WO2020065476A1 - System and method for accessing data in an internal region - Google Patents

System and method for accessing data in an internal region Download PDF

Info

Publication number
WO2020065476A1
WO2020065476A1 PCT/IB2019/057971 IB2019057971W WO2020065476A1 WO 2020065476 A1 WO2020065476 A1 WO 2020065476A1 IB 2019057971 W IB2019057971 W IB 2019057971W WO 2020065476 A1 WO2020065476 A1 WO 2020065476A1
Authority
WO
WIPO (PCT)
Prior art keywords
dmz
hive
server
proxy
area
Prior art date
Application number
PCT/IB2019/057971
Other languages
German (de)
French (fr)
Inventor
Oliver Bollmann
Original Assignee
Cordaware GmbH Informationslogistik
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cordaware GmbH Informationslogistik filed Critical Cordaware GmbH Informationslogistik
Publication of WO2020065476A1 publication Critical patent/WO2020065476A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Definitions

  • the invention relates to a secure system for accessing data in an internal area.
  • the system comprises a public area and a closed area.
  • the closed area has an internal area, a demilitarized zone (DMZ) and a data center.
  • the internal area includes a variety of devices, such as Mobile phones, tablets, laptops, desktops,
  • the DMZ includes at least one proxy, to which a pool is assigned.
  • the data center comprises at least one server.
  • the invention further relates to a secure method for accessing data.
  • European patent application EP 3 316 545 A1 discloses a method in which a request for a specific service is received by a server outside the firewall (external server) via the firewall from a server inside a firewall (internal server).
  • the firewall is designed in such a way that units within the firewall can connect to units outside the firewall. It is also possible to block connections that originally come from outside the firewall, whereby the service is provided within the firewall.
  • a connection is created with the Outbound Proxy Server (OPS), whereby data is sent to a server within the firewall, which stores the specific service.
  • OPS Outbound Proxy Server
  • Patent application WO 2013/036946 discloses various methods for the secure exchange of private keys for authenticating a user with regard to an RDP service.
  • a request can be received that includes session information to provide a user with access to an RDP service.
  • the method may further include assigning a validity period to the password.
  • the method can generate a first secret key, which is based on user information, and generate a second secret Key based on the first secret key and a salt, and encrypting a packet having the password and the period using the second secret key.
  • Methods include transmitting the user name and the encrypted packet to the device for authenticating the user with respect to the requested RDP service.
  • Patent application WO 2006/046973 discloses a method for controlling access between a computer and a network.
  • Network requests are identified that are assigned to at least one task that runs on said computer.
  • the task is enabled to access the network if network access is currently disabled for the task.
  • at least one device on the network is prevented from accessing at least one port that is currently open on the computer.
  • European patent application EP 2 031 817 A1 discloses a system and a method for streaming an inverted HTTP gateway.
  • a network is also disclosed which also includes this system or method.
  • the reverse HTTP gateway is shielded between two firewalls, ie in the DMZ, by an internal server and the Internet.
  • the system disclosed here communicates via an HTTP protocol.
  • servers are to be regarded as sinks.
  • the client accesses the server.
  • the clients are sources such as cell phones, tablets, laptops or desktops.
  • a complex firewall setting is required to protect the at least one server.
  • the problem with the firewall setting is that depending on the number of required activation of the firewall ports, the overview of the settings made is complicated. So It can happen that an administrator can rule itself out in the event of an error in the firewall settings.
  • the Federal Office for Information Security recommends a two-stage firewall concept from the internal area to the Internet in its IT-Grundschutz catalogs.
  • a firewall separates the Internet from the DMZ and another firewall separates the DMZ from the internal network.
  • a single vulnerability does not immediately compromise the internal network.
  • the two firewalls are from different manufacturers, otherwise a known vulnerability would be sufficient to overcome both firewalls.
  • the filter functions can be performed by a single device; in this case, the filtering system requires at least three network connections: one for each of the two network segments to be connected (e.g. Wide Area Network (WAN) and Local Area Network (LAN)) and a third one for the DMZ.
  • WAN Wide Area Network
  • LAN Local Area Network
  • VLANs Virtual Local Area Network
  • a common exception to this is access from the DMZ to database servers in the internal network.
  • the firewall administrator usually monitors this principle before the rule is activated. This largely reduces the risk potential of a compromised server in the DMZ to attacks: directly on the inner firewall, on other servers in the same DMZ, via security gaps in administration tools such as Telnet or Secure Shell "SSH" and on connections that are regular were set up in the DMZ.
