WO2007048656A1 - Flexible anpassung von zum schutz von kommunikationsnetzen eingesetzten filtern - Google Patents

Flexible anpassung von zum schutz von kommunikationsnetzen eingesetzten filtern Download PDF

Info

Publication number
WO2007048656A1
WO2007048656A1 PCT/EP2006/065949 EP2006065949W WO2007048656A1 WO 2007048656 A1 WO2007048656 A1 WO 2007048656A1 EP 2006065949 W EP2006065949 W EP 2006065949W WO 2007048656 A1 WO2007048656 A1 WO 2007048656A1
Authority
WO
WIPO (PCT)
Prior art keywords
activation
filter
network
renewal
filter setting
Prior art date
Application number
PCT/EP2006/065949
Other languages
English (en)
French (fr)
Inventor
Joachim Charzinski
Birger Toedtmann
Original Assignee
Nokia Siemens Networks Gmbh & Co. Kg
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks Gmbh & Co. Kg filed Critical Nokia Siemens Networks Gmbh & Co. Kg
Publication of WO2007048656A1 publication Critical patent/WO2007048656A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Definitions

  • the invention relates to a method for changing the configuration of a packet filter installed on a node of a communication network formed with nodes.
  • the invention is in the field of network technology and aims at improving the setting of filters for protecting communication networks.
  • spoofing IP spoofing
  • a fal ⁇ shear sender is simulated by a malicious sender address. This is matically particularly proble ⁇ if there is a network of trust relationships between machines. By spoofing a network-internal sender address, these trust relationships can be misused to cause harm to the users of the network.
  • firewalls are used as protection against spoofing and other attacks. An important component of these firewalls are filters that check packets arriving at the network edge and reject them according to specified criteria.
  • a packet filter checks from outside of the network packets transmitted on whether a network-internal sender address in the packet header is giving is ⁇ . If the comparison shows that a network internal Source address is specified, the packet is rejected as manipulated ⁇ len.
  • Fig. 1 shows two network preparation ⁇ represents che Nl and N2, the gekop via a leased line Ll ⁇ are pelt. Both power ranges are jointly controlled by mana ⁇ GEMENT station MS and configured.
  • the edge network is thus defined (in the greatly simplified compared to reality network topology of the figure) through the interface of the ⁇ le of R3 to line L2 and the interface of R5 to the line L3.
  • packet filters are normally installed which discard packets originating from outside (ie from N3) with originating addresses from an internal address range of N1 and N2. It is irrelevant whether N3 is a public network (eg part of the Internet from another operator) or a less secure network. under the direction of the operator of the subnetworks Nl and N2.
  • Management station MS the router R5 but no longer achieved via Ll, the management traffic would have to be routed through R3-L2-N3-L3-R5, where it is discarded because of the configured packet filters in the edge router R5.
  • the operator must therefore either completely dispense with the use of the packet filter and thus generally accept a reduced level of security, or he must change the filter configuration of the edge router R5 via other We ⁇ ge in case of failure of the line Ll.
  • the object is achieved by a method according to claim 1.
  • a central idea of the invention is to activate filters or individual filter settings for a period of time and to refresh this activation (refresh). Upon activation or renewal of activation by an activation renewal message, the activation duration is adjusted. Under ⁇ reactivation remain, the activation ⁇ will permanently disable the filter setting and the filter end.
  • Network changing disturbance in which an activated filter affects the accessibility of a network area by the Netzmanage ⁇ ment an automatic deactivation by omitting the activation renewal messages.
  • the method is applicable for testing new security configurations that could cause the network operator to gain access to its network elements through conflicting or too strict filters. As a result, there is a balance between security and operability of the network. Cost savings through the elimination of a separate management network or the use of service personnel in the event of a fault are possible.
