be designed as a unidirectional firewall, which enables a logically reaction-free separation of the real first network and the real second network. The term “logical”, reaction-free separation is understood in the present case in particular when the reaction-free separation takes place by means of an application of algorithms, in the case when the firewall is implemented in software.
Ein Gateway ist insbesondere eine Komponente, welche in Hard- und/oder Software implementiert ist und welche dazu einge richtet ist, zwischen einem realen ersten und einem realen zweiten Netzwerk eine Verbindung herzustellen. Das Gateway kann ebenso als ein unidirektionales Gateway ausgebildet sein, welches eine physikalisch oder logisch rückwirkungs freie Trennung des realen ersten Netzwerkes und des realen zweiten Netzwerkes ermöglicht. Weiterhin ist jeweils die unidirektionale Datendiode, die un- idirektionale Firewall und das unidirektionale Gateway insbe sondere dazu eingerichtet, nur freigegebene und/oder speziell markierte Daten für die Übertragung aus dem realen zweiten Netzwerk in das reale erste Netzwerk zuzulassen. A gateway is in particular a component which is implemented in hardware and / or software and which is set up to establish a connection between a real first and a real second network. The gateway can also be designed as a unidirectional gateway, which enables a physical or logical reaction-free separation of the real first network and the real second network. Furthermore, the unidirectional data diode, the unidirectional firewall and the unidirectional gateway are set up in particular to allow only released and / or specially marked data for transmission from the real second network into the real first network.
Unter dem Begriff einer "rückwirkungsfreien Trennung" wird insbesondere verstanden, dass Änderungen oder Angriffsversu che aus dem realen zweiten Netzwerk keinen Einfluss auf das reale erste Netzwerk haben. The term "reaction-free separation" is understood in particular to mean that changes or attempts at attack from the real second network have no influence on the real first network.
Unter dem Begriff "teilweise" wird vorliegend insbesondere verstanden, dass die Übertragungsvorrichtung noch weitere Komponenten zusätzlich zu der unidirektionalen Datendiode, der Firewall oder dem Gateway umfasst. Beispielsweise ist die uni-direktionale Datendiode Teil der Übertragungsvorrichtung, wobei die Übertragungsvorrichtung noch weitere Komponenten aufweist. In the present case, the term “partially” is understood in particular to mean that the transmission device includes further components in addition to the unidirectional data diode, the firewall or the gateway. For example, the unidirectional data diode is part of the transmission device, the transmission device also having further components.
Unter dem Begriff "vollständig" wird vorliegend insbesondere verstanden, dass die Übertragungsvorrichtung in ihrer Gesamt heit als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebildet ist. In the present case, the term “complete” is understood in particular to mean that the transmission device in its entirety is designed as a unidirectional data diode, as a firewall or as a gateway.
Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, dem realen zweiten Netzwerk eine Routing-Tabelle umfassend eine Mehrzahl A von IP-Adressen von Teilnehmern des realen ersten Netzwerkes bereitzustellen. According to a further embodiment, the transmission device is set up to provide the real second network with a routing table comprising a plurality A of IP addresses of participants in the real first network.
Die Routing-Tabelle ist insbesondere eine Tabelle, die Auf schluss darüber gibt, welche Teilnehmer eines Netzwerkes, wie dem realen ersten Netzwerk, über welche IP-Adressen erreich bar sind oder welche IP-Adressen den Teilnehmern zugeordnet sind. Damit hat ein anderes Netzwerk, wie das reale zweite Netzwerk, Informationen darüber, über welche IP-Adresse ein Teilnehmer des realen ersten Netzwerkes von dem realen zwei ten Netzwerk aus erreichbar ist. Gemäß einer weiteren Ausführungsform ist die Übertragungsvor richtung dazu eingerichtet, dem realen zweiten Netzwerk zu mindest eine bestimmte IP-Adresse eines bestimmten Teilneh mers des realen ersten Netzwerkes bereitzustellen. The routing table is, in particular, a table that provides information about which subscribers in a network, such as the real first network, can be reached via which IP addresses or which IP addresses are assigned to the subscribers. Another network, such as the real second network, thus has information about the IP address via which a subscriber in the real first network can be reached from the real second network. According to a further embodiment, the transmission device is set up to provide the real second network with at least one specific IP address of a specific subscriber of the real first network.
