WO2017178165A1 - Anordnung zum überprüfen von wenigstens einer firewall-einrichtung und verfahren zum schutz wenigstens eines datenempfängers - Google Patents

Anordnung zum überprüfen von wenigstens einer firewall-einrichtung und verfahren zum schutz wenigstens eines datenempfängers Download PDF

Info

Publication number
WO2017178165A1
WO2017178165A1 PCT/EP2017/055805 EP2017055805W WO2017178165A1 WO 2017178165 A1 WO2017178165 A1 WO 2017178165A1 EP 2017055805 W EP2017055805 W EP 2017055805W WO 2017178165 A1 WO2017178165 A1 WO 2017178165A1
Authority
WO
WIPO (PCT)
Prior art keywords
traffic
data
data traffic
unauthorized
arrangement
Prior art date
Application number
PCT/EP2017/055805
Other languages
English (en)
French (fr)
Inventor
Frank RENPENNING
Matthias Seifert
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to US16/092,468 priority Critical patent/US11044231B2/en
Priority to CN201780022816.6A priority patent/CN109076071B/zh
Priority to AU2017249589A priority patent/AU2017249589B2/en
Priority to EP17711115.0A priority patent/EP3417593A1/de
Publication of WO2017178165A1 publication Critical patent/WO2017178165A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection

Definitions

  • the invention relates to an arrangement for checking at least one firewall device, which is designed on the basis of predetermined rules for distinguishing between permitted and unauthorized data traffic in the direction of a data receiver and for blocking unauthorized data traffic and for permitting permitted data traffic.
  • the invention relates to a method for controlling at least one firewall device, in which the discrimination in a data traffic in the direction of a data receiver based choke ⁇ certain rules between an allowed and an illicit traffic, and unauthorized traffic blocked and permitted data traffic is transmitted.
  • Safety-critical systems such as the signal ⁇ network of a railway system or a network within a nuclear power plant, often have special security zones to which no direct data access is possible. Nevertheless, there is an increasing need for remote access to the system elements located in these security zones, for example for remote maintenance. Therefore, there is a desire to network security-relevant systems with conventional IT systems.
  • firewall devices In order to allow such secure access to safety-critical installations, firewall devices are known which block unauthorized data traffic in the direction of a data receiver located within a safety-critical installation. Since safety Berei- chen other monitoring requirements are considered in the normal IT field or in the office IT Security, are be ⁇ knew firewall equipment for traffic with data do not adequately receive in a security-relevant area.
  • the present invention solves this problem in that the arrangement mentioned at least one detection ⁇ device, which is designed to detect the transmitted by the firewall device data traffic, and at least one evaluation device for checking the detected by the detection device data traffic based on the predetermined Rules is formed has.
  • the invention solves the problem in that the transmitted data traffic is detected and checked for existing unauthorized data traffic.
  • the solution according to the invention has the advantage that, by checking the data traffic passed through the firewall device, a proof of the function of the firewall device is given and so also an application for security-relevant areas is permitted.
  • DE 10 2013 221 955 A1 describes a security gateway with a failure disclosure. In it there will be a review of whether the input and output data from ⁇ a VPN gateway are faulty equal, that encryption does not take place. An analysis of whether the firewall itself was reconfigured by an attack, but this can not be done.
  • the inventive solution can be developed further by favorable Fully ⁇ staltitch which are described below.
  • the arrangement may comprise at least one switch-off device, which is formed to interrupt the data traffic in the direction of the data receiver and can be activated at least by the off ⁇ values means.
  • the switch-off device which can be activated by the evaluation device. Failures of the firewall device can not be cause the Filter ⁇ tion of traffic stops and thus impermissible After ⁇ sent to the data receiver can get.
  • the arrangement may have at least one monitoring device connected to the evaluation device, which is designed to monitor an operational readiness of the evaluation device.
  • the monitoring device for activating the disconnection device can be configured when the non-operational readiness is detected.
  • the shutdown of data traffic to the data receiver is guaranteed, which represents the fulfillment of the so-called "fail close" request.
  • the monitoring device can be designed as a unit separate from the evaluation device.
  • the monitoring device and the evaluation device are realized on independent hardware components.
  • the monitoring device can be designed to trigger a restart of the evaluation device when a non-existent operational readiness is detected. This has the advantage that the security is further increased.
  • the monitoring device can be designed, for example, as a so-called watchdog timer, which is reset by the internal processes of the evaluation device at regular intervals. Does this happen Zuschset ⁇ zen not within a predetermined time, a so-called time-out period, an alarm is triggered, which is example ⁇ way central signaled and trigger the shutdown and can interrupt the data traffic to the data receiver.
  • a program code and a configuration of the evaluation device can be stored in a read-only memory, so that the initial state is restored upon restart and thus a previous manipulation or malfunction of the evaluation device is reversed.
  • the data traffic to the data receiver is advantageously interrupted by the switch-off device.
  • a restart of the evaluation device can also be performed at regular intervals. and / or detected anomalies in order to further increase the security of the arrangement.
  • the evaluation device can additionally have a monitoring function at the input, which ensures that intentionally lengthwise or otherwise modified packets in the data traffic do not impair the function of the evaluation device.
  • the data packet length is detected from the off ⁇ values means and on exceeding a
  • the arrangement can have at least one test data generator which is designed to generate a test data traffic having unauthorized data traffic in the direction of the data receiver.
  • the test data traffic can be reported to the evaluation device by the test data generator and displayed and therefore be expected by the evaluation device, so that no alarm or other protection response must be triggered.
  • the test traffic can be inserted, for example, at regular intervals in the data stream to the data, and verify the correct operation of the off ⁇ values facility.
  • the detection of the test traffic may reset another watchdog timer of the monitoring device, which triggers an alarm in the event of failure to recognize or miss the expected test traffic and / or activates the shutdown device and thus interrupts the data traffic to the data receiver.
  • the invention further relates to a protection device for protecting at least one data receiver belonging to a network with a high security requirement against unauthorized access Data traffic, comprising at least one firewall device, which is designed according to predetermined rules for distinguishing between permitted and unauthorized data traffic towards the data receiver and for blocking unauthorized data traffic and for permitting permitted data traffic.
  • the protective device has at least one arrangement according to one of the above embodiments.
  • the invention also relates to a network connection between a data transmitter and a data receiver, the data receiver belonging to a network with a high security requirement and the data transmitter sending data traffic to a network of low security requirement.
  • the network connection has at least one protection device according to the above embodiment.
  • the data traffic to the data receiver can be interrupted if the transmitted data traffic has unauthorized data traffic.
  • data traffic to the data receiver can be interrupted if the transmission and checking of the transmitted data traffic does not occur within a predetermined time.
  • this watchdog timer function already described above, the proper functioning of the method according to the invention is regularly checked, as also already described above.
  • a transmitted test data traffic which allowed data traffic are generated and checked whether the unauthorized traffic is detected.
  • data traffic to the data receiver may be interrupted if the unauthorized traffic of the test traffic is not detected within a predetermined time or the test traffic is not generated within a predetermined time.
  • This watchdog timer feature detects tampering and automatically stops traffic.
  • the data traffic can be transmitted with an end-to-end encryption in order to ensure the integrity of the content of the transmitted data and, if necessary, its confidentiality.
  • the decryption takes place in the data receiver, which can additionally check the content for plausibility.
  • end-to-end encrypted data the advantage of the solution according to the invention comes into play particularly since such messages can not be used, for example, with known security gateways.
  • FIG. 1 shows a schematic representation of an example ⁇ embodiment of a network connection according to the invention.
  • a network connection 1 according to the invention runs from a data transmitter 2 to a data receiver 3.
  • the network connection 1 comprises an IP network 4 and a protection device 5 according to the invention, which is arranged in front of the data receiver 3 and protects it against unauthorized data traffic.
  • the protection device 5 comprises a firewall device 6 and an arrangement 7 according to the invention, which is designed to check the firewall device 6.
  • the arrangement 7 according to the invention has a test data generator 8, a distribution means 9, a detection device 10, a shutdown device 11, an evaluation device 12 and a monitoring device 13.