  • SSH describes both a network protocol and corresponding programs, with the help of which one can establish an encrypted network connection with a remote device in a secure manner.
  • This method is often used to make a remote command line available locally. That is, the output from the remote console is output on a local console and the local keyboard inputs are sent to the remote computer. This can be used for example for
  • Port forwardings to the other computers are taken into account and only then the exposed host, or whether the exposed host makes the port forwardings on other computers ineffective.
  • Dirty DMZ Another possibility of protection can be a "dirty DMZ".
  • the “dirty DMZ” or “dirty riet” is usually the network segment between the two
  • Perimeter router and the firewall of the (internal) LAN From the outside, this zone has only the limited security of the perimeter router. This version of the DMZ hampers the data transfer less because the incoming data only have to be filtered (perimeter router).
  • a “protected DMZ” is a DMZ that is connected to a firewall's own LAN interface. This DMZ has the individual security of the firewall. Many firewalls have multiple LAN interfaces to set up multiple DMZs.
  • DMZ public access to data in an internal area
  • the DMZ separates the public area from the internal area.
  • two methods can be used to make data from the internal area accessible to the public.
  • the data is kept in the DMZ. Access to the data via a corridor into the internal area can also be made possible.
  • a public area for example the Internet
  • the system according to the invention enables secure public access to data in an internal area.
  • the system includes a public area, such as the Internet, and a closed area.
  • the closed area is from one internal area, a DMZ and a data center.
  • the internal area includes a variety of devices.
  • the DMZ has at least one proxy, each with an assigned pool.
  • the data center comprises at least one server, with each of the servers being assigned a hive. Any combination of hive and server can provide a protocol-free connection to the public area and a
  • the internal area of the closed area also provides a protocol-free connection to the DMZ of the closed area.
  • the connections provided can enable an incoming data flow through outgoing connections.
  • the internal area and the devices of the internal area are sources.
  • the data center and the at least one combination of one server each with a hive provided in the data center are designed as a source.
  • the DMZ and the at least one proxy, each with an assigned pool, and the public area are sinks.
  • the sources of the system are connected to the sinks via the connections.
  • the designation as a source does not refer to data, but to the possibility of establishing a connection from the source to a sink. The other direction from the valley to the source is not possible.
  • Computers in the sense of the description can be virtual or physical. Private computers are sources. Private networks are also sources. Private computers are in private networks (internal areas). Public computers (such as servers) are sinks. Public networks are also sinks. Public computers are in public networks. A DMZ is public and therefore a sink. Likewise, the Internet with all of its applications is public and therefore a sink. According to a possible embodiment, the DMZ can be provided with a first firewall and a second firewall. The first firewall is a sink for that
  • the second firewall represents a sink for the connections from the data center.
  • the hives that are assigned to the corresponding servers are each clones from a hive previously installed in the data center.
  • the clone of a hive (computer) can be created by simply copying.
  • the clone of the hives can reconnect to the pool of the proxy because the configuration of the clone of the hives has not been changed by copying.
  • Cloning the hives has the advantage that a "hot update" of the server service and / or the operating system is possible. Cloning and updates can run multiple versions at the same time. It is possible to switch off the "old” versions at any time.
  • each hive has access to the server assigned to it.
  • the at least one server and the hive assigned to it can be installed on two separate computers.
  • software for the corresponding hive must be installed on the separate, separate computer.
  • the hive and the server are connected via the access.
  • the at least one server and the hive assigned to it can be a single computer.
  • the hive and the server are installed as software on the single computer.
  • the internal area can comprise at least one server which represents a sink for the hive.
  • the pool and the proxy of the DMZ as well as the hive of the internal area can comprise a server or a virtual server.
  • the pool of the DMZ sends a request to the hive to occupy at least one of the free corridors. If access to the internal area is permitted, a port connects to at least one server in the internal area.
  • the internal area is a sink.
  • a connection to the DMZ can be established by means of a port through the first firewall via at least one external device in the public area that is a source.
  • the proxy of the DMZ sends a message to the pool through the connection to the DMZ established by the first firewall.
  • the pool initiates a message
  • the hive forwards the at least one request from the public area to the server in the internal area via the port and the connection to the at least one server.
  • the inventive method for public access to data in a closed area is characterized by several steps.
  • a public area is provided that is configured as a sink.
  • a closed area is assigned to the public area.
  • the closed area includes an internal area that is a source.
  • a DMZ is a sink.