Durch die bereitgestellte Routing-Tabelle wird zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers aus dem re alen ersten Netzwerk dem realen zweiten Netzwerk bereitge stellt. The routing table provided provides at least one specific IP address of a specific subscriber from the real first network to the real second network.
Diese bereitgestellte bestimmte IP-Adresse wird in vorteil hafter Weise insbesondere als eine Falle, die einen techni schen Endpunkt aufweist, verwendet. Wenn beispielsweise ein Angreifer über die Übertragungsvorrichtung den bestimmten Teilnehmer mittels der ihm zugeordneten bestimmten IP-Adresse angreifen will, endet der Angriff in dem technischen End punkt. Der technische Endpunkt ist insbesondere von dem rea len ersten und realen zweiten Netzwerk isoliert ausgebildet. Somit wird eine gezielte Irreführung des Angreifers mittels der bestimmten IP-Adresse und der Routing-Tabelle bewirkt, um die Sicherheit und die Zuverlässigkeit bei dem Betreiben der Übertragungsvorrichtung und des realen ersten Netzwerkes zu erhöhen. This specific IP address provided is advantageously used, in particular, as a trap that has a technical endpoint. If, for example, an attacker wants to attack the specific subscriber via the transmission device using the specific IP address assigned to him, the attack ends in the technical end point. The technical end point is in particular designed to be isolated from the real first and real second network. The attacker is thus deliberately misled by means of the determined IP address and the routing table in order to increase the security and reliability when operating the transmission device and the real first network.
Gemäß einer weiteren Ausführungsform umfassen die netzwerk spezifischen Daten Messwerte, wie beispielsweise Druck und/oder Temperatur von Teilnehmern des realen ersten Netz werkes, zumindest eine Anzahl T von Teilnehmern des realen ersten Netzwerkes, Betriebszustände von Teilnehmern des rea len ersten Netzwerkes und/oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes ausgeführt wird. According to a further embodiment, the network-specific data include measured values, such as pressure and / or temperature of participants in the real first network, at least a number T of participants in the real first network, operating states of participants in the real first network and / or a technical one Process which is carried out by at least one participant in the real first network.
Gemäß einer weiteren Ausführungsform sind zumindest die Simu lations-Einheit, die Konfigurations-Einheit, der erste Netz werk-Port und der zweite Netzwerk-Port in einem gemeinsamen Gehäuse implementiert. Somit sind die in dieser Ausführungsform aufgeführten Kompo nenten inklusive der Übertragungsvorrichtung selbst insbeson dere in einem gemeinsamen Gehäuse implementiert. According to a further embodiment, at least the simulation unit, the configuration unit, the first network port and the second network port are implemented in a common housing. Thus, the components listed in this embodiment, including the transmission device itself, are implemented in particular in a common housing.
Ein Gehäuse oder ein gemeinsames Gehäuse ist insbesondere als ein Gehäuse eines Prozessors oder eines Computerchips, bei spielsweise in Form eines integrierten Schaltkreises (engl. "Integrated Circuit" (IC)) ausgebildet. Ferner ist ein Gehäu se oder ein gemeinsames Gehäuse vorzugsweise als ein gemein sames Gehäuse eines Gerätes oder beispielsweise als eine ge meinsame Implementierung auf einem FPGA (engl. "Field Pro- grammable Gate Array") ausgebildet. A housing or a common housing is designed in particular as a housing of a processor or a computer chip, for example in the form of an integrated circuit ("Integrated Circuit" (IC)). Furthermore, a housing or a common housing is preferably designed as a common housing of a device or, for example, as a common implementation on an FPGA (Field Programmable Gate Array).