  • the data receiver 3 is arranged within a safety zone 14, a safety-critical system 15.
  • the safety critical plant 15 is for example a railway technical plant or a power station and the guard region 14 is a region in which an increased Si ⁇ reliability applies traffic.
  • the requirements of the IEC 62443-3-3 standard apply to possible remote access from outside to this area.
  • the data transmitter 2 is located outside the security zone 14 of the safety-critical installation 15 in an area with a lower security requirement than in the area
  • the network connection 1 according to the invention between the data transmitter 2 and the data receiver 3 is used, for example, for remote maintenance of the safety-critical system 15.
  • the firewall device 6 is arranged in the data traffic in the direction of the data receiver 3 in front of the data receiver 3.
  • the firewall device 6 differentiates between permitted and unauthorized data traffic on the basis of predetermined rules, whereby the unauthorized data traffic for protecting the data receiver is blocked by the firewall device 6 and thus filtered out.
  • the remaining, permitted data traffic is allowed through and can reach the data receiver 3.
  • the data traffic 16 here in the exemplary embodiment contains end-to-end encrypted data 17 for the data.
  • the permitted data traffic comprises data 17 which may be sent from one or more permitted IP addresses to exactly one or more permitted IP addresses at the data receiver 3.
  • the surfaces protocol elements erforderli- for transmission are unencrypted on to ⁇ start and end of the data 17 to ensure standards-compliant About ⁇ transmission over the IP network 4, and additionally encrypted inside the data 17.
  • the predetermined rules based If the firewall device 6 distinguishes between permitted and unauthorized data traffic, this means that permissible IP addresses for the data transmitter 2 and the data receiver 3 are here.
  • the firewall device 6 therefore allows only permitted data traffic in the direction of the data receiver 3 if configured correctly the security zone 14 too.
  • the firewall device 6 may have been inadmissibly altered, for example by a hostile attack, so that it also allows unauthorized data traffic through. Such an error case of the firewall device 6 is possible and should therefore be prevented according to the invention.
  • the inventive arrangement 7 is provided between the firewall device 6 and the data receiver 3, which checks the correct functioning of the firewall device 6.
  • the data traffic 18 transmitted by the firewall device 6 is first detected by the detection device 10 within the arrangement 7.
  • the detection device 10 is embodied, for example, as a listening device, a so-called tap, which overhears the transmitted data traffic 18 without any reaction.
  • the overheard transmitted Since ⁇ data traffic 18 is checked by the detection means connected to the evaluation device 10 12th During the check by the evaluation device 12, it is checked that the transmitted data traffic 18 contains no unauthorized data traffic. If unauthorized traffic, ie unauthorized IP sender addresses or unauthorized IP destination addresses, port numbers, etc. are detected, only one Malfunction of the firewall device 6 be the cause. In such an error case, the evaluation device 12 activates the shutdown device 11 via a corresponding shutdown signal 19.
  • the shutdown device 11 is designed to interrupt the data traffic in the direction of the data receiver 3 and ar ⁇ processed analogously as a switch that interrupts the data traffic to the data receiver 3 when it is activated.
  • the switch-off signal 19 from the evaluation device 12 is open ⁇ ensures that a detected in the transmitted data 18 illicit traffic does not reach the data receiver 3 and the safety zone fourteenth
  • the evaluation device 12 is designed in the exemplary embodiment of the figure so that it is only configured locally and has no additional bidirectional network connection. Thus, the possibilities of attack against the evaluation device 12 are minimized and the reliability is increased by the erfindungsge ⁇ Permitted arrangement. 7
  • the monitoring device 13 is connected to the evaluation device 12, which is formed on a hardware independent of the evaluation device 12.
  • the monitoring device 13 has a first watchdog timer 20, which is reset by the evaluation device 12, for example, by their internal processes, at regular intervals. If the evaluation device 12 as example ⁇ by a hostile attack inoperable, the watchdog timer 20 is not reset and reaches a predetermined so-called time-out time. Upon reaching this time-out period, an alarm is triggered 21 and in addition the shutdown signal output 19 to the ⁇ From switching means 11 of the evaluation 12th Thereby, the error occurs, the evaluation device 12 leads to the interruption of the data traffic in the direction of the data receiver 3 and thus advantageous way ⁇ enough, to a safe state.
  • the alarm 21 (not shown) which ensures uniform ⁇ critical plant 15 triggered, for example in a control center.
  • a restart takes place automatically in the evaluation device 12 in the embodiment illustrated by way of example in the figure in order to restore the security of the system.
  • the evaluation device 12 has a read-only memory 22 which contains a program code and a configuration of the evaluation device 12. When restarting, the evaluation device 12 of this program code and configuration from the storage 22 rather is read, so that the output state of the evaluating device so ⁇ a previous tampering or malfunction of the evaluation unit 12 is made undone restored and 12.
  • the data traffic is interrupted by the switch-off device 11 and is released again only after withdrawal of the switch-off signal 23 by the watchdog timer 20.
  • the restart of the evaluation device 12 is performed automatically at regular intervals and in the event of detected anomalies.
  • test data generator 8 is provided according to the invention.
  • the test data generator 8 generates at regular intervals one or more defined test data in test data traffic 24.
  • the test data traffic 24 is fed by means of the distribution means 9, which is for example a switch, into the transmitted data traffic 18 in the direction of the data receiver 3.
  • the test traffic 24 contains unauthorized traffic that reaches the detector 10. Thereby, the proper func ⁇ on the detection device 10 and the evaluation device 12 are checked.
  • the test data generator 8 is connected directly to the evaluation device 12 and outputs a test data signal 25 when the test data traffic 24 has been fed into the transmitted data traffic 18. 12, expects the Ausnceeinrich ⁇ processing the test as supplied illicit traffic in transmitted data 18 and therefore does not trigger
  • the test data traffic 24 is generated, for example, at regular intervals by the test data generator 8 in order to check the correct function of the evaluation device 12.
  • the recognition of the test data traffic 24 by the evaluation device 12 resets another watchdog timer 26 of the monitoring device 13. If the test data traffic 24 is not recognized by the evaluation device 12 within a defined time-out time of the watchdog timer 26, the alarm 21 is triggered and additionally or alternatively a shutdown signal 27 is transmitted to the shutdown device 11, by the the traffic to the data receiver 3 is interrupted.
  • the evaluation device 12 can largely escape an attack from the outside because it is only connected to the data traffic via the detection device 10 and this only by a unidirectional, readout tap. Even if the evaluation device 12 is deactivated by a suitable data traffic, the monitoring device 13 would trigger the shutdown device 11 via the watchdog timers 20 and 26. If by attack the evaluation device 12 would be deactivated, this is already noticeable in the next test data traffic 24, which also causes the activation of the shutdown device 11. By means of the arrangement 7 according to the invention, a defective configuration change of the firewall device 6 is detected because a transmitted unauthorized data traffic is detected and blocked by the shutdown device 11.
  • the end-to-end encrypted data 17 can also be transferred via the inventive network ⁇ compound. 1

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft eine Anordnung (7) zum Überprüfen von wenigstens einer Firewall-Einrichtung (6) und Verfahren zum Schutz wenigstens eines Datenempfängers (3). Bei dem erfindungsgemäßen Verfahren wird in einem Datenverkehr (16) in Richtung des Datenempfängers (3) anhand vorbestimmter Regeln zwischen einem erlaubten und einem unerlaubten Datenverkehr unterschieden sowie unerlaubter Datenverkehr blockiert und erlaubter Datenverkehr durchgelassen. Um die Funktion der Firewall-Einrichtung (6) zu überprüfen, ist erfindungsgemäß vorgesehen, dass der durchgelassene Datenverkehr (18) unterbrochen wird, wenn der durchgelassene Datenverkehr (18) unerlaubten Datenverkehr aufweist.