  • Timer (timer) to be started. At expiration of the timer ⁇ the filter setting is then disabled if no extension of the activation period was made by means of activation renewal messages. • It can be specified when activated, a time for Deeducationie ⁇ tion. When the time is reached, the filter setting is deactivated, if no extension of the capitalization period by means of activation renewal notifications. Activation messages may be equivalent to restarting a timer or redetermining a deactivation time. Setting a deactivation time is more flexible. This procedure can be based ⁇ extended devisge that a start and end point are specified for activation (activation time interval) but requires you use a clock (which possibly is connected with increasing snowlichem effort for synchronization).
  • timer can be to the effect wei ⁇ tersenten that the activation message is a renewal, the length of the period of the information regarding a parameter or timer is specified. Upon start of the timer upon receipt of the activation renewal message, the run time of the timer is then set in accordance with the information. In this way, can the reindeer for the maintenance ⁇ activation conservation required time distance of regulation.
  • the deactivation of the filter setting can be realized by means of a filter configuration unit.
  • activation renewal messages are transmitted to the filter configuration unit.
  • the filter configuration unit then deactivates the filter setting at the end of the activation period. This is particularly advantageous if one separates filter and filter configuration unit from each other.
  • the filter configuration unit can be installed on a separate pre ⁇ sense, can be disabled from which multiple filters. On the device then too set up and monitor the required timers.
  • the An ⁇ number of such devices in the network of the network topology can then be determined by reference.
  • a network which is of a plurality of non-redundant network portions associated loading for example, can be a device hen per power gating vorgese ⁇ (possibly with the exception of a network section, the di ⁇ rectly with the power management is connected).
  • Fig. 1 A network constellation with two network areas Nl and N2, which are connected by a line Ll.
  • Fig. 2 The timing of setting up and extending filters.
  • Fig. 1 shows a network configuration with two network areas Nl (with routers Rl, R2, and R3 and links L4, L5 and L6) and N2 (with routers R4, R5, and R6 and links L7, L8 and L9), wel ⁇ che by means of a leased line (Link Ll) are interconnected.
  • a leased line L1 messages sent by the management station MS can no longer reach the network area N2 on a route that is completely within the network.
  • a packet filter installed at the edge router R5 would discard the messages as allegedly manipulated because of the network internal sender address.
  • this obstacle is counteracted by the ei ⁇ ne modification is made in the IP router R5, which makes it possible that the router activates packet filter only for a certain predetermined period of time.
  • the actual description of the filter is separated from the activation. Activation takes place via a management command (via CLI (command line interface) or via a suitable network management ⁇ ment protocol, eg SNMP (simple network management protocol)).
  • a certain amount of time eg 2 minutes
  • the filter is prolonged within this time, it will remain active for longer. If the time span elapses without the activation of the filter being extended, the filter deactivates automatically.
  • the adaptation of the activation duration can also be outsourced to an external unit (filter configuration unit), which is provided to the router.
  • This unit then independently configures the router at the end of the activation period.
  • the item provided unit can be responsible for a single Rou ⁇ ter, for a subset of routers of a network area or for all routers on a network area.
  • the invention is not restricted to the case described in the exemplary embodiment.
  • the invention can be in Related to all network constellations and network technologies (IP networks, Ethernet) where filters are used to protect the network.
  • the invention can also be used for any type of filter (eg packet filter, content filter).

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Zur Änderung der Konfiguration eines auf einem Knoten eines Kommunikationsnetzes installierten Filters wird zumindest eine Filtereinstellung als aktivierbare bzw. deaktivierbare Eigenschaft des Filters ausgestaltet. Bei Aktivierung der Filtereinstellung erfolgt eine Festsetzung der Aktivierungsdauer. Diese ist durch Senden einer Aktivierungserneuerungsnachricht verlängerbar. Mit Ende der Aktivierungsdauer wird die Filtereinstellung deaktiviert. Die Festsetzung der Aktivierungsdauer kann mittels eines Zeitgebers oder durch Spezifikation eines Deaktivierungszeitpunktes realisiert werden. Die Erfindung erlaubt eine flexible An- und Abschaltung von Filtern oder Filtereigenschaften, z.B. als Reaktion auf eine Störung.