Weitere mögliche Implementierungen der Erfindung umfassen auch nicht explizit genannte Kombinationen von zuvor oder im Folgenden bezüglich der Ausführungsbeispiele beschriebenen Merkmale oder Ausführungsformen. Dabei wird der Fachmann auch Einzelaspekte als Verbesserungen oder Ergänzungen zu der je weiligen Grundform der Erfindung hinzufügen. Further possible implementations of the invention also include combinations, not explicitly mentioned, of features or embodiments described above or below with regard to the exemplary embodiments. The person skilled in the art will also add individual aspects as improvements or additions to the respective basic form of the invention.
Weitere vorteilhafte Ausgestaltungen und Aspekte der Erfin dung sind Gegenstand der Unteransprüche sowie der im Folgen den beschriebenen Ausführungsbeispiele der Erfindung. Im Wei teren wird die Erfindung anhand von bevorzugten Ausführungs formen unter Bezugnahme auf die beigelegten Figuren näher er läutert. Further advantageous refinements and aspects of the inven tion are the subject matter of the subclaims and of the exemplary embodiments of the invention described below. In Wei direct the invention based on preferred embodiment forms with reference to the accompanying figures he explained in more detail.
Fig. 1 zeigt ein schematisches Blockdiagram einer ersten Ausführungsform einer Übertragungsvorrichtung zum Übertragen von Daten; und 1 shows a schematic block diagram of a first embodiment of a transmission device for transmitting data; and
Fig. 2 zeigt ein schematisches Blockdiagram einer zweiten Ausführungsform einer Übertragungsvorrichtung zum Übertragen von Daten. In den Figuren sind gleiche oder funktionsgleiche Elemente mit denselben Bezugszeichen versehen worden, sofern nichts Anderes angegeben ist. FIG. 2 shows a schematic block diagram of a second embodiment of a transmission device for transmitting data. In the figures, elements that are the same or have the same function have been given the same reference symbols, unless otherwise stated.
Fig. 1 zeigt ein schematisches Blockdiagram einer ersten Aus führungsform einer Übertragungsvorrichtung 1 zum Übertragen von Daten zwischen einem realen ersten Netzwerk RNW1, bei spielsweise umfassend ein Produktionsnetzwerk, und einem rea len zweiten Netzwerk RNW2, beispielsweise umfassend ein loka les Netzwerk. Diese Übertragung von Daten wird insbesondere in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO- Schichtmodell, durchgeführt. In einer weiteren Ausführungs form kann das reale erste Netzwerk RNW1 ein Bahnsicherungs netzwerk umfassen, während das reale zweite Netzwerk RNW2 das Internet umfasst. Fig. 1 shows a schematic block diagram of a first embodiment of a transmission device 1 for transmitting data between a real first network RNW1, for example comprising a production network, and a real second network RNW2, for example comprising a local network. This transmission of data is carried out in particular in a transmission layer, layer 2 according to the OSI / ISO layer model. In a further embodiment, the real first network RNW1 can comprise a railway safety network, while the real second network RNW2 comprises the Internet.
In der Fig. 1 ist die Übertragungsvorrichtung 1 vollständig als eine unidirektionale Datendiode ausgebildet. In einer weiteren Ausführungsform kann die Übertragungsvorrichtung 1 teilweise oder vollständig als eine Firewall (nicht gezeigt) oder als ein Gateway (nicht gezeigt) ausgebildet sein. In FIG. 1, the transmission device 1 is designed entirely as a unidirectional data diode. In a further embodiment, the transmission device 1 can be designed partially or completely as a firewall (not shown) or as a gateway (not shown).
Die Übertragungsvorrichtung 1 weist einen ersten Netzwerk- Port PI zum Koppeln an das reale erste Netzwerk RNW1 und ei nen zweiten Netzwerk-Port P2 zum Koppeln an das reale zweite Netzwerk RNW2 auf. Ferner umfasst die Übertragungsvorrichtung 1 eine Simulations-Einheit 2. The transmission device 1 has a first network port PI for coupling to the real first network RNW1 and a second network port P2 for coupling to the real second network RNW2. The transmission device 1 also includes a simulation unit 2.