  • Data center is a source. Protocol-free connections to the sinks are formed by the sources to access data.
  • the advantage of this method is that the connections to the sinks can only be established from sources and data can be exchanged via the connections, so that external access to data or data theft from the internal area (of the sources) is not possible. Data security is thus increased by the invention.
  • the data center comprises at least one server, with each server being assigned a hive via an access.
  • the data center can thus establish at least one protocol-free connection to the public area and at least one protocol-free connection to at least one proxy of the DMZ.
  • the internal area consists of a variety of devices (such as e.g.
  • the DMZ enables data exchange between the data center and the internal area.
  • a pool is assigned to at least one proxy of the DMZ.
  • the at least one hive connects to the pool and the pool configures the at least one proxy of the DMZ. Only proxies and no data are provided in the DMZ. Since the DMZ is configured as a sink, external access can only take place through an open port of the proxy.
  • the DMZ is closed from the inside (sink). A connection to a source is not possible. A notification is sent when a port of the at least one proxy is dynamically closed or opened.
  • Access by the at least one hive to the respectively assigned server is also monitored. If a service is not available, this access of the corresponding server and / or the dynamically opened port of the at least one proxy is closed if there are no connections.
  • the dynamically created ports of a proxy can be closed automatically if there are no connections for the port of the proxy. This is e.g. the case when the combination of server and hive is "down".
  • a particularly advantageous embodiment of the present invention is when the hives used in the system are the clones of a previous hive. Each of the cloned hives can thus connect itself to the pool of the at least one proxy.
  • the DMZ can also be a single computer, e.g. a calculator from one
  • Figure 1 is a schematic representation of a single-stage firewall concept
  • Figure 2 is a schematic representation of a two-stage firewall concept
  • Figure 3 is a schematic representation of a source in the sense of the invention.
  • Figure 4 is a schematic representation of a sink in the sense of the invention.
  • Figure 5A is a schematic representation of an allowed or possible
  • FIG. 5B shows a schematic illustration of a not permitted or not possible
  • Figure 6 is a schematic view of the connection of two sources
  • FIG. 7 shows a schematic representation of a pool in the sense of the invention.
  • FIG. 8 shows a schematic illustration of a hive in the sense of the invention
  • Figure 9 is a schematic representation of the switching of connections to the
  • FIG. 10 shows a schematic illustration of the assignment of public inquiries according to the invention.
  • FIG 11 is a schematic representation of the system according to the invention.
  • Figure 12 is a schematic illustration of an embodiment of the
  • FIG. 13 shows a schematic illustration of a further embodiment of the system according to the invention.
  • Figure 14 is a schematic representation of the combination of server and hive.
  • FIG. 1 shows the representation of a single-stage firewall concept of the prior art.
  • a demilitarized zone 4 (DMZ) is connected to an intranet 2 (such as LAN) via a firewall 6.
  • the intranet 2 is protected by the firewall 6 against other networks 8, e.g. Internet or LAN, shielded.
  • the separation allows access to publicly accessible services (bastion hosts with e.g. e-mail, www, etc.) and at the same time protects the intranet 2 (internal network) against unauthorized access from the other networks 8.
  • the protective effect of the DMZ 4 is achieved by isolating a system from two or more networks.
  • the DMZ 4 can have three servers or systems, e.g. WWW 1 1, SMTP 12 and DNS 13 include.
  • FIG. 2 shows a schematic illustration of a single-stage firewall concept of the prior art.
  • the DMZ 4 is protected by a first firewall 6 and a second firewall 7.
  • the first firewall 6 separates the DMZ 4 from the external networks 8 or the Internet.
  • the second firewall 7 separates the intranet 2 from the DMZ 4.
  • FIG. 3 shows a schematic illustration of a source 20 in the sense of the invention.
  • a source 20 in the sense of the invention can establish connections 21.
  • the source 20 is shown schematically with a solid line 18 and a dashed line 19.
  • a connection 21 can only be established starting from the source 20. In other words, the connection 21 can only come from the dashed line 19 starting out. An acceptance of connections 21 by the source 20 via the solid line 18 is not possible.
  • Via connection 21 data from a sink 22 (see FIG. 4) of the system according to the invention can be sent to the source 20.
  • FIG. 4 schematically shows a depression 22 as used in the system according to the invention.
  • the sink 22 can accept connections 21. It is not possible to set up connections 21 to other elements of the system.
  • the depression 22 can also be represented schematically with a solid line 18 and a dashed line 19. A connection 21 can only be accepted by the sink 22. As illustrated in FIG. 5, the dashed line 19 surrounds the solid line 18.