Description

Beschreibung
Flexible Anpassung von zum Schutz von Kommunikationsnetzen eingesetzten Filtern
Die Erfindung betrifft ein Verfahren zur Änderung der Konfiguration eines auf einem Knoten eines mit Knoten gebildeten Kommunikationsnetzes installierten Paketfilters.
Die Erfindung liegt auf dem Gebiet der Netztechnik und zielt auf eine Verbesserung der Einstellung von Filtern zum Schutz von Kommunikationsnetzen.
Sicherheitsaspekte spielen bei modernen Netzen eine wichtige Rolle. Mit der weltweiten Vernetzung haben auch die Möglichkeiten der Manipulation und Schadensverursachung zugenommen. Ein Beispiel dafür ist das sog. Spoofing oder IP-Spoofing. Dabei wird durch eine manipulierte Absenderadresse ein fal¬ scher Absender vorgetäuscht. Dies ist vor allem dann proble¬ matisch, wenn zwischen Maschinen eines Netzes Vertrauensbeziehungen bestehen. Durch Vortäuschen einer netzinternen Absenderadresse können diese Vertrauensbeziehungen missbräuch- lich verwendet werden, um den Nutzern des Netzes Schaden zuzufügen. Als Schutz vor Spoofing und anderen Attacken werden sog. Firewalls verwendet. Ein wichtiger Bestandteil dieser Firewalls sind Filter, welche am Netzrand eintreffende Pakete überprüfen und nach vorgegebenen Kriterien verwerfen. Neben den sog. Content-Filtern, die den Inhalt von ankommendem Verkehr analysieren, gibt es die sog. Paketfilter, welche zur Verhinderung von Spoofing eingesetzt werden. Ein Paketfilter überprüft die von außerhalb des Netzes übertragenen Pakete darauf, ob eine netzinterne Senderadresse im Paketkopf ange¬ geben ist. Falls der Vergleich ergibt, dass eine netzinterne Ursprungsadresse spezifiziert ist, wird das Paket als manipu¬ liert verworfen.
Die aus Sicherheitsgründen - zur Verhinderung von Angriffen mittels „spoofing" - in Netzen konfigurierten Paketfilter sollen also sicherstellen, dass von außen keine Pakete ins Netz kommen, die als Absenderadresse eine Netz-interne Adres¬ se tragen. Zusammen mit einer Grundkonfiguration der Netzelemente, die Management-Zugriff auf die Netzelemente nur von netzinternen Adressen aus zulässt, kann so verhindert werden, dass Management-Zugriffe auf Netzelemente von Stationen au¬ ßerhalb des Netzes - z.B. im Rahmen eines Angriffes - durch¬ geführt werden. Die Paketfilter werden in IP-Netzen sinnvollerweise an denjenigen Router-Schnittstellen (Randrouter) ein- gerichtet, die den Netzrand darstellen, d.h. also Verbindungen zu weniger vertrauenswürdigen Netzbereichen haben.
Es gibt nun Fälle, in denen - beispielsweise nach einer Ände¬ rung der Topologie bzw. Struktur des Netzes - die Festlegung des Netzrandes geändert werden muss. Ein solcher Fall soll anhand Fig. 1 erläutert werden. Fig. 1 stellt zwei Netzberei¬ che Nl und N2 dar, die über eine gemietete Leitung Ll gekop¬ pelt sind. Beide Netzbereiche werden gemeinsam von der Mana¬ gement-Station MS kontrolliert und konfiguriert. Der Netzrand ist somit (in der im Vergleich zur Realität stark vereinfachten Netztopologie der Figur) definiert durch die Schnittstel¬ le von R3 zur Leitung L2 und die Schnittstelle von R5 zur Leitung L3. An diesen beiden Schnittstellen werden normalerweise Paketfilter installiert, die von außen (d.h. von N3) kommende Pakete mit Ursprungsadressen aus einem internen Adressbereich von Nl und N2 verwerfen. Es ist dabei unerheblich, ob N3 ein öffentliches Netz (z.B. ein Teil des Internet von einem anderen Betreiber) oder ein weniger sicherer Netz- bereich unter der Regie des Betreibers von den Teilnetzen Nl und N2 ist .