Description

Beschreibung
Anordnung zum Überprüfen von wenigstens einer Firewall- Einrichtung und Verfahren zum Schutz wenigstens eines Daten- empfängers
Die Erfindung betrifft eine Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung, die anhand vorbestimmter Regeln zum Unterscheiden zwischen einem erlaubten und einem unerlaubten Datenverkehr in Richtung eines Datenempfängers sowie zum Blockieren von unerlaubtem Datenverkehr und zum Durchlassen von erlaubtem Datenverkehr ausgebildet ist.
Ferner betrifft die Erfindung ein Verfahren zum Überprüfen von wenigstens einer Firewall-Einrichtung, bei dem in einem Datenverkehr in Richtung eines Datenempfängers anhand vorbe¬ stimmter Regeln zwischen einem erlaubten und einem unerlaubten Datenverkehr unterschieden wird sowie unerlaubter Datenverkehr blockiert und erlaubter Datenverkehr durchgelassen wird.
Sicherheitskritische Anlagen, wie beispielsweise das Signal¬ netz einer Eisenbahnanlage oder ein Netzwerk innerhalb eines Atomkraftwerks, haben häufig besondere Sicherheitszonen, auf die kein direkter Datenzugriff möglich ist. Trotzdem besteht zunehmender Bedarf an einem Fernzugriff auf die in diesen Sicherheitszonen befindlichen Anlagenelemente, beispielsweise für eine Fernwartung. Daher besteht ein Wunsch an einer Vernetzung sicherheitsrelevanter Anlagen mit herkömmlichen IT- Systemen. Um einen solchen sicheren Zugriff auf sicherheitskritische Anlagen zu ermöglichen, sind Firewall-Einrichtungen bekannt, die einen unerlaubten Datenverkehr in Richtung eines innerhalb einer sicherheitskritischen Anlage befindlichen Datenempfängers blockieren. Da in sicherheitsrelevanten Berei- chen andere Überwachungsanforderungen gelten als im normalen IT-Bereich oder im Bereich der Office-IT-Security, sind be¬ kannte Firewall-Einrichtungen für den Datenverkehr mit Daten- empfängern in einem sicherheitsrelevanten Bereich nicht ausreichend .
Daher ist es die Aufgabe der vorliegenden Erfindung, eine An- Ordnung und ein Verfahren der eingangs genannten Art bereitzustellen, durch die ein in einem sicherheitsrelevanten Bereich befindlicher Datenempfänger durch eine Firewall- Einrichtung geschützt und die Anforderungen eines sicherheitsrelevanten Bereichs erfüllt sind.
Die vorliegende Erfindung löst diese Aufgabe dadurch, dass die eingangs genannte Anordnung wenigstens eine Erfassungs¬ einrichtung, die zum Erfassen des von der Firewall- Einrichtung durchgelassenen Datenverkehrs ausgebildet ist, und wenigstens eine Auswerteeinrichtung, die zum Überprüfen des von der Erfassungseinrichtung erfassten Datenverkehrs anhand der vorbestimmten Regeln ausgebildet ist, aufweist.
Für das eingangs genannte Verfahren löst die Erfindung die Aufgabe dadurch, dass der durchgelassene Datenverkehr erfasst wird und auf vorhandenen unerlaubten Datenverkehr überprüft wird .
Die erfindungsgemäße Lösung hat den Vorteil, dass durch eine Überprüfung des durch die Firewall-Einrichtung durchgelassenen Datenverkehrs ein Nachweis der Funktion der Firewall- Einrichtung gegeben ist und so auch ein Einsatz für sicherheitsrelevante Bereiche zulässig ist. Zwar ist beispielsweise in der DE 10 2013 221 955 AI ein Se- curity-Gateway mit einer Ausfalloffenbarung beschrieben. Darin findet eine Überprüfung statt, ob die Eingangs- und Aus¬ gangsdaten eines VPN-Gateways fehlerhaft gleich sind, d. h. eine Verschlüsselung nicht stattfindet. Eine Analyse, ob die Firewall selbst durch einen Angriff umkonfiguriert wurde, kann hiermit aber nicht erfolgen. Die erfindungsgemäße Lösung kann durch vorteilhafte Ausge¬ staltungen weiterentwickelt werden, die im Folgenden beschrieben sind. So kann die Anordnung wenigstens eine Abschalteinrichtung aufweisen, die zum Unterbrechen des Datenverkehrs in Richtung des Datenempfängers ausgebildet und wenigstens von der Aus¬ werteeinrichtung aktivierbar ist. Dies hat den Vorteil, dass der Datenverkehr zum Datenempfänger unterbrochen werden kann, wenn die Auswerteeinrichtung eine Fehlfunktion der Firewall- Einrichtung erkennt. Diese Fehlfunktion äußert sich durch unerlaubten Datenverkehr in dem von der Firewall-Einrichtung durchgelassenen Datenverkehr in Richtung des Datenempfängers, der von der Auswerteeinrichtung erfasst und überprüft wird. Durch die Abschalteinrichtung kann der Datenempfänger vor unerlaubtem Datenverkehr effektiv geschützt werden. Bei sicherheitsrelevanten Systemen ist es eine Basisanforderung, dass Ausfälle und Fehlfunktionen nicht gefährlich werden dürfen. Durch die von der Auswerteeinrichtung aktivierbare Abschalt- einrichtung ist dies gewährleistet. Ausfälle der Firewall- Einrichtung können somit nicht dazu führen, dass die Filte¬ rung des Datenverkehrs aufhört und damit unzulässige Nach¬ richten zum Datenempfänger gelangen können. Im sicherheitsrelevanten Bereich, beispielsweise einer Bahnanwendung, ist ein expliziter Sicherheitsnachweis zu führen, mit dem für alle Ausfälle unter anderem zu zeigen ist, dass sie zu einem si¬ cheren Zustand führen. Diese Anforderung wird durch die erfindungsgemäße Lösung dieser Ausführungsform gewährleistet. Durch diese Ausführungsform der Erfindung können auch Kompo- nenten der Office-IT-Security, beispielsweise die Firewall- Einrichtung, für eine Netzwerkanbindung zwischen einem sicheren Netz und einem unsicheren Netz eingesetzt werden.
In einer weiteren vorteilhaften Ausgestaltung kann die Anord- nung wenigstens eine mit der Auswerteeinrichtung verbundene Überwachungseinrichtung aufweisen, die zur Überwachung einer Betriebsbereitschaft der Auswerteeinrichtung ausgebildet ist. Dies hat den Vorteil, dass ein Ausfall der Auswerteeinrich- tung nicht unbemerkt bleibt, sondern von der Überwachungseinrichtung erfasst wird und entsprechende Maßnahmen eingeleitet werden können. So kann in einer vorteilhaften Weiterbildung die Überwachungseinrichtung zum Aktivieren der Abschaltein- richtung bei festgestellter nicht bestehender Betriebsbereitschaft ausgestaltet sein. So ist bei einer festgestellten Fehlfunktion das Abschalten des Datenverkehrs zum Datenempfänger gewährleistet, was die Erfüllung der sogenannten „Fail Close"-Anforderung darstellt.
Um eine besonders sichere Ausführungsform der Erfindung herzustellen, kann die Überwachungseinrichtung als eine von der Auswerteeinrichtung separate Einheit ausgestaltet sein. Dabei sind beispielsweise mindestens die Überwachungseinrichtung und die Auswerteeinrichtung auf unabhängigen Hardware- Komponenten realisiert. Ferner kann die Überwachungseinrichtung zum Auslösen eines Neustarts der Auswerteeinrichtung bei festgestellter nichtbestehender Betriebsbereitschaft ausgebildet sein. Dies hat den Vorteil, dass die Sicherheit weiter erhöht wird. Die Überwachungseinrichtung kann beispielsweise als ein sogenannter Watch-Dog-Timer ausgebildet sein, der von den internen Prozessen der Auswerteeinrichtung in regelmäßigen Abständen zurückgesetzt wird. Geschieht dieses Zurückset¬ zen nicht innerhalb einer vorbestimmten Zeit, einer sogenann- ten Time-Out-Zeit , wird ein Alarm ausgelöst, der beispiels¬ weise zentral signalisiert wird und die Abschalteinrichtung auslösen und damit den Datenverkehr zum Datenempfänger unterbrechen kann. Danach wird die Auswerteeinrichtung auf sichere Weise neu gestartet (Secure-Boot) . Ein Programmcode und eine Konfiguration der Auswerteeinrichtung kann in einem nur lesbar eingerichteten Speicher abgelegt sein, so dass beim Neustart der Ausgangszustand wieder hergestellt und damit eine vorherige Manipulation oder Fehlfunktion der Auswerteeinrichtung rückgängig gemacht wird. Während dieses Neustarts und der Fehlererkennung durch die Überwachungseinrichtung ist der Datenverkehr zum Datenempfänger vorteilhafterweise durch die Abschalteinrichtung unterbrochen. Ein Neustart der Auswerteeinrichtung kann darüber hinaus auch in regelmäßigen Abstän- den und/oder bei erkannten Anomalien durchgeführt werden, um die Sicherheit der Anordnung weiter zu erhöhen.