Die Simulations-Einheit 2 ist an dem ersten Netzwerk-Port PI verbunden und ist dazu eingerichtet, über den ersten Netz werk-Port PI von dem realen ersten Netzwerk RNW1 netzwerkspe zifische Daten zu erhalten, in Abhängigkeit von den erhalte nen netzwerkspezifischen Daten ein virtuelles Simulations netzwerk VSN von dem realen ersten Netzwerk RNW1 bereitzu stellen und das bereitgestellte virtuelle Simulationsnetzwerk VSN über den zweiten Netzwerk-Port P2 für einen Zugriff auf das bereitgestellte virtuelle Simulationsnetzwerk VSN von dem realen zweiten Netzwerk RNW2 aus bereitzustellen. Die netzwerkspezifischen Daten umfassen insbesondere Messwer te, wie beispielsweise Druck und/oder Temperatur von Teilneh mern des realen ersten Netzwerkes RNW1 oder zumindest eine Anzahl T von Teilnehmern des realen ersten Netzwerkes RNW1. Die netzwerkspezifischen Daten umfassen ferner vorzugsweise Betriebszustände von Teilnehmern des realen ersten Netzwerkes RNW1 oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes RNW1 ausgeführt wird. The simulation unit 2 is connected to the first network port PI and is set up to receive network-specific data from the real first network RNW1 via the first network port PI, depending on the network-specific data received, a virtual simulation network VSN from the real first network RNW1 and to provide the provided virtual simulation network VSN via the second network port P2 for access to the provided virtual simulation network VSN from the real second network RNW2. The network-specific data include, in particular, measured values, such as pressure and / or temperature of participants in the real first network RNW1 or at least a number T of participants in the real first network RNW1. The network-specific data also preferably include operating states of participants in the real first network RNW1 or a technical process which is carried out by at least one participant in the real first network RNW1.
Insbesondere ist die Simulations-Einheit 2 dazu eingerichtet, das virtuelle Simulationsnetzwerk VSN in Abhängigkeit von zu mindest drei unterschiedlichen Simulationsstufen zu simulie ren. In particular, the simulation unit 2 is set up to simulate the virtual simulation network VSN as a function of at least three different simulation levels.
Dabei ist die Simulations-Einheit 2 dazu eingerichtet, in Ab hängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk VSN in einer ersten Simulati onsstufe mittels zumindest einer Netzwerktopologie des realen ersten Netzwerkes RNW1 und in einer zweiten Simulationsstufe mittels zumindest einer Schicht eines Netzwerkprotokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes RNW1 zu simulieren. Die Simulations-Einheit 2 ist ferner dazu eingerichtet, in Abhängigkeit von den er haltenen netzwerkspezifischen Daten das virtuelle Simulati onsnetzwerk VSN in einer dritten Simulationsstufe mittels zu mindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes RNW1 zu simulieren. The simulation unit 2 is set up, depending on the network-specific data obtained, the virtual simulation network VSN in a first simulation stage using at least one network topology of the real first network RNW1 and in a second simulation stage using at least one layer of a network protocol and / or to simulate a display of a service based on the real first network RNW1. The simulation unit 2 is also set up to simulate the virtual simulation network VSN in a third simulation stage based on the real first network RNW1 based on the real first network RNW1 as a function of the network-specific data obtained.
In Fig. 1 ist ferner zwischen dem realen ersten Netzwerk RNW1 und dem ersten Netzwerk-Port PI ein Netzwerk-Switch 4 ange ordnet. In Fig. 1, a network switch 4 is also arranged between the real first network RNW1 and the first network port PI.
Die Übertragungsvorrichtung 1 ist hierbei dazu eingerichtet, über den Netzwerk-Switch 4 die Daten von dem realen ersten Netzwerk RNW1 zu empfangen. Zumindest ein Eingang des Netz werk-Switches 4 ist zur Übertragung von Daten mit dem realen ersten Netzwerk RNW1 verbunden. Ein als ein Ausgang des Netz werk-Switches 4 ausgebildeter Spiegelungs-Port SP zur Über tragung von Daten ist mit dem ersten Netzwerk-Port PI verbun den. The transmission device 1 is set up to receive the data from the real first network RNW1 via the network switch 4. At least one input of the network switch 4 is for the transmission of data with the real connected to the first network RNW1. A mirroring port SP designed as an output of the network switch 4 for transmitting data is connected to the first network port PI.