Fällt nun die private Verbindungsleitung Ll zwischen Nl und N2 aus, so sind die Netzelemente in Teilnetz N2 von der Mana¬ gement-Station MS aus nicht mehr erreichbar, obwohl prinzipiell über die Netzelemente R3-L2-N3-L3-R5 noch eine Verbin¬ dung zwischen Nl und N2 besteht. Der Netzbetreiber müsste in dieser Situation die Paketfilter an der Schnittstelle von R5 zu L3 und an der Schnittstelle von R3 zu L2 ändern. Da die
Management-Station MS den Router R5 jedoch nicht mehr über Ll erreicht, müsste der Management-Verkehr über R3-L2-N3-L3-R5 geführt werden, wo er jedoch wegen der konfigurierten Paketfilter im Randrouter R5 verworfen wird. Der Betreiber muss daher entweder ganz auf den Einsatz der Paketfilter verzichten und damit grundsätzlich eine verringerte Sicherheit in Kauf nehmen, oder er muss im Falle des Ausfalles der Leitung Ll die Filterkonfiguration des Randrouters R5 über andere We¬ ge ändern. Dies ist möglich, wenn sich ein Service- Mitarbeiter vor Ort, z.B. über eine serielle Schnittstelle, mit dem Router R5 verbindet und die Konfiguration ändert (was einen hohen Aufwand bedeutet und wegen des manuell durchge¬ führten Konfigurationsvorgangs fehlerträchtig ist) oder wenn zwischen der Management-Station MS und dem Router R5 eine Verbindung über ein separates Netz (z.B. ISDN, Telefonnetz mit Modem) bereitgestellt wird (was teuer ist und in Zukunft wegen fehlender Verfügbarkeit einer separaten Verbindung zwischen zwei IP-Netzbereichen auch nicht mehr in allen Fällen machbar sein wird) .
Die Erfindung hat zur Aufgabe, bei Änderung von Netzzuständen oder in anderen Situationen erforderliche Filteränderungen effizienter zu gestalten. Die Aufgabe wird gelöst durch ein Verfahren nach Anspruch 1.
Ein zentraler Erfindungsgedanke besteht darin, Filter oder einzelne Filtereinstellungen für einen Zeitraum zu aktivieren und diese Aktivierung zu erneuern (refresh) . Bei Aktivierung oder Erneuerung der Aktivierung durch eine Aktivierungserneu- erungsnachricht wird die Aktivierungsdauer angepasst. Unter¬ bleiben die Reaktivierung, so wird mit Ende der Aktivierungs¬ dauer die Filtereinstellung bzw. der Filter deaktiviert.
Änderungen von Filtereinstellungen können somit einfach durch das Unterlassen der Aktivierungserneuerung vorgenommen werden. Dies ist besonders vorteilhaft bei Störungen. Wenn z.B. die Aktivierungserneuerungsnachrichten von dem Netzmanagement gesendet werden, erfolgt im Falle einer die Topologie des
Netzes verändernden Störung, bei der ein aktivierter Filter die Erreichbarkeit eines Netzbereiches durch das Netzmanage¬ ment beeinträchtigt, eine automatische Deaktivierung durch Ausbleiben der Aktivierungserneuerungsnachrichten . Ebenso ist das Verfahren zum Testen neuer Sicherheitskonfigurationen anwendbar, die dazu führen könnten, dass sich der Netzbetreiber durch widersprüchliche oder zu strenge Filter den Zugang zu seinen Netzelementen verbaut. Dadurch herrscht Ausgewogenheit zwischen Sicherheit und Betreibbarkeit des Netzes. Kostenein- sparungen durch Verzicht auf ein separates Management-Netz oder Einsatz von Service-Personal im Fehlerfall sind möglich.