  • FIG. 5A illustrates the direction in which the establishment of a connection 21 is possible. It does not matter whether sink 22 or source 20, the connection 21 can only from the
  • FIG. 5B illustrates the direction in which the establishment of a connection 21 is not possible.
  • the solid line 18 does not allow a connection 21 to be established. Consequently, a connection 21 from the solid line 18 via the dashed line 19 is not possible.
  • FIG. 6 shows a schematic view of the connection of two sources 20.
  • Two sources 20 can only connect via a sink 22. It is not possible for two sources 20 or two sinks 22 to connect to one another.
  • One of the sources 20 establishes a connection 21 with the sink 22.
  • the other source 20 establishes a connection 21 with the sink 22. Via the established connections 21, data about the sink 22 can now be transmitted from one source 20 to the other source 20
  • FIG. 7 shows a pool 23 which is used in the system according to the invention.
  • a pool 23 is a sink 22 and can accept, collect and manage at least one connection 21.
  • the number of connections shown is 21 merely by way of example and should not be construed as a limitation of the invention.
  • a hive 24 is shown in FIG.
  • the hive 24 is a source 20 of the system, which can establish at least one connection 21.
  • FIG. 9 shows a pool 23 which accesses the proxy 25 with an internal access 26 in order to enable ports of the proxy 25 for the connections (not shown) from the sources 20.
  • 9 shows the basic structure of a DMZ 4. It goes without saying that a DMZ 4 can comprise more than one proxy 25 with pool 23.
  • the illustration shown here is for the purpose of description and is not to be interpreted as a limitation of the invention.
  • FIG. 10 shows a schematic illustration of a possible embodiment of the system 1 of the invention.
  • the DMZ 4 is a sink 22.
  • the DMZ 4 comprises, as already mentioned, the pool 23 and the proxy 25.
  • the pool 23 collects the connections 21 from the internal area 2 (source 20), e.g. Intranet.
  • the management and assignment of the connections 21 (see FIG. 12) from the public area 8 (public networks, Internet; source 20) are carried out by the proxy 25 of the DMZ 4.
  • FIG. 11 shows a schematic and simplified illustration of the system 1 according to the invention and the interaction of sinks 22 and sources 20.
  • the data 28 arrive via the connection 21 to a sink 22 which the DMZ 4 (sink 22) with the at least one proxy 25.
  • the data 28 from the internal area 2 can be routed to the data center 5 (source 20) by means of the connections 21 established via the DMZ 4, which is also a sink 22.
  • the DMZ 4 manages the inquiries (see FIGS. 12 and 13) from the public area 8 and provides the necessary ones
  • FIG. 12 shows a possible embodiment of the system 1 according to the invention.
  • a source 20 which is an internal area 2 (such as a local area network (LAN) or intranet) and a data center 5, which is also a source 20, is the DMZ 4 is provided, which is a depression 22.
  • a closed area 100 of the system 1 according to the invention comprises the internal area 2 (such as a local area network (LAN) or intranet), which is DMZ 4 and the data center 5.
  • the internal area 2 can comprise a multiplicity of devices 32i, 32 2 ,... 32 N , which are also sources 20.
  • the devices 32i, 32 2 ,... 32 N of the internal area 2 can be, for example, mobile telephones, tablets, laptops, desktop computers, a control computer or a device that requires remote maintenance.
  • 32 2 ?? 32 n that requires remote maintenance can be an X-ray device, for example.
  • Public access is defined as access that does not belong to internal area 2.
  • the firewall setting of the individual devices 32i, 32 2 , ... 32 N is static.
  • the DMZ 4 can comprise at least one proxy 25i, 25 2 , ..., 25 P.
  • the at least one proxy 25i, 25 2 , ..., 25 P can be designed as a server and / or a virtual server.
  • the devices 32i, 32 2 ,... 32 N of the internal area 2 can make the connections 21 to the at least one proxy 25i,
  • the at least one proxy 25i, 25 2 , ..., 25 P is open from the outside and closed from the inside.
  • a pool 23 (not shown here; see FIG. 10) can also be assigned to each of the proxy 25i, 25 2 ,... 25 P.
  • the proxy 25i, 25 2 , ..., 25 P are port proxy.
  • the pools 23 are pool proxies.
  • the data center 5 is a source 20 which comprises at least one server 30i, 30 2 , ..., 30 s , each with an associated hive 24i, 24 2 , ..., 24 s .