Die Auswerteeinrichtung kann zusätzlich am Eingang eine Über- wachungsfunktion aufweisen, die sicherstellt, dass auch absichtlich in der Länge oder anderweitig veränderte Pakete im Datenverkehr die Auswerteeinrichtung nicht in ihrer Funktion beeinträchtigen. Dabei wird die Datenpaketlänge von der Aus¬ werteeinrichtung erfasst und bei Überschreitung einer
parametrierbaren Maximallänge und/oder auch bei einer Überschreitung einer Minimallänge ein Alarm ausgelöst und der Da¬ tenverkehr durch die Abschalteinrichtung unterbrochen. Weiterhin kann das Vorhandensein und die Sinnfälligkeit der Pro¬ tokollelemente des Datenpakets überprüft werden.
In einer weiteren vorteilhaften Ausgestaltung kann die Anordnung wenigstens einen Testdatengenerator aufweisen, der zum Erzeugen eines einen unerlaubten Datenverkehr aufweisenden Test-Datenverkehrs in Richtung des Datenempfängers ausgebil- det ist. Dies hat den Vorteil, dass die Funktion der Auswer¬ teeinrichtung auch bei korrekt arbeitender Firewall- Einrichtung geprüft wird. Der Test-Datenverkehr kann der Auswerteeinrichtung vom Testdatengenerator gemeldet und angezeigt und daher von der Auswerteeinrichtung erwartet werden, so dass kein Alarm oder eine andere Schutzreaktion ausgelöst werden muss. Der Test-Datenverkehr kann beispielsweise in regelmäßigen Abständen in den Datenstrom zum Datenempfänger eingefügt werden und überprüft die korrekte Funktion der Aus¬ werteeinrichtung. Die Erkennung des Test-Datenverkehrs kann einen weiteren Watch-Dog-Timer der Überwachungseinrichtung zurücksetzen, der bei Nichterkennen oder Ausbleiben des erwarteten Test-Datenverkehrs einen Alarm auslöst und/oder die Abschalteinrichtung aktiviert und damit den Datenverkehr zum Datenempfänger unterbricht.
Die Erfindung betrifft weiterhin eine Schutzvorrichtung zum Schutz wenigstens eines zu einem Netzwerk mit hoher Sicherheitsanforderung gehörigen Datenempfängers vor unerlaubtem Datenverkehr, mit wenigstens einer Firewall-Einrichtung, die anhand vorbestimmter Regeln zum Unterscheiden zwischen einem erlaubten und einem unerlaubten Datenverkehr in Richtung des Datenempfängers sowie zum Blockieren von unerlaubten Datenverkehr und zum Durchlassen von erlaubtem Datenverkehr ausgebildet ist. Um eine hohe Sicherheit zu gewährleisten und An¬ forderungen eines sicherheitsrelevanten Bereichs zu erfüllen, weist die Schutzvorrichtung wenigstens eine Anordnung nach einer der oben genannten Ausführungsformen auf.
Die Erfindung betrifft außerdem eine Netzwerkverbindung zwischen einem Datensender und einem Datenempfänger, wobei der Datenempfänger zu einem Netzwerk mit hoher Sicherheitsanforderung und der einen Datenverkehr sendende Datensender zu einem Netzwerk niedriger Sicherheitsanforderung gehört. Um die Sicherheit zu erhöhen und Anforderungen eines sicherheitsre¬ levanten Bereichs zu erfüllen, ist es erfindungsgemäß vorge¬ sehen, dass die Netzwerkverbindung wenigstens eine Schutzvorrichtung nach der oben genannten Ausführungsform aufweist.
In einer vorteilhaften Ausgestaltung des erfindungsgemäßen Verfahrens kann der Datenverkehr zum Datenempfänger unterbrochen werden, wenn der durchgelassene Datenverkehr unerlaubten Datenverkehr aufweist. Dies hat den Vorteil, dass eine soge¬ nannte Fail-Save-Funktion erfüllt ist, die bei erhöhten
Sicherheitsanforderungen gewährleistet sein muss, wie oben bereits beschrieben.
Ferner kann der Datenverkehr zum Datenempfänger unterbrochen werden, wenn das Durchlassen und Überprüfen des durchgelassenen Datenverkehrs nicht innerhalb einer vorbestimmten Zeit erfolgt. Durch diese oben bereits beschriebene Watch-Dog- Timer-Funktion wird die ordnungsgemäße Funktion des erfindungsgemäßen Verfahrens regelmäßig überprüft, wie ebenfalls oben bereits beschrieben.
Um die Sicherheit des erfindungsgemäßen Verfahrens weiter zu erhöhen, kann ein durchgelassener Test-Datenverkehr, der un- erlaubten Datenverkehr aufweist, erzeugt werden und geprüft werden, ob der unerlaubte Datenverkehr erkannt wird. Ferner kann der Datenverkehr zum Datenempfänger unterbrochen werden, wenn der unerlaubte Datenverkehr des Test-Datenverkehrs in- nerhalb einer vorbestimmten Zeit nicht erkannt wird oder der Test-Datenverkehr innerhalb einer vorbestimmten Zeit nicht erzeugt wird. Durch diese Watch-Dog-Timer-Funktion werden Manipulationen erkannt und führen zum automatischen Unterbrechen des Datenverkehrs.
Schließlich kann der Datenverkehr mit einer Ende-zu-Ende- Verschlüsselung übertragen werden, um die inhaltliche Integrität der übertragnen Daten und ggf. deren Vertraulichkeit sicher zu stellen. Die Entschlüsselung findet dabei im Daten- empfänger statt, der zusätzlich den Inhalt auf Plausibilität prüfen kann. Bei Ende-zu-Ende-verschlüsselten Daten kommt der Vorteil der erfindungsgemäßen Lösung besonders zum Tragen, da solche Nachrichten beispielsweise mit bekannten Security- Gateways nicht genutzt werden können.
Im Folgenden wird die Erfindung mit Bezug auf die beigefügte Zeichnung und die darin dargestellte beispielhafte Ausfüh¬ rungsform beschrieben. Die Figur zeigt eine schematische Darstellung einer beispiel¬ haften Ausführungsform einer erfindungsgemäßen Netzwerkverbindung .
Eine erfindungsgemäße Netzwerkverbindung 1 verläuft von einem Datensender 2 zu einem Datenempfänger 3. Die Netzwerkverbindung 1 umfasst ein IP-Netzwerk 4 und eine erfindungsgemäße Schutzvorrichtung 5, die vor dem Datenempfänger 3 angeordnet ist und diesen vor unerlaubtem Datenverkehr schützt. Die Schutzvorrichtung 5 umfasst eine Firewall-Einrichtung 6 und eine erfindungsgemäße Anordnung 7, die zum Überprüfen der Firewall-Einrichtung 6 ausgebildet ist. Die erfindungsgemäße Anordnung 7 weist einen Test- Datengenerator 8, ein Verteilmittel 9, eine Erfassungseinrichtung 10, eine Abschalteinrichtung 11, eine Auswerteeinrichtung 12 und eine Überwachungseinrichtung 13 auf.
Bei der in der Figur dargestellten beispielhaften Ausführungsform ist der Datenempfänger 3 innerhalb einer Sicherheitszone 14, einer sicherheitskritischen Anlage 15 angeordnet. Die sicherheitskritische Anlage 15 ist beispielsweise eine eisenbahntechnische Anlage oder ein Kraftwerk und die Sicherheitszone 14 ist ein Bereich, in dem eine erhöhte Si¬ cherheit im Datenverkehr gilt. Für einen möglichen Fernzugriff von außen auf diesen Bereich gelten beispielsweise die Anforderungen der Norm IEC 62443-3-3.
Der Datensender 2 befindet sich außerhalb der Sicherheitszone 14 der sicherheitskritischen Anlage 15 in einem Bereich mit einer niedrigeren Sicherheitsanforderung als sie in der
Sicherheitszone 14 gilt. Die erfindungsgemäße Netzwerkverbin- dung 1 zwischen dem Datensender 2 und dem Datenempfänger 3 wird beispielsweise für eine Fernwartung der sicherheitskritischen Anlage 15 verwendet. Das IP-Netzwerk 4, über das die Netzverbindung 1 hergestellt wird, ist beispielsweise das In¬ ternet oder ein anderes Datennetzwerk.
Um den Datenempfänger 3 vor einem unerlaubten Datenverkehr zu schützen, ist in dem Datenverkehr in Richtung des Datenempfängers 3 vor dem Datenempfänger 3 die Firewall-Einrichtung 6 angeordnet .
Die Firewall-Einrichtung 6 unterscheidet anhand vorbestimmter Regeln zwischen einem erlaubten und einem unerlaubten Datenverkehr, wobei der unerlaubte Datenverkehr zum Schutz des Datenempfängers von der Firewall-Einrichtung 6 blockiert und somit herausgefiltert wird. Der übrige, erlaubte Datenverkehr wird durchgelassen und kann zum Datenempfänger 3 gelangen. Der Datenverkehr 16 enthält hier bei der beispielhaften Ausführungsform Ende-zu-Ende-verschlüsselte Daten 17 für den Da- tenempfänger 3. Der erlaubte Datenverkehr umfasst Daten 17, die von einer oder mehreren erlaubten IP-Adressen an genau eine oder mehrere erlaubte IP-Adressen beim Datenempfänger 3 gesendet werden dürfen. Die für die Übertragung erforderli- chen Protokollelemente befinden sich unverschlüsselt am An¬ fang und am Ende der Daten 17, um eine standardkonforme Über¬ tragung über das IP-Netzwerk 4 sicherzustellen, und zusätzlich verschlüsselt im Innern der Daten 17. Die vorbestimmten Regeln, anhand derer die Firewall-Einrichtung 6 zwischen er- laubten und unerlaubten Datenverkehr unterscheidet, sind somit hier zulässige IP-Adressen für den Datensender 2 und den Datenempfänger 3. Die Firewall-Einrichtung 6 lässt bei korrekter Konfiguration also nur erlaubten Datenverkehr in Richtung des Datenempfängers 3 in die Sicherheitszone 14 zu. Al- lerdings kann die Firewall-Einrichtung 6 beispielsweise durch einen feindseligen Angriff unzulässig verändert worden sein, so dass diese auch unerlaubten Datenverkehr durchlässt. Ein solcher Fehlerfall der Firewall-Einrichtung 6 ist möglich und soll daher erfindungsgemäß verhindert werden.