Im Folgenden werden zwei Möglichkeiten angegeben, eine Aktivierungsdauer festzulegen: • Es kann bei Aktivierung der Filterkonfiguration ein
Zeitgeber (Timer) gestartet werden. Bei Ablauf des Zeit¬ gebers wird die Filtereinstellung dann deaktiviert, falls keiner Verlängerung der Aktivierungsdauer mittels Aktivierungserneuerungsnachrichten vorgenommen wurde. • Es kann bei Aktivierung ein Zeitpunkt für die Deaktivie¬ rung vorgegeben werden. Bei Erreichen des Zeitpunkts wird die Filtereinstellung dann deaktiviert, falls kei- ner Verlängerung der Aktivierungsdauer mittels Aktivie- rungserneuerungsnachrichten vorgenommen wurde. Aktivierungsnachrichten können entsprechend den Neustart eines Zeitgebers oder die Neufestsetzung eines Deaktivierungs- Zeitpunktes bewirken. Die Festsetzung eines Deaktivierungs- zeitpunktes ist flexibler. Dieses Vorgehen kann auch dahinge¬ hend erweitert werden, dass ein Anfangs- und Endpunkt für die Aktivierung vorgegeben werden (Aktivierungszeitintervall) , erfordert aber dir Verwendung einer Uhr (welche evtl. mit zu- sätzlichem Aufwand wegen Synchronisierung verbunden ist) .
Die Verwendung eines Zeitgebers lässt sich dahingehend wei¬ terbilden, dass der Aktivierungserneuerungsnachricht eine die Länge der Laufzeit des Zeitgebers betreffende Information bzw. ein Parameter mitgegeben wird. Bei Start des Zeitgebers auf Erhalt der Aktivierungserneuerungsnachricht hin wird dann die Laufzeit des Zeitgebers nach Maßgabe der Information festgesetzt. Auf diese Weise lässt sich der für die Aufrecht¬ erhaltung der Aktivierung erforderliche Zeitabstand regulie- ren.
Beide Vorgehensweisen (Zeitgeber und Festlegung des Deakti- vierungszeitpunktes) lassen sich auch miteinander kombinie¬ ren, z.B. indem bei Erhalt einer Aktivierungserneuerungsnach- rieht mit einem Deaktivierungszeitpunkt ein laufender Zeitge¬ ber terminiert wird und der Deaktivierungszeitpunkt für die Aktivierungsdauer maßgeblich wird.
Die Deaktivierung der Filtereinstellung kann mittels einer Filterkonfigurationseinheit realisiert werden. In diesem Fall werden Aktivierungserneuerungsnachrichten an die Filterkonfigurationseinheit übermittelt . Die Filterkonfigurationseinheit deaktiviert dann mit Ende der Aktivierungsdauer die Filtereinstellung. Dies ist vor allem dann von Vorteil, wenn man Filter und Filterkonfigurationseinheit voneinander trennt.
Die Filterkonfigurationseinheit kann auf einer separaten Vor¬ richtung installiert werden, von der aus mehrere Filter deaktiviert werden können. Auf der Vorrichtung werden dann auch die benötigten Zeitgeber eingerichtet und überwacht. Die An¬ zahl derartiger Vorrichtungen im Netz kann dann nach Maßgabe der Netztopologie festgelegt werden. Bei einem Netz, welches aus mehreren, nicht-redundant verbundenen Netzabschnitten be- steht, kann z.B. eine Vorrichtung pro Netzanschnitt vorgese¬ hen werden (evtl. mit Ausnahme eines Netzabschnittes, der di¬ rekt mit dem Netzmanagement verbunden ist) .
Im Folgenden wird der Erfindungsgegenstand im Rahmen eines Ausführungsbeispiels anhand von Figuren näher erläutert. Es zeigen :
Fig. 1: Eine Netzkonstellation mit zwei Netzbereichen Nl und N2, die durch eine Leitung Ll verbunden sind.
Fig. 2: Den zeitlichen Ablauf des Einrichtens und Verlängerns von Filtern.