Vorzugsweise ist die Übertragungsvorrichtung 1 dazu einge richtet, dem realen zweiten Netzwerk RNW2 eine Routing- Tabelle umfassend eine Mehrzahl A von IP-Adressen von Teil nehmern aus dem realen ersten Netzwerk RNW1 bereitzustellen. Die Übertragungsvorrichtung 1 ist ferner dazu eingerichtet, dem zweiten Netzwerk RNW2 zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers aus dem realen ersten Netzwerk RNW1 bereitzustellen. The transmission device 1 is preferably set up to provide the real second network RNW2 with a routing table comprising a plurality A of IP addresses of participants from the real first network RNW1. The transmission device 1 is also set up to provide the second network RNW2 with at least one specific IP address of a specific subscriber from the real first network RNW1.
Fig. 2 zeigt ein schematisches Blockdiagram einer zweiten Ausführungsform einer Übertragungsvorrichtung 1 zum Übertra gen von Daten. Die zweite Ausführungsform umfasst alle Merk male der ersten Ausführungsform. Darüber hinaus umfasst die Übertragungsvorrichtung 1 der zweiten Ausführungsform in Fig. 2 eine Konfigurations-Einheit 3, welche mit der Simulations- Einheit 2 verbunden ist und eine CPU 5, in welcher die Simu lations-Einheit 2 und die Konfigurations-Einheit 3 implemen tiert sind. FIG. 2 shows a schematic block diagram of a second embodiment of a transmission device 1 for transmitting data. The second embodiment includes all of the features of the first embodiment. In addition, the transmission device 1 of the second embodiment in FIG. 2 comprises a configuration unit 3 which is connected to the simulation unit 2 and a CPU 5 in which the simulation unit 2 and the configuration unit 3 are implemented .
Die Konfigurations-Einheit 3 ist dazu eingerichtet, über den ersten Netzwerk-Port PI von dem realen ersten Netzwerk RNW1 netzwerkspezifische Daten zu erhalten, diese zu analysieren und die analysierten netzwerkspezifischen Daten als Konfigu rationsdaten zum Konfigurieren des virtuellen Simulations netzwerkes VSN zu verwenden. The configuration unit 3 is set up to receive network-specific data from the real first network RNW1 via the first network port PI, to analyze them and to use the analyzed network-specific data as configuration data for configuring the virtual simulation network VSN.
In der zweiten Ausführungsform sind ferner die Übertragungs vorrichtung 1 umfassend zumindest die Simulations-Einheit 2, die Konfigurations-Einheit 3, den ersten Netzwerk-Port PI und den zweiten Netzwerk-Port P2 in einem gemeinsamen Gehäuse 6 implementiert . Die Konfigurations-Einheit 3 ist weiter dazu eingerichtet, mittels der Konfigurationsdaten das virtuelle Simulations netzwerk VSN zumindest zu einem bestimmten Zeitpunkt automa tisch zu konfigurieren. Der bestimmte Zeitpunkt umfasst ins- besondere einen Zeitpunkt während des Betriebes der Simulati ons-Einheit 2. In the second embodiment, the transmission device 1 including at least the simulation unit 2, the configuration unit 3, the first network port PI and the second network port P2 are implemented in a common housing 6. The configuration unit 3 is also set up to use the configuration data to automatically configure the virtual simulation network VSN at least at a specific point in time. The specific point in time includes, in particular, a point in time during the operation of the simulation unit 2.
Vorzugsweise ist die Übertragungsvorrichtung 1 dazu einge richtet, die Simulations-Einheit 2 und die Konfigurations- Einheit 3 parallel auszuführen. The transmission device 1 is preferably set up to run the simulation unit 2 and the configuration unit 3 in parallel.
Obwohl die vorliegende Erfindung anhand von Ausführungsbei spielen beschrieben wurde, ist sie vielfältig modifizierbar. Although the present invention has been described using exemplary embodiments, it can be modified in many ways.
Bezugszeichenliste List of reference symbols
1 Übertragungsvorrichtung 1 transmission device
2 Simulations-Einheit 2 simulation unit
3 Konfigurations-Einheit 3 configuration unit
4 Netzwerk-Switch 4 network switch
5 CPU 5 CPU
6 Gehäuse 6 housing
PI erster Netzwerk-Port PI first network port
P2 zweiter Netzwerk-Port P2 second network port
RNW1 reales erstes Netzwerk RNW1 real first network
RNW2 reales zweites Netzwerk RNW2 real second network
SP Spiegelungs-Port SP mirror port
VSN virtuelles Simulationsnetzwerk VSN virtual simulation network