Erfindungsgemäß ist zwischen der Firewall-Einrichtung 6 und dem Datenempfänger 3 die erfindungsgemäße Anordnung 7 vorgesehen, die die korrekte Funktion der Firewall-Einrichtung 6 überprüft .
Der von der Firewall-Einrichtung 6 durchgelassene Datenverkehr 18 wird innerhalb der Anordnung 7 zunächst von der Erfassungseinrichtung 10 erfasst. Die Erfassungseinrichtung 10 ist beispielsweise als eine Mithöreinrichtung, ein sogenann- ter Tap, ausgebildet, die den durchgelassenen Datenverkehr 18 rückwirkungsfrei mithört. Der mitgehörte durchgelassene Da¬ tenverkehr 18 wird von der mit der Erfassungseinrichtung 10 verbundenen Auswerteeinrichtung 12 überprüft. Bei der Überprüfung durch die Auswerteeinrichtung 12 wird kontrolliert, dass der durchgelassene Datenverkehr 18 keinen unerlaubten Datenverkehr enthält. Falls unerlaubter Datenverkehr, also unerlaubte IP-Absenderadressen oder unerlaubte IP- Zieladressen, Portnummern, etc. erkannt werden, kann nur eine Fehlfunktion der Firewall-Einrichtung 6 die Ursache sein. In einem solchen Fehlerfall aktiviert die Auswerteeinrichtung 12 die Abschalteinrichtung 11 über ein entsprechendes Abschaltsignal 19.
Die Abschalteinrichtung 11 ist zum Unterbrechen des Datenverkehrs in Richtung des Datenempfängers 3 ausgebildet und ar¬ beitet sinngemäß wie ein Schalter, der den Datenverkehr zum Datenempfänger 3 unterbricht, wenn er aktiviert wird. Durch das Abschaltsignal 19 von der Auswerteeinrichtung 12 ist ge¬ währleistet, dass ein im durchgelassenen Datenverkehr 18 erkannter unerlaubter Datenverkehr nicht den Datenempfänger 3 und die Sicherheitszone 14 erreicht. Die Auswerteeinrichtung 12 ist in der beispielhaften Ausführungsform der Figur so ausgestaltet, dass sie nur lokal konfiguriert wird und keine zusätzliche bidirektionale Netzwerkanbindung besitzt. Dadurch werden die Angriffsmöglichkeiten gegen die Auswerteeinrichtung 12 minimiert und die Sicherheit durch die erfindungsge¬ mäße Anordnung 7 erhöht.
Ferner ist die Überwachungseinrichtung 13 mit der Auswerteeinrichtung 12 verbunden, die auf einer von der Auswerteeinrichtung 12 unabhängigen Hardware ausgebildet ist. Die Überwachungseinrichtung 13 weist einen ersten Watch-Dog-Timer 20 auf, der durch die Auswerteeinrichtung 12, beispielsweise von deren internen Prozessen, in regelmäßigen Zeitabständen zurückgesetzt wird. Ist die Auswerteeinrichtung 12 beispiels¬ weise durch einen feindseligen Angriff funktionsunfähig, wird der Watch-Dog-Timer 20 nicht zurückgesetzt und erreicht eine vorbestimmte sogenannte Time-Out-Zeit . Bei Erreichen dieser Time-Out-Zeit wird von der Auswerteeinrichtung 12 ein Alarm 21 ausgelöst und zusätzlich das Abschaltsignal 19 an die Ab¬ schalteinrichtung 11 ausgegeben. Dadurch führt der Fehlerfall der Auswerteeinrichtung 12 zur Unterbrechung des Datenver- kehrs in Richtung des Datenempfängers 3 und somit vorteil¬ hafterweise zu einem sicheren Zustand. Der Alarm 21 kann beispielsweise in einer Zentrale (nicht dargestellt) der sicher¬ heitskritischen Anlage 15 ausgelöst werden. Nach dem Auslösen des Alarms 21 erfolgt bei der Auswerteeinrichtung 12 in der in der Figur beispielhaft dargestellten Ausführungsform automatisch ein Neustart, um die Sicherheit des Systems wieder herzustellen. Die Auswerteeinrichtung 12 weist einen nur lesbar ausgebildeten Speicher 22 auf, der einen Programmcode und eine Konfiguration der Auswerteeinrichtung 12 enthält. Beim Neustart der Auswerteeinrichtung 12 wird dieser Programmcode und die Konfiguration aus dem Spei- eher 22 ausgelesen, so dass der Ausgangszustand der Auswerte¬ einrichtung 12 wieder hergestellt und damit eine vorherige Manipulation oder Fehlfunktion der Auswerteeinrichtung 12 rückgängig gemacht wird. Während der erkannten Fehlfunktion und des Neustarts der Auswerteeinrichtung 12 bleibt der Da- tenverkehr durch die Abschalteinrichtung 11 unterbrochen und wird erst nach Rücknahme des Abschaltsignals 23 durch den Watch-Dog-Timer 20 wieder freigegeben. Zusätzlich wird bei der beispielhaften Ausführungsform in der Figur der Neustart der Auswerteeinrichtung 12 in regelmäßigen Abständen und bei erkannten Anomalien automatisch durchgeführt.
Ferner kann über eine Überwachungsfunktion am Eingang der Auswerteeinrichtung 12 sichergestellt werden, dass auch absichtlich in der Länge oder anderweitig veränderte Daten 17 im durchgelassenen Datenverkehr 18 die Auswerteeinrichtung 12 nicht in ihrer Funktion beeinträchtigen. Dabei wird die Da- tenpaketlänge von der Auswerteeinrichtung 12 erfasst und bei Überschreitung einer parametrierbaren Maximallänge und/oder auch bei einer Überschreitung einer Minimallänge ein Alarm ausgelöst und der Datenverkehr durch die Abschalteinrichtung 11 unterbrochen. Weiterhin kann das Vorhandensein und die Sinnfälligkeit der Protokollelemente des Datenpakets über¬ prüft werden. Um die ordnungsgemäße Funktion der erfindungsgemäßen Anordnung 7 regelmäßig zu prüfen, ist der Testdatengenerator 8 erfindungsgemäß vorgesehen. Der Testdatengenerator 8 erzeugt in regelmäßigen Zeitabständen ein oder mehrere definierte Test- daten in einem Test-Datenverkehr 24. Der Test-Datenverkehr 24 wird mittels des Verteilmittels 9, das beispielsweise ein Switch ist, in den durchgelassenen Datenverkehr 18 in Richtung des Datenempfängers 3 eingespeist. Der Test-Datenverkehr 24 enthält unerlaubten Datenverkehr, der die Erfassungseinrichtung 10 erreicht. Dadurch kann die ordnungsgemäße Funkti¬ on der Erfassungseinrichtung 10 und der Auswerteeinrichtung 12 geprüft werden. Der Testdatengenerator 8 ist direkt mit der Auswerteeinrichtung 12 verbunden und gibt ein Testdatensignal 25 aus, wenn der Test-Datenverkehr 24 in den durchgelassenen Datenverkehr 18 eingespeist wurde. Dadurch erwartet die Auswerteeinrich¬ tung 12 den testweise eingespeisten unerlaubten Datenverkehr im durchgelassenen Datenverkehr 18 und löst daher keinen
Alarm 21 aus und aktiviert die Abschalteinrichtung 11 nicht.
Der Test-Datenverkehr 24 wird beispielsweise in regelmäßigen Abständen von dem Testdatengenerator 8 erzeugt, um die kor- rekte Funktion der Auswerteeinrichtung 12 zu prüfen. Das Erkennen des Test-Datenverkehrs 24 durch die Auswerteeinrichtung 12 setzt einen weiteren Watch-Dog-Timer 26 der Überwachungseinrichtung 13 zurück. Wird der Test-Datenverkehr 24 von der Auswerteeinrichtung 12 nicht innerhalb einer festge- legten Time-Out-Zeit des Watch-Dog-Timers 26 erkannt, wird der Alarm 21 ausgelöst und zusätzlich oder alternativ ein Abschaltsignal 27 an die Abschalteinrichtung 11 übermittelt, durch das der Datenverkehr zum Datenempfänger 3 unterbrochen wird .
Die erfindungsgemäße Auswerteeinrichtung 12 kann sich weitgehend einem Angriff von außen entziehen, weil sie lediglich über die Erfassungseinrichtung 10 am Datenverkehr angeschlossen ist und dies auch nur durch einen unidirektionalen, le- senden Abgriff. Selbst wenn die Auswerteeinrichtung 12 durch einen geeigneten Datenverkehr deaktiviert wird, würde die Überwachungseinrichtung 13 über die Watch-Dog-Timer 20 und 26 die Abschalteinrichtung 11 auslösen. Wenn durch einen Angriff die Auswerteeinrichtung 12 deaktiviert werden würde, wird dies bereits beim nächsten Test-Datenverkehr 24 auffällig, was ebenfalls die Aktivierung der Abschalteinrichtung 11 bewirkt. Durch die erfindungsgemäße Anordnung 7 wird eine schadhafte Konfigurationsänderung der Firewall-Einrichtung 6 erkannt, weil ein durchgelassener unerlaubter Datenverkehr erkannt und durch die Abschalteinrichtung 11 blockiert wird. Vorteilhafterweise können über die erfindungsgemäße Netzwerk¬ verbindung 1 auch Ende-zu-Ende-verschlüsselte Daten 17 über- tragen werden.