Fig. 1 zeigt eine Netzkonfiguration mit zwei Netzbereichen Nl (mit Routern Rl, R2, und R3 sowie Links L4, L5 und L6) und N2 (mit Routern R4, R5, und R6 sowie Links L7, L8 und L9) , wel¬ che mittels einer gemieteten Leitung (Link Ll) miteinander verbunden sind. Bei Ausfall der gemieteten Leitung Ll können von der Management-Station MS gesendete Nachrichten den Netz- bereich N2 nicht mehr auf einer vollständig innerhalb des Netzes verlaufenden Route erreichen. Angenommen, die Nachrichten würden über den Link L2, das Netz N3 und den Link L3 zu dem Randrouter R5 gelangen, dann würde ein bei dem Randrouter R5 installierter Paketfilter die Nachrichten wegen der netzinternen Absenderadresse als vermeintlich manipuliert verwerfen .
Erfindungsgemäß wird diesem Hindernis begegnet, indem die ei¬ ne Modifikation im IP-Router R5 vorgenommen wird, die es er- möglicht, dass der Router Paketfilter nur für eine gewisse vorgebbare Zeitspanne aktiviert. Dabei wird die eigentliche Beschreibung des Filters von der Aktivierung getrennt. Die Aktivierung erfolgt über ein Management-Kommando (per CLI (command line interface) oder über ein geeignetes Netzmanage¬ mentprotokoll, z.B. SNMP (simple network management proto- col)) . Dabei wird eine gewisse Zeitspanne (z.B. 2 Minuten) vorgegeben, für die das Filter aktiv sein soll. Wenn inner- halb dieser Zeitspanne die Aktivierung des Filters verlängert wird, bleibt es entsprechend länger aktiv. Wenn die Zeitspan¬ ne abläuft, ohne dass die Aktivierung des Filters verlängert wurde, deaktiviert sich der Filter automatisch.
Fig. 2 zeigt an einem Beispiel einen zeitlichen Ablauf. Zunächst (Schritt (I)) konfiguriert die Management-Station MS am Router Rl das Filter. Dann (2) wird das Filter aktiviert. Anschließend (3) wird die Aktivierung durch die Management- Station MS periodisch mit Periodendauer TR verlängert, je- weils für das Zeitintervall TH > TR. Falls - z.B. durch eine Unterbrechung der Erreichbarkeit - Router Rl von der Management-Station MS aus nicht mehr erreichbar sein sollte, läuft spätestens nach dem Zeitintervall TH die Aktivierung des Fil¬ ters ab und der Filter wird deaktiviert. Es ist dabei mög- lieh, die Zeitintervalle so zu wählen, dass mehrfache Akti- vierungserneuerungsnachrichten vor Ablauf des Zeitgebers eintreffen, d.h. TH =n*TR, n > 1. Dies hat den Vorteil, dass der Verlust einer Nachricht nicht schon zu einer Deaktivierung führt .
Alternativ zu einer Erweiterung der Funktionen von IP-Routern kann die Anpassung der Aktivierungsdauer auch in eine externe Einheit (Filterkonfigurationseinheit) ausgelagert werden, die dem Router beigestellt wird. Diese Einheit konfiguriert dann mit Ablauf der Aktivierungsdauer selbstständig den Router um. Die beigestellte Einheit kann dabei für einen einzelnen Rou¬ ter, für eine Teilmenge von Routern eines Netzbereiches oder für alle Router eines Netzbereiches zuständig sein.
Die Erfindung ist nicht auf den im Ausführungsbeispiel be¬ schriebenen Fall beschränkt. So lässt sich die Erfindung im Zusammenhang mit allen Netzkonstellationen und Netztechnologien (IP-Netze, Ethernet) einsetzten, wo Filter zum Schutz des Netzes verwendet werden. Auch kann die Erfindung für jeden Typ von Filter (z.B. Paketfilter, Content-Filter) einge- setzt werden.