Claims

Patentansprüche Claims
1. Übertragungsvorrichtung (1) zum Übertragen von Daten zwi schen einem realen ersten Netzwerk (RNW1) und einem realen zweiten Netzwerk (RNW2), wobei die Übertragungsvorrichtung (1) einen ersten Netzwerk-Port (PI) zum Koppeln an das reale erste Netzwerk (RNW1) und einen zweiten Netzwerk-Port (P2) zum Koppeln an das reale zweite Netzwerk (RNW2) aufweist und ferner umfasst: eine an dem ersten Netzwerk-Port (PI) verbundene Simula tions-Einheit (2), die dazu eingerichtet ist, über den ersten Netzwerk-Port (PI) von dem realen ersten Netzwerk (RNW1) netzwerkspezifische Daten zu erhalten, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten ein virtuelles Si mulationsnetzwerk (VSN) von dem realen ersten Netzwerk (RNW1) bereitzustellen, und das bereitgestellte virtuelle Simulati onsnetzwerk (VSN) über den zweiten Netzwerk-Port (P2) für ei nen Zugriff auf das bereitgestellte virtuelle Simulations netzwerk (VSN) von dem realen zweiten Netzwerk (RNW2) aus be reitzustellen. 1. Transmission device (1) for transmitting data between a real first network (RNW1) and a real second network (RNW2), the transmission device (1) having a first network port (PI) for coupling to the real first network ( RNW1) and a second network port (P2) for coupling to the real second network (RNW2) and furthermore comprises: a simulation unit (2) connected to the first network port (PI), which is set up to to receive network-specific data via the first network port (PI) from the real first network (RNW1), to provide a virtual simulation network (VSN) from the real first network (RNW1) as a function of the received network-specific data, and to provide the virtual one provided Provide simulation network (VSN) via the second network port (P2) for access to the provided virtual simulation network (VSN) from the real second network (RNW2).
2. Übertragungsvorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass die Simulations-Einheit (2) ferner dazu eingerichtet ist, das virtuelle Simulationsnetzwerk (VSN) in Abhängigkeit von zumindest drei unterschiedlichen Simulationsstufen zu si mulieren. 2. Transmission device according to claim 1, characterized in that the simulation unit (2) is further set up to simulate the virtual simulation network (VSN) as a function of at least three different simulation levels.
3. Übertragungsvorrichtung nach Anspruch 2, dadurch gekennzeichnet, dass die Simulations-Einheit (2) dazu eingerichtet ist, in Abhängigkeit von den erhaltenen netzwerkspezifischen Daten das virtuelle Simulationsnetzwerk (VSN) in einer ersten Simu lationsstufe der zumindest drei unterschiedlichen Simulati onsstufen mittels zumindest einer Netzwerktopologie des rea len ersten Netzwerkes (RNW1), in einer zweiten Simulations stufe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer Schicht eines Netzwerkprotokolls und/oder einer Anzeige eines Services auf Basis des realen ersten Netzwerkes (RNW1) und in einer dritten Simulationsstu fe der zumindest drei unterschiedlichen Simulationsstufen mittels zumindest einer inhaltsplausiblen Webseite auf Basis des realen ersten Netzwerkes (RNW1), zu simulieren. 3. Transmission device according to claim 2, characterized in that the simulation unit (2) is set up, depending on the received network-specific data, the virtual simulation network (VSN) in a first simulation stage of the at least three different simulation stages by means of at least one network topology of the real first network (RNW1), in a second simulation stage of the at least three different simulation stages by means of at least one layer of a network protocol and / or a display of a service based on the real first network (RNW1) and, in a third simulation stage, to simulate the at least three different simulation stages by means of at least one content-plausible website based on the real first network (RNW1).
4. Übertragungsvorrichtung nach einem der Ansprüche 1 - 3, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) ferner eine Konfigurati ons-Einheit (3) umfasst, die dazu eingerichtet ist, über den ersten Netzwerk-Port (PI) von dem realen ersten Netzwerk (RNW1) netzwerkspezifische Daten zu erhalten, diese zu analy sieren und die analysierten netzwerkspezifischen Daten als Konfigurationsdaten zum Konfigurieren des virtuellen Simula tionsnetzwerkes (VSN) zu verwenden. 4. Transmission device according to one of claims 1-3, characterized in that the transmission device (1) further comprises a configuration unit (3) which is set up to be connected to the real first network via the first network port (PI) (RNW1) to receive network-specific data, to analyze them and to use the analyzed network-specific data as configuration data for configuring the virtual simulation network (VSN).
5. Übertragungsvorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass die Konfigurations-Einheit (3) ferner dazu eingerichtet ist, mittels der Konfigurationsdaten das virtuelle Simulati onsnetzwerk (VSN) zumindest zu einem bestimmten Zeitpunkt au tomatisch zu konfigurieren, wobei der zumindest eine bestimm te Zeitpunkt einen Zeitpunkt während des Betriebes der Simu lations-Einheit (2) umfasst. 5. Transmission device according to claim 4, characterized in that the configuration unit (3) is also set up to automatically configure the virtual simulation network (VSN) at least at a certain point in time using the configuration data, the at least one certain point in time includes a point in time during the operation of the simulation unit (2).
6. Übertragungsvorrichtung nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, die Simulations-Einheit (2) und die Konfigurations-Einheit (3) parallel auszuführen. 6. Transmission device according to claim 4 or 5, characterized in that the transmission device (1) is set up to run the simulation unit (2) and the configuration unit (3) in parallel.