  • each server 30i, 30 2 , ..., 30 s of the data center 5 can establish a connection 21 to a public area 8, which is, for example, the Internet build up.
  • the public area 8 (Internet) comprises a large number of applications 40i, 40 2 , ..., 40 k , which the system 1 according to the invention can access.
  • connection from the data center 5 (source 20) to the DMZ 4 is established in such a way that at least one hive 24i, 24 2 , ..., 24 s connects to the pool 23 (pool proxy).
  • the at least one hive 24i, 24 2 , ..., 24 s dynamically configures the at least one proxy 25i, 25 2 , ..., 25 P (port proxy) via the pool 23.
  • pool 23 (pool proxy) and the at least one proxy 25i, 25 2 , ..., 25 P (port proxy).
  • Pool 23 (pool proxy) listens to port 8001, for example.
  • Hive 24i connects to port 8001.
  • Hive 24i opens port 443 on proxy 25i (port proxy).
  • Hive 24i is connected to port 443 on the assigned server 30i . This enables data exchange from port 443 of proxy 25i (port proxy) to port 443 of server 30i.
  • the at least one hive 24i, 24 2 , ..., 24 s and the at least one proxy 25i, 25 2 , ..., 25 P are independent of a protocol, such as http.
  • the configuration of the at least one proxy 25i, 25 2 , ..., 25 P is static.
  • the configuration of the at least one assigned hive 24i, 24 2 , ..., 24 s is semi-static, only the port of the at least one proxy 25i, 25 2 , ..., 25 P (port proxy) and the port of the at least one Servers 30i,
  • Notification There is also a notification when a port is closed for at least one proxy 25i, 25 2 , ..., 25 P.
  • Each hive 24i, 24 2 , ..., 24 s that is assigned to the corresponding server 30i, 30 2 , ..., 30 S of the data center can be monitored via an internal access.
  • the access of the corresponding hives 24i, 24 2 , ..., 24 s to the server 30i, 30 2 , ..., 30 s assigned to it can be closed if the
  • the dynamically configured port of the at least one proxy 25i, 25 2 , ..., 25 P (port proxy) can be automatically closed if the Number of connections of at least one proxy 25i, 25 2 , ..., 25 P (port proxy) is zero. This is the case, for example, if the combination of the at least one server 30i, 30 2 , ..., 30 S with the corresponding hive 24i, 24 2 , ..., 24 s is "down", for example due to a power failure .
  • the public area 8 for example the Internet, comprises a large number of external devices and services (not shown).
  • the public area 8 is a sink 22 and is shielded from the data center 5, which is a source 20, by a firewall 6.
  • the data center 5 builds a connection to a proxy server if there are requests from the internal area 2 (such as an intranet) 40 in the public area 8.
  • the applications 40i, 40 2 , ..., 40 K (devices and / or services) of the public area 8 establish connections 21 to the proxy server 40, which is not public. connect to make inquiries to internal area 2.
  • the corresponding connections 21, the first firewall 6 and the second firewall 7 (see FIG. 13) of the DMZ 4 have to be created by the system 1.
  • FIG. 13 shows a further possible embodiment of the system 1 in FIG.
  • the structure of the embodiment in FIG. 13 differs from the structure already described in FIG. 12 in that a second firewall 7 is provided.
  • the proxy server 40 is thus shielded by the first firewall 6 and the second firewall 7.
  • the configuration corresponds to that of a DMZ 4. All other features of the system 1 according to the invention have already been described in detail in the description of FIG. 12.

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The invention relates to a system (1) and a method for publicly accessing data in an internal region (2) which is secured against unauthorized intrusions. The system (1) comprises a closed region (100) which has an internal region (2), a DMZ (4), and a computing center (5). The closed region (100) has an internal region (2) with a plurality of devices (321, 322,..., 32N), a DMZ (4) with at least one proxy (251, 252,..., 25P) and a respective assigned pool (23), and a computing center (5) with at least one server (301, 302,..., 30S). In each case, a hive (241, 242,..., 24S) is assigned to each server (301, 302,…,30S) of the computing center (5), wherein each combination of hive (241, 242,..., 24S) and server (301, 302,..., 30S) provides a protocol-free connection (21) to the public region (8) and a protocol-free connection (21) to the DMZ (4) of the closed region (100). The internal region (2) of the closed region (100) provides a protocol-free connection (21) to the DMZ (4) of the closed region (100).