Claims

Patentansprüche
1. Verfahren zur Änderung der Konfiguration eines auf einem Knoten eines mit Knoten gebildeten Kommunikationsnetzes in- stallierten Filters, bei dem
- zumindest eine Filtereinstellung aktivierbar ist,
- bei Aktivierung der Filtereinstellung die Aktivierungsdauer begrenzt wird, - durch Senden einer Aktivierungserneuerungsnachricht die Ak¬ tivierungsdauer verlängerbar ist, und
- mit Ende der Aktivierungsdauer die Filtereinstellung deaktiviert wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
- bei Aktivierung der Filtereinstellung ein Zeitgeber gestartet wird,
- bei Ablauf des Zeitgebers die Filtereinstellung deaktiviert wird.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass
- bei der Aktivierung ein Zeitpunkt für die Deaktivierung der Filtereinstellung vorgegeben wird, und
- die Filtereinstellung zu dem vorgegebenen Zeitpunkt deaktiviert wird, falls keine Verlängerung der Aktivierungsdauer mittels einer Aktivierungserneuerungsnachricht vorgenommen wurde .
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
- bei Erhalt der Aktivierungserneuerungsnachricht ein Zeitge¬ ber gestartet wird, und - die Filtereinstellung deaktiviert wird, falls vor Ablauf des Zeitgebers keine Verlängerung der Aktivierungsdauer mittels einer Aktivierungserneuerungsnachricht vorgenommen wur¬ de.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass
- die Aktivierungserneuerungsnachricht eine die Länge der Laufzeit des Zeitgebers betreffende Information umfasst, und
- bei Neustart des Zeitgebers auf Erhalt der Aktivierungser- neuerungsnachricht die Laufzeit des Zeitgebers nach Maßgabe der Information festgesetzt wird.
6. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass
- durch die Aktivierungserneuerungsnachricht ein Zeitpunkt für die Deaktivierung der Filtereinstellung vorgegeben wird, und - die Filtereinstellung zu dem vorgegebenen Zeitpunkt deaktiviert wird, falls keine Verlängerung der Aktivierungsdauer mittels einer Aktivierungserneuerungsnachricht vorgenommen wurde .
7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Aktivierungserneuerungsnachricht vom Netzmanagement ge¬ sendet wird.
8. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass
- eine Filterkonfigurationseinheit zur Deaktivierung von Fil¬ tereinstellungen gegeben ist,
- Aktivierungserneuerungsnachrichten an die Filterkonfigura- tionseinheit übermittelt werden,
- durch Aktivierungserneuerungsnachrichten veranlasste Veränderungen der Aktivierungsdauer durch die Filterkonfigurationseinheit berücksichtigt werden, und
- die Filterkonfigurationseinheit am Ende der Aktivierungs- dauer die Filtereinstellung deaktiviert.
9. Netzknoten, insbesondere Router oder Ethernet-Switch, mit einer Filterkonfigurierungseinheit nach Anspruch 8.
10. Vorrichtung mit einer Filterkonfigurierungseinheit nach Anspruch 8.
11. Vorrichtung nach Anspruch 10, dadurch gekennzeichnet, dass
- die Filterkonfigurierungseinheit für eine Änderung von ei¬ ner Mehrzahl von Filtern ausgestaltet ist .
PCT/EP2006/065949 2005-10-25 2006-09-04 Flexible anpassung von zum schutz von kommunikationsnetzen eingesetzten filtern WO2007048656A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005051089 2005-10-25
DE102005051089.2 2005-10-25

Publications (1)

Publication Number Publication Date
WO2007048656A1 true WO2007048656A1 (de) 2007-05-03

Family

ID=37441736

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2006/065949 WO2007048656A1 (de) 2005-10-25 2006-09-04 Flexible anpassung von zum schutz von kommunikationsnetzen eingesetzten filtern

Country Status (1)