7. Übertragungsvorrichtung nach einem der Ansprüche 1 - 6, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, über einen zwischen dem realen ersten Netzwerk (RNW1) und dem ersten Netzwerk-Port (PI) angeordneten Netzwerk-Switch (4) die Daten von dem realen ersten Netzwerk (RNW1) zu empfangen, wobei zumindest ein Eingang des Netzwerk-Switches (4) zur Übertragung von Daten mit dem realen ersten Netzwerk (RNW1) verbunden ist und ein als ein Ausgang des Netzwerk-Switches (4) ausgebildeter Spiegelungs-Port (SP) zur Übertragung von Daten mit dem ersten Netzwerk-Port (PI) verbunden ist. 7. Transmission device according to one of claims 1 - 6, characterized in that the transmission device (1) is set up to use a network switch (4) arranged between the real first network (RNW1) and the first network port (PI). to receive the data from the real first network (RNW1), at least one input of the network switch (4) for Transmission of data is connected to the real first network (RNW1) and a mirroring port (SP) designed as an output of the network switch (4) for the transmission of data is connected to the first network port (PI).
8. Übertragungsvorrichtung nach einem der Ansprüche 1 - 7, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, eine Übertragung von Daten zwischen dem realen ersten Netz werk (RNW1) und dem realen zweiten Netzwerk (RNW2) in einer Übertragungsschicht, Schicht 2 gemäß dem OSI/ISO- Schichtmodell, durchzuführen. 8. Transmission device according to one of claims 1-7, characterized in that the transmission device (1) is set up to allow data to be transmitted between the real first network (RNW1) and the real second network (RNW2) in a transmission layer, layer 2 according to the OSI / ISO layer model.
9. Übertragungsvorrichtung nach einem der Ansprüche 1 - 8, dadurch gekennzeichnet, dass das reale erste Netzwerk (RNW1) ein Steuerungsnetzwerk, insbesondere ein Produktionsnetzwerk oder ein Bahnsicherungs netzwerk, umfasst und das reale zweite Netzwerk (RNW2) ein Diagnosenetzwerk, ein lokales Netzwerk oder das Internet um fasst. 9. Transmission device according to one of claims 1 - 8, characterized in that the real first network (RNW1) comprises a control network, in particular a production network or a railway safety network, and the real second network (RNW2) a diagnostic network, a local network or the Internet includes.
10. Übertragungsvorrichtung nach einem der Ansprüche 1 - 9, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) teilweise oder vollstän dig als eine unidirektionale Datendiode, als eine Firewall oder als ein Gateway ausgebildet ist. 10. Transmission device according to one of claims 1-9, characterized in that the transmission device (1) is partially or completely dig as a unidirectional data diode, as a firewall or as a gateway.
11. Übertragungsvorrichtung nach einem der Ansprüche 1 - 10, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, dem realen zweiten Netzwerk (RNW2) eine Routing-Tabelle um fassend eine Mehrzahl A von IP-Adressen von Teilnehmern des realen ersten Netzwerkes (RNW1) bereitzustellen. 11. Transmission device according to one of claims 1-10, characterized in that the transmission device (1) is set up to provide the real second network (RNW2) with a routing table comprising a plurality A of IP addresses of participants in the real first network (RNW1).
12. Übertragungsvorrichtung nach einem der Ansprüche 1 - 11, dadurch gekennzeichnet, dass die Übertragungsvorrichtung (1) dazu eingerichtet ist, dem realen zweiten Netzwerk (RNW2) zumindest eine bestimmte IP-Adresse eines bestimmten Teilnehmers des realen ersten Netzwerkes (RNW1) bereitzustellen. 12. Transmission device according to one of claims 1-11, characterized in that the transmission device (1) is set up to provide the real second network (RNW2) with at least one specific Provide the IP address of a specific participant in the real first network (RNW1).
13. Übertragungsvorrichtung nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die netzwerkspezifischen Daten Messwerte, wie beispiels weise Druck und/oder Temperatur von Teilnehmern des realen ersten Netzwerkes (RNW1), zumindest eine Anzahl T von Teil nehmern des realen ersten Netzwerkes (RNW1), Betriebszustände von Teilnehmern des realen ersten Netzwerkes (RNW1) und/oder einen technischen Prozess, welcher durch zumindest einen Teilnehmer des realen ersten Netzwerkes (RNW1) ausgeführt wird, umfassen. 13. Transmission device according to claim 11 or 12, characterized in that the network-specific data measured values, such as pressure and / or temperature of participants in the real first network (RNW1), at least a number T of participants in the real first network (RNW1) , Operating states of participants in the real first network (RNW1) and / or a technical process which is carried out by at least one participant in the real first network (RNW1).
14. Übertragungsvorrichtung nach einem der Ansprüche 4 - 13, dadurch gekennzeichnet, dass zumindest die Simulations-Einheit (2), die Konfigurati ons-Einheit (3), der erste Netzwerk-Port (PI) und der zweite Netzwerk-Port (P2) in einem gemeinsamen Gehäuse (6) implemen- tiert sind. 14. Transmission device according to one of claims 4 - 13, characterized in that at least the simulation unit (2), the configuration unit (3), the first network port (PI) and the second network port (P2) are implemented in a common housing (6).
EP20828978.5A 2019-12-19 2020-12-10 Transmission device for transmitting data Pending EP4052440A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019220246.2A DE102019220246A1 (en) 2019-12-19 2019-12-19 Transmission device for transmitting data
PCT/EP2020/085508 WO2021122298A1 (en) 2019-12-19 2020-12-10 Transmission device for transmitting data