Claims

Patentansprüche
1. Anordnung (7) zum Überprüfen von wenigstens einer Firewall-Einrichtung (6), die anhand vorbestimmter Regeln zum Un- terscheiden zwischen einem erlaubten und einem unerlaubten Datenverkehr in Richtung eines Datenempfängers (3) sowie zum Blockieren von unerlaubtem Datenverkehr und zum Durchlassen von erlaubtem Datenverkehr ausgebildet ist,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung (7) wenigstens eine Erfassungseinrichtung (10), die zum Erfassen des von der Firewall-Einrichtung (6) durchgelassenen Datenverkehrs (18) ausgebildet ist, und wenigstens eine Auswerteeinrichtung (12), die zum Überprüfen des von der Erfassungseinrichtung (10) erfassten Datenverkehrs anhand der vorbestimmten Regeln ausgebildet ist, aufweist.
2. Anordnung (7) nach Anspruch 1,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung (7) wenigstens eine Abschalteinrichtung (11) aufweist, die zum Unterbrechen des Datenverkehrs in Richtung des Datenempfängers (3) ausgebildet und wenigstens von der Auswerteeinrichtung (12) aktivierbar ist.
3. Anordnung (7) nach Anspruch 1 oder 2,
d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung (7) wenigstens eine mit der Auswerteeinrichtung (12) verbundene Überwachungseinrichtung (13) aufweist, die zur Überwachung einer Betriebsbereitschaft der Auswerteeinrichtung (12) ausgebildet ist.
4. Anordnung (7) nach Anspruch 2 und 3,
d a d u r c h g e k e n n z e i c h n e t , dass
die Überwachungseinrichtung (13) zum Aktivieren der Abschalteinrichtung (11) bei festgestellter nicht bestehender Be- triebsbereitschaft ausgestaltet ist.
5. Anordnung (7) nach Anspruch 3 oder 4, d a d u r c h g e k e n n z e i c h n e t , dass
die Überwachungseinrichtung (13) als eine von der Auswerteeinrichtung (12) separate Einheit ausgestaltet ist.
6. Anordnung (7) nach Anspruch 3, 4 oder 5,
d a d u r c h g e k e n n z e i c h n e t , dass
die Überwachungseinrichtung (13) zum Auslösen eines Neustarts der Auswerteeinrichtung (12) bei festgestellter nicht bestehender Betriebsbereitschaft ausgebildet ist.
7. Anordnung (7) nach einem der oben genannten Ansprüche, d a d u r c h g e k e n n z e i c h n e t , dass
die Anordnung (7) wenigstens einen Testdatengenerator (8) aufweist, der zum Erzeugen eines einen unerlaubten Datenver- kehr aufweisenden Test-Datenverkehrs (24) in Richtung des Datenempfängers (3) ausgebildet ist.
8. Schutzvorrichtung (5) zum Schutz wenigstens eines zu einem Netzwerk mit hoher Sicherheitsanforderung gehörigen Datenemp- fängers (3) vor unerlaubtem Datenverkehr,
mit wenigstens einer Firewall-Einrichtung (6), die anhand vorbestimmter Regeln zum Unterscheiden zwischen einem erlaubten und einem unerlaubten Datenverkehr in Richtung des Datenempfängers (3) sowie zum Blockieren von unerlaubtem Datenver- kehr und zum Durchlassen von erlaubtem Datenverkehr ausgebildet ist,
d a d u r c h g e k e n n z e i c h n e t , dass
die Schutzvorrichtung (5) wenigstens eine Anordnung (7) nach einem der oben genannten Ansprüche aufweist.
9. Netzwerkverbindung (1) zwischen einem Datensender (2) und einem Datenempfänger (3) , wobei der Datenempfänger (3) zu einem Netzwerk mit hoher Sicherheitsanforderung und der einen Datenverkehr sendende Datensender (2) zu einem Netzwerk mit niedrigerer Sicherheitsanforderung gehört,
d a d u r c h g e k e n n z e i c h n e t , dass
die Netzwerkverbindung (1) wenigstens eine Schutzvorrichtung (5) nach Anspruch 8 aufweist.
10. Verfahren zum Überprüfen von wenigstens einer Firewall- Einrichtung (6),
bei dem in einem Datenverkehr in Richtung eines Datenempfän- gers (3) anhand vorbestimmter Regeln zwischen einem erlaubten und einem unerlaubten Datenverkehr unterschieden wird sowie unerlaubter Datenverkehr blockiert und erlaubter Datenverkehr durchgelassen wird,
d a d u r c h g e k e n n z e i c h n e t , dass
der durchgelassene Datenverkehr erfasst wird und auf vorhan¬ denen unerlaubten Datenverkehr überprüft wird.
11. Verfahren nach Anspruch 10,
d a d u r c h g e k e n n z e i c h n e t , dass
der Datenverkehr zum Datenempfänger (3) unterbrochen wird, wenn der durchgelassene Datenverkehr unerlaubten Datenverkehr aufweist .
12. Verfahren nach Anspruch 10 oder 11,
d a d u r c h g e k e n n z e i c h n e t , dass
der Datenverkehr zum Datenempfänger (3) unterbrochen wird, wenn das Durchlassen und Überprüfen des durchgelassenen Datenverkehrs nicht innerhalb einer vorbestimmten Zeit erfolgt.
13. Verfahren nach einem der Ansprüche 10 bis 12,
d a d u r c h g e k e n n z e i c h n e t , dass
ein durchgelassener Test-Datenverkehr (24), der unerlaubten Datenverkehr aufweist, erzeugt wird und geprüft wird, ob der unerlaubte Datenverkehr erkannt wird.
14. Verfahren nach Anspruch 13,
d a d u r c h g e k e n n z e i c h n e t , dass
der Datenverkehr zum Datenempfänger (3) unterbrochen wird, wenn der unerlaubte Datenverkehr des Test-Datenverkehrs (24) innerhalb einer vorbestimmten Zeit nicht erkannt wird oder der Test-Datenverkehr innerhalb einer vorbestimmten Zeit nicht erzeugt wird.
15. Verfahren nach einem der Ansprüche 10 bis 14, d a d u r c h g e k e n n z e i c h n e t , dass
der Datenverkehr mit einer Ende-zu-Ende-Verschlüsselung übertragen wird.
PCT/EP2017/055805 2016-04-11 2017-03-13 Anordnung zum überprüfen von wenigstens einer firewall-einrichtung und verfahren zum schutz wenigstens eines datenempfängers WO2017178165A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
US16/092,468 US11044231B2 (en) 2016-04-11 2017-03-13 Assembly for checking at least one firewall device, and method for protecting at least one data receiver
CN201780022816.6A CN109076071B (zh) 2016-04-11 2017-03-13 用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法
AU2017249589A AU2017249589B2 (en) 2016-04-11 2017-03-13 Assembly for checking at least one firewall device, and method for protecting at least one data receiver
EP17711115.0A EP3417593A1 (de) 2016-04-11 2017-03-13 Anordnung zum überprüfen von wenigstens einer firewall-einrichtung und verfahren zum schutz wenigstens eines datenempfängers