Country Link
WO (1) WO2007048656A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0909073A2 (de) * 1997-09-12 1999-04-14 Lucent Technologies Inc. Verfahren und Vorrichtung für einen Rechnernetzwerkfirewall mit Proxy-Reflektion
WO2005064890A1 (en) * 2003-12-22 2005-07-14 Nokia Corporation A method to support mobile ip mobility in 3gpp networks with sip established communications
US20050232239A1 (en) * 2004-04-19 2005-10-20 Ilnicki Slawomir K Packet tracing using dynamic packet filters

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0909073A2 (de) * 1997-09-12 1999-04-14 Lucent Technologies Inc. Verfahren und Vorrichtung für einen Rechnernetzwerkfirewall mit Proxy-Reflektion
WO2005064890A1 (en) * 2003-12-22 2005-07-14 Nokia Corporation A method to support mobile ip mobility in 3gpp networks with sip established communications
US20050232239A1 (en) * 2004-04-19 2005-10-20 Ilnicki Slawomir K Packet tracing using dynamic packet filters

Similar Documents

Publication Publication Date Title
DE60108927T2 (de) Komputersysteme, insbesondere virtuelle private Netzwerken
DE69727447T2 (de) Übertragungstrennung und Ebene-3-Netzwerk-Vermittlung
EP2191613B1 (de) Verfahren zum benutzerspezifischen konfigurieren eines kommunikationsports
EP1952584A1 (de) Verfahren zum ermitteln einer schleifenfreien baumstruktur in einem datenübertragungsnetz und zugehöriges netzelement
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
WO2015197758A1 (de) Datennetzwerk einer einrichtung, insbesondere eines fahrzeugs
DE19921589C2 (de) Verfahren zum Betrieb eines Datenübertragungssystems
EP2704370B1 (de) Verfahren zur Nachrichtenübermittlung in einem redundant betreibbaren industriellen Kommunikationsnetz und Kommunikationsgerät für ein redundant betreibbares industrielles Kommunikationsnetz
WO2007048656A1 (de) Flexible anpassung von zum schutz von kommunikationsnetzen eingesetzten filtern
EP2557733A1 (de) Konfiguration eines Kommunikationsnetzwerks
DE60217520T2 (de) Router discovery protokoll auf einem mobilen internetprotokoll basierendem netz
EP2750310A1 (de) Verfahren zur Synchronisierung lokaler Uhren in einem Kommunikationsnetz eines industriellen Automatisierungssystems und Netzinfrastrukturgerät
EP3451591A1 (de) Verfahren zum betrieb eines kommunikationsnetzwerks in ringtopologie sowie derartiges kommunikationsnetzwerk
DE102006046023B3 (de) Verfahren zur Optimierung der NSIS-Signalisierung bei MOBIKE-basierenden mobilen Anwendungen
WO2012168104A1 (de) Hauskommunikationsnetzwerk
WO2007048655A1 (de) Filteranpassung bei änderung von netzzuständen
EP1699181A1 (de) Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
EP3720007B1 (de) Headend-gruppe, repeater und powerline-system
DE102022200414A1 (de) Verfahren zur Einbindung von Schnittstellenvorrichtungen in ein Netzwerk
DE102004025056B4 (de) Verfahren und Vorrichtung zur Gewährleistung eines Zugriffsschutzes in einem Shared-Medium-Netz
EP2067308B1 (de) Verfahren zur authentifizierung eines dsl-nutzers
DE102017102656A1 (de) Elastisch skalierbares Netzwerkzugangssicherheitssystem und zugehöriges Verfahren und Speichermedium
EP4060947A1 (de) Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage
DE10062375B4 (de) Verfahren zum Weiterleiten von Datenpaketen, Weiterleitungseinheit und zugehöriges Programm
DE102005052188B4 (de) Dienstqualitätssicherung mit Hilfe zentral erfasster Dienstgüteparameter

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06793168

Country of ref document: EP

Kind code of ref document: A1