Publications (1)

Publication Number Publication Date
EP4052440A1 true EP4052440A1 (en) 2022-09-07

Family

ID=74003808

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20828978.5A Pending EP4052440A1 (en) 2019-12-19 2020-12-10 Transmission device for transmitting data

Country Status (6)

Country Link
US (1) US20230051229A1 (en)
EP (1) EP4052440A1 (en)
CN (1) CN114766087A (en)
AU (1) AU2020403757B2 (en)
DE (1) DE102019220246A1 (en)
WO (1) WO2021122298A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113489728A (en) * 2021-07-08 2021-10-08 恒安嘉新(北京)科技股份公司 Safety evaluation system and method for industrial internet

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10241974B4 (en) * 2002-09-11 2006-01-05 Kämper, Peter Monitoring of data transmissions
US20110122879A1 (en) * 2009-11-20 2011-05-26 D & S Consultants, Inc. System for seamless connection of real and virtual networks
DE102010054093A1 (en) * 2010-12-10 2011-08-25 Daimler AG, 70327 Method for co-simulation of real and virtual networks of vehicle, involves coupling real network with virtual network by data transmission path, and identifying all real network components
US9989958B2 (en) * 2013-05-09 2018-06-05 Rockwell Automation Technologies, Inc. Using cloud-based data for virtualization of an industrial automation environment
DE102013018596A1 (en) * 2013-11-07 2015-05-07 Phoenix Contact Gmbh & Co. Kg Network system, coupling unit and method for operating a network system
US10372843B2 (en) * 2014-02-07 2019-08-06 The Boeing Company Virtual aircraft network
US10044675B1 (en) * 2014-09-30 2018-08-07 Palo Alto Networks, Inc. Integrating a honey network with a target network to counter IP and peer-checking evasion techniques
EP3291501A1 (en) * 2016-08-31 2018-03-07 Siemens Aktiengesellschaft System and method for using a virtual honeypot in an industrial automation system and cloud connector
WO2018044410A1 (en) * 2016-09-01 2018-03-08 Siemens Aktiengesellschaft High interaction non-intrusive industrial control system honeypot
US10419243B2 (en) * 2016-09-09 2019-09-17 Johnson Controls Technology Company Smart gateway devices, systems and methods for providing communication between HVAC system networks
US10841277B2 (en) * 2017-08-14 2020-11-17 Ut-Battelle, Llc One step removed shadow network
CN109039913A (en) * 2018-08-23 2018-12-18 郑州云海信息技术有限公司 Virtual routing device and virtual machine communication system

Also Published As

Publication number Publication date
DE102019220246A1 (en) 2021-06-24
US20230051229A1 (en) 2023-02-16
WO2021122298A1 (en) 2021-06-24
AU2020403757A1 (en) 2022-07-14
AU2020403757B2 (en) 2023-08-31
CN114766087A (en) 2022-07-19

Similar Documents

Publication Publication Date Title
DE10052312B4 (en) Automatic lock against unauthorized access on the Internet (Snoop Avoider) for virtual private networks
EP3129888B2 (en) Transmission of data out of a secured storage
DE602004004942T2 (en) Virtual network addresses
EP3388994A1 (en) Method and apparatus for computer-assisted testing of a blockchain
EP3251012B1 (en) Checking system for checking a computer of a computer system in a checking network
DE102020124426A1 (en) Methods, systems and computer readable media for threat simulation and recommendations for threat reduction
EP3192226B1 (en) Device and method for controlling a communication network
EP3646559A1 (en) Method for checking datagrams transmitted in an industrial automation system, and automation and/or communications appliance
DE102020201988A1 (en) Device for processing data with at least two data interfaces and operating methods therefor
DE102010038228A1 (en) Method for establishing a VPN connection between two networks
EP4052440A1 (en) Transmission device for transmitting data
DE102015107071B3 (en) Device and method for controlling a communication network
EP3925192B1 (en) Method and reproduction unit for reproducing protected messages
EP3252990A1 (en) Method and device for providing a secret for authenticating a system and/or components of the system
DE202015004439U1 (en) Monitoring device and network participants
DE102019210230A1 (en) Device and method for attack detection in a computer network
EP3627788A1 (en) Method and device for configuring an access control system
WO2002067532A1 (en) Method for transmitting data, proxy server and data transmission system
EP1665712A1 (en) Method for transmitting electronic data via a dual network in order to increase internet security
EP3767910A1 (en) Method for configuring firewall devices for a communication network and communication network management system
WO2014206451A1 (en) Method and device for secure transmission of signal data in a system
EP4115310B1 (en) Method and device for detecting malicious services in a network
DE112018001624T5 (en) Data analysis device, method and program
EP4049430A1 (en) Transmission device for transmitting data
DE102015212037A1 (en) Monitoring a link section for transmission of data between two subscribers of a communication link

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20220601

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)