Description

System und Verfahren für einen Zugriff auf Daten in einem internen Bereich  System and method for accessing data in an internal area
Die Erfindung betrifft ein sicheres System für einen Zugriff auf Daten in einem internen Bereich. Insbesondere umfasst das System einen öffentlichen Bereich und einen geschlossenen Bereich. Der geschlossene Bereich weist einen internen Bereich, eine demilitarisierte Zone (DMZ) und ein Rechenzentrum auf. Der interne Bereich umfasst eine Vielzahl von Geräten, wie z.B. Mobiltelefone, Tablets, Laptops, Desktops, The invention relates to a secure system for accessing data in an internal area. In particular, the system comprises a public area and a closed area. The closed area has an internal area, a demilitarized zone (DMZ) and a data center. The internal area includes a variety of devices, such as Mobile phones, tablets, laptops, desktops,
Steuerrechner und dergleichen. Die DMZ umfasst mindestens einen Proxy, dem jeweils ein Pool zugeordnet ist. Das Rechenzentrum umfasst mindestens einen Server. Control computers and the like. The DMZ includes at least one proxy, to which a pool is assigned. The data center comprises at least one server.
Ferner betrifft die Erfindung ein sicheres Verfahren für einen Zugriff auf Daten. The invention further relates to a secure method for accessing data.
Die europäische Patentanmeldung EP 3 316 545 A1 offenbart ein Verfahren, bei dem von einem Server innerhalb einer Firewall (interner Server) eine Anfrage für einen bestimmten Service von einem Server außerhalb der Firewall (externer Server) über die Firewall hindurch empfangen wird. Die Firewall ist dabei derart gestaltet, dass es Einheiten innerhalb der Firewall möglich ist, Verbindungen zu Einheiten außerhalb der Firewall herzustellen. Ebenso ist es möglich Verbindungen, die originär von außerhalb der Firewall kommen, zu blockieren, wobei der Service hierzu innerhalb der Firewall vorgesehen ist. Mit dem Outbound Proxy Server (OPS) wird eine Verbindung erzeugt, wobei Daten an einen Server innerhalb der Firewall gesendet werden, der den bestimmten Service speichert. Letztendlich wird mit dem OPS die Anfrage über die erstellte Verbindung geleitet. European patent application EP 3 316 545 A1 discloses a method in which a request for a specific service is received by a server outside the firewall (external server) via the firewall from a server inside a firewall (internal server). The firewall is designed in such a way that units within the firewall can connect to units outside the firewall. It is also possible to block connections that originally come from outside the firewall, whereby the service is provided within the firewall. A connection is created with the Outbound Proxy Server (OPS), whereby data is sent to a server within the firewall, which stores the specific service. Ultimately, the request is routed with the OPS via the connection created.
Die deutsche Übersetzung DE 1 1 2012 003 731 T5 der internationalen The German translation DE 1 1 2012 003 731 T5 of the international
Patentanmeldung WO 2013/036946 offenbart verschiedene Verfahren für den sicheren Austausch privater Schlüssel zur Authentifizierung eines Users bezüglich eines RDP- Service. Eine Anforderung kann empfangen werden, die eine Session-Information umfasst, um einem User einen Zugang zu einem RDP-Service zu verschaffen. Das Verfahren kann weiterhin ein Zuweisen eines Gültigkeitszeitraums zu dem Passwort umfassen. Des Weiteren kann das Verfahren ein Erzeugen eines ersten geheimen Schlüssels, der auf User-Information basiert, ein Erzeugen eines zweiten geheimen Schlüssels, der auf dem ersten geheimen Schlüssel und einem Salt basiert, und ein Verschlüsseln eines Pakets, das das Passwort und den Zeitraum aufweist, unter Verwendung des zweiten geheimen Schlüssels umfassen. Zusätzlich kann das Patent application WO 2013/036946 discloses various methods for the secure exchange of private keys for authenticating a user with regard to an RDP service. A request can be received that includes session information to provide a user with access to an RDP service. The method may further include assigning a validity period to the password. Furthermore, the method can generate a first secret key, which is based on user information, and generate a second secret Key based on the first secret key and a salt, and encrypting a packet having the password and the period using the second secret key. In addition, that can
Verfahren ein Übermitteln des Usernamens und des verschlüsselten Pakets zu dem Gerät zum Authentifizieren des Users bezüglich des angeforderten RDP-Service umfassen. Methods include transmitting the user name and the encrypted packet to the device for authenticating the user with respect to the requested RDP service.