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016205983.1 2016-04-11
DE102016205983.1A DE102016205983A1 (de) 2016-04-11 2016-04-11 Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung und Verfahren zum Schutz wenigstens eines Datenempfängers

Publications (1)

Publication Number Publication Date
WO2017178165A1 true WO2017178165A1 (de) 2017-10-19

Family

ID=58347329

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/055805 WO2017178165A1 (de) 2016-04-11 2017-03-13 Anordnung zum überprüfen von wenigstens einer firewall-einrichtung und verfahren zum schutz wenigstens eines datenempfängers

Country Status (6)

Country Link
US (1) US11044231B2 (de)
EP (1) EP3417593A1 (de)
CN (1) CN109076071B (de)
AU (1) AU2017249589B2 (de)
DE (1) DE102016205983A1 (de)
WO (1) WO2017178165A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102016215243A1 (de) 2016-08-16 2018-02-22 Siemens Aktiengesellschaft Anordnung mit einer technischen Anlage sowie Verfahren zu deren Betrieb

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050076235A1 (en) * 2003-10-03 2005-04-07 Ormazabal Gaston S. Network firewall test methods and apparatus
EP2154827A1 (de) * 2008-08-14 2010-02-17 Alcatel Lucent Ein selbst-wiederherstellendes Netzwerkelement
DE102013214522A1 (de) * 2013-07-25 2015-01-29 Siemens Aktiengesellschaft Überwachung einer Filterfunktionalität einer Netzwerkfiltereinrichtung
DE102013216847A1 (de) * 2013-08-23 2015-02-26 Siemens Aktiengesellschaft Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit
DE102013221955A1 (de) 2013-10-29 2015-05-21 Siemens Aktiengesellschaft Sicherheitsrelevantes System

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020129355A1 (en) * 2001-03-01 2002-09-12 Mike Velten Method and system for monitoring an apparatus for a computer
WO2003028335A1 (de) * 2001-09-25 2003-04-03 Siemens Aktiengesellschaft Verfahren zur übertragung von daten in einem paketorientierten datennetz
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US6898632B2 (en) * 2003-03-31 2005-05-24 Finisar Corporation Network security tap for use with intrusion detection system
US7076393B2 (en) * 2003-10-03 2006-07-11 Verizon Services Corp. Methods and apparatus for testing dynamic network firewalls
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
ES2354632T3 (es) * 2006-06-03 2011-03-16 B. BRAUN MEDIZINELEKTRONIK GMBH & CO. KG Dispositivo y procedimiento para la protección de un aparato médico y de un paciente tratado con dicho aparato, contra influencias peligrosas procedentes de una red de comunicaciones.
CN100514921C (zh) 2007-01-31 2009-07-15 华为技术有限公司 一种网络流量异常检测方法和系统
US7929449B2 (en) * 2008-05-30 2011-04-19 International Business Machines Corporation System, method and program for determining failure in network communication
US20100005263A1 (en) * 2008-07-04 2010-01-07 Huawei Technologies Co., Ltd. Information backup method, firewall and network system
CN102420767B (zh) 2011-12-15 2014-07-02 北京星网锐捷网络技术有限公司 转发路径切换方法、装置及网络设备
DE102013219698A1 (de) * 2013-09-30 2015-04-02 Siemens Aktiengesellschaft Filtern eines Datenpaketes durch eine Netzwerkfiltereinrichtung
CN104252398A (zh) 2013-12-04 2014-12-31 深圳市华傲数据技术有限公司 一种数据防火墙系统修复数据方法和系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050076235A1 (en) * 2003-10-03 2005-04-07 Ormazabal Gaston S. Network firewall test methods and apparatus
EP2154827A1 (de) * 2008-08-14 2010-02-17 Alcatel Lucent Ein selbst-wiederherstellendes Netzwerkelement
DE102013214522A1 (de) * 2013-07-25 2015-01-29 Siemens Aktiengesellschaft Überwachung einer Filterfunktionalität einer Netzwerkfiltereinrichtung
DE102013216847A1 (de) * 2013-08-23 2015-02-26 Siemens Aktiengesellschaft Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit
DE102013221955A1 (de) 2013-10-29 2015-05-21 Siemens Aktiengesellschaft Sicherheitsrelevantes System

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200314066A1 (en) * 2019-03-29 2020-10-01 Cloudflare, Inc. Validating firewall rules using data at rest

Also Published As

Publication number Publication date
AU2017249589B2 (en) 2021-07-29
CN109076071A (zh) 2018-12-21
EP3417593A1 (de) 2018-12-26
AU2017249589A1 (en) 2018-10-04
US20190166097A1 (en) 2019-05-30
DE102016205983A1 (de) 2017-10-12
CN109076071B (zh) 2021-10-12
US11044231B2 (en) 2021-06-22

Similar Documents

Publication Publication Date Title
EP3001884B1 (de) Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit
EP2577903B1 (de) Verfahren und system zur manipulationssicheren übertragung von steuerdaten
DE19952527C2 (de) Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen
DE102011002706B4 (de) Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät
DE102018103772A1 (de) Überwachungssystem für eine Schutzeinrichtung und Schutzeinrichtung
WO2017178165A1 (de) Anordnung zum überprüfen von wenigstens einer firewall-einrichtung und verfahren zum schutz wenigstens eines datenempfängers
EP3688958B1 (de) System und verfahren zum geschützten übertragen von daten
DE4113959A1 (de) Ueberwachungseinrichtung
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
EP1986062B1 (de) Steuervorrichtung und Steuerverfahren für ein elektrisches Haushaltsgerät
DE102004015616B4 (de) Sicherheitssystemsteuerung zur Verwendung in einer Prozessumgebung, Prozesssteuerungssystem sowie entsprechendes Steuerungsverfahren
WO2015062812A1 (de) Sicherheitsrelevantes system mit supervisor
EP2839601B1 (de) Feldbus-datenübertragung
EP3246778B1 (de) Vorrichtung zum auslesen von daten aus einem sicherheitskritischen steuergerät
WO2014191179A1 (de) Verfahren und vorrichtung zum filtern eines datenpaketes
AT507122B1 (de) Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung
EP3987742A1 (de) Filter, anordnung und betriebsverfahren für eine anordnung
EP1962246A1 (de) Sicherheitsvorrichtung und Sicherheitsverfahren mit mehreren Verarbeitungsstufen
EP3839668A1 (de) Integritätsüberwachungssystem und verfahren zum betreiben eines integritätsüberwachungssystems sowie eine integritätsüberwachungseinheit
EP0909692B1 (de) Verfahren zum Abschotten sicherheitsrelevanter Datenverarbeitungsanlagen gegen Beeinflussungen aus anderen Datennetzen sowie hierzu geeignete Einrichtung
EP3047610B1 (de) Verfahren zum erfassen von in einem rechner-netzwerk mit mindestens einem rechner ausgesendeten daten und daten-erfassungsanordnung
EP3661830B1 (de) Konzept zum überwachen eines an ein stellwerk eingehenden netzwerkverkehrs
DE202016103460U1 (de) Kommunikationsteilnehmer eines Feldbussystems und Feldbussystem
WO2017025316A1 (de) Einrichtung und verfahren zum kontrollieren einer datenübertragung in einem datennetzwerk

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 2017711115

Country of ref document: EP

ENP Entry into the national phase

Ref document number: 2017711115

Country of ref document: EP

Effective date: 20180919

ENP Entry into the national phase

Ref document number: 2017249589

Country of ref document: AU

Date of ref document: 20170313

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17711115

Country of ref document: EP

Kind code of ref document: A1