Die deutsche Übersetzung DE 1 1 2005 002 614 T5 der internationalen The German translation DE 1 1 2005 002 614 T5 of the international
Patentanmeldung WO 2006/046973 offenbart ein Verfahren zur Steuerung des Zugriffs zwischen einem Computer und einem Netzwerk. Es werden Netzwerkanfragen erkannt, die mindestens einer Aufgabe zugeordnet sind, die auf besagtem Computer abläuft. Als Antwort auf eine erkannte Netzwerkanfrage wird die Aufgabe in die Lage versetzt, auf das Netzwerk zuzugreifen, wenn der Netzwerkzugriff für die Aufgabe gegenwärtig deaktiviert ist. Als Antwort auf ein Fehlen von mit der Aufgabe verbundener neuer Aktivität auf dem Netzwerk, wird mindestens eine Vorrichtung auf dem Netzwerk daran gehindert, auf mindestens einen Port zuzugreifen, der gegenwärtig auf dem Computer offen ist. Patent application WO 2006/046973 discloses a method for controlling access between a computer and a network. Network requests are identified that are assigned to at least one task that runs on said computer. In response to a detected network request, the task is enabled to access the network if network access is currently disabled for the task. In response to a lack of new activity associated with the task on the network, at least one device on the network is prevented from accessing at least one port that is currently open on the computer.
Die europäische Patentanmeldung EP 2 031 817 A1 offenbart ein System und ein Verfahren für das Streaming eines umgekehrten HTTP - Gateways. Ebenso ist ein Netzwerk offenbart, das dieses System bzw. Verfahren mit umfasst. Das umgekehrte HTTP - Gateway ist zwischen zwei Firewalls, also in der DMZ, von einem internen Server und dem Internet abgeschirmt. Das hier offenbarte System kommuniziert über ein HTTP - Protokoll. European patent application EP 2 031 817 A1 discloses a system and a method for streaming an inverted HTTP gateway. A network is also disclosed which also includes this system or method. The reverse HTTP gateway is shielded between two firewalls, ie in the DMZ, by an internal server and the Internet. The system disclosed here communicates via an HTTP protocol.
Gemäß dem Stand der Technik sind Server als Senken zu betrachten. Beispielsweise erfolgt beim Abruf von Emails ein Zugriff vom Client auf den Server. Die Clients sind Quellen, wie z.B. Mobiltelefon, Tablet, Laptop oder Desktop. Zum Schutz der mindestens einen Server ist eine komplexe Firewall-Einstellung nötig. Das Problem bei der Firewall-Einstellung ist, dass je nach Anzahl der gewünschten Freischaltung der Ports der Firewall, die Übersicht der vorgenommenen Einstellung kompliziert wird. So kann es Vorkommen, dass sich bei einem Fehler in der Einstellung der Firewall ein Administrator ausschließen kann. According to the prior art, servers are to be regarded as sinks. For example, when emails are accessed, the client accesses the server. The clients are sources such as cell phones, tablets, laptops or desktops. A complex firewall setting is required to protect the at least one server. The problem with the firewall setting is that depending on the number of required activation of the firewall ports, the overview of the settings made is complicated. So It can happen that an administrator can rule itself out in the event of an error in the firewall settings.
In Deutschland empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz-Katalogen ein zweistufiges Firewall-Konzept vom internen Bereich zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden. In Germany, the Federal Office for Information Security (BSI) recommends a two-stage firewall concept from the internal area to the Internet in its IT-Grundschutz catalogs. In this case, a firewall separates the Internet from the DMZ and another firewall separates the DMZ from the internal network. As a result, a single vulnerability does not immediately compromise the internal network. Ideally, the two firewalls are from different manufacturers, otherwise a known vulnerability would be sufficient to overcome both firewalls.
Die Filterfunktionen können aber durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z. B. Wide Area Network (WAN) und Local Area Network (LAN)) und einen dritten für die DMZ. The filter functions can be performed by a single device; in this case, the filtering system requires at least three network connections: one for each of the two network segments to be connected (e.g. Wide Area Network (WAN) and Local Area Network (LAN)) and a third one for the DMZ.
Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden. Dies könnte z. B. eine Even if the firewall protects the internal network from attacks by a compromised server from the DMZ, the other servers in the DMZ can be attacked directly as long as no further protective measures are taken. This could e.g. Legs
Segmentierung im Virtual Local Area Network (VLANs) sein oder Software-Firewalls auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen. Segmentation in the Virtual Local Area Network (VLANs) or software firewalls on the individual servers that discard all packets from the DMZ network.
Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz. Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk. Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel- Freischaltung. Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe: auf die innere Firewall direkt, auf andere Server in derselben DMZ, über Sicherheitslücken in Administrations- Werkzeugen, wie z.B. Telnet oder Secure Shell„SSH“ und auf Verbindungen, die regulär in der DMZ aufgebaut wurden. SSH bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit deren Hilfe man auf eine sichere Art und Weise eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät hersteilen kann. Häufig wird diese Methode verwendet, um lokal eine entfernte Kommandozeile verfügbar zu machen. Das heißt, auf einer lokalen Konsole werden die Ausgaben der entfernten Konsole ausgegeben und die lokalen Tastatureingaben werden an den entfernten Rechner gesendet. Genutzt werden kann dies beispielsweise zur A connection should always be established from the internal network to the DMZ, never from the DMZ to the internal network. A common exception to this is access from the DMZ to database servers in the internal network. As a last resort, the firewall administrator usually monitors this principle before the rule is activated. This largely reduces the risk potential of a compromised server in the DMZ to attacks: directly on the inner firewall, on other servers in the same DMZ, via security gaps in administration tools such as Telnet or Secure Shell "SSH" and on connections that are regular were set up in the DMZ. SSH describes both a network protocol and corresponding programs, with the help of which one can establish an encrypted network connection with a remote device in a secure manner. This method is often used to make a remote command line available locally. That is, the output from the remote console is output on a local console and the local keyboard inputs are sent to the remote computer. This can be used for example for
Fernwartung eines in einem entfernten Rechenzentrum stehenden Servers. Remote maintenance of a server located in a remote data center.
Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als„DMZ". Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können. Damit ist der Host (auch für potentielle Angreifer) aus dem Internet erreichbar. Eine Portweiterleitung der tatsächlich benutzten Ports ist dem— falls möglich— Some routers for home use incorrectly refer to the configuration of an exposed host as "DMZ". You can specify the IP address of a computer in the internal network to which all packets from the Internet are forwarded that do not use the NAT table of another The host (also for potential attackers) can be reached from the Internet. Port forwarding of the ports actually used is - if possible - possible.
vorzuziehen. preferable.
Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die It depends on the specific configuration of the firewall whether the
Portweiterleitungen auf die anderen Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf anderen Rechnern unwirksam macht. Port forwardings to the other computers are taken into account and only then the exposed host, or whether the exposed host makes the port forwardings on other computers ineffective.
Eine andere Möglichkeit der Absicherung kann eine„dirty DMZ“ sein. Als„dirty DMZ“ oder„dirty riet“ bezeichnet man üblicherweise das Netzsegment zwischen dem Another possibility of protection can be a "dirty DMZ". The “dirty DMZ” or “dirty riet” is usually the network segment between the two
Perimeter-Router und der Firewall des (internen) LAN. Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeter-Routers. Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeter- Router) gefiltert werden müssen. Perimeter router and the firewall of the (internal) LAN. From the outside, this zone has only the limited security of the perimeter router. This version of the DMZ hampers the data transfer less because the incoming data only have to be filtered (perimeter router).
Eine weitere Möglichkeit ist die individuelle Sicherheit der Firewall mittels einer „protected DMZ“. Als„protected DMZ“ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt. Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten. Another option is the individual security of the firewall using a "protected DMZ". A “protected DMZ” is a DMZ that is connected to a firewall's own LAN interface. This DMZ has the individual security of the firewall. Many firewalls have multiple LAN interfaces to set up multiple DMZs.
Gegenwärtig wird gemäß dem Stand der Technik der öffentliche Zugriff auf Daten in einem internen Bereich durch die Implementierung einer DMZ bewerkstelligt. Die DMZ trennt den öffentlichen Bereich vom internen Bereich. Gemäß dem momentanen Stand der Technik kann durch zwei Verfahren ermöglicht werden, Daten vom internen Bereich der Öffentlichkeit zugänglich zu machen. Zum einen werden die Daten in der DMZ gehalten. Auch kann ein Zugang auf die Daten über einen Korridor in den internen Bereich ermöglicht werden. Currently, according to the state of the art, public access to data in an internal area is accomplished through the implementation of a DMZ. The DMZ separates the public area from the internal area. According to the current state of the art, two methods can be used to make data from the internal area accessible to the public. On the one hand, the data is kept in the DMZ. Access to the data via a corridor into the internal area can also be made possible.
Das Dilemma beim Aufbau einer Verbindung ist, dass bei der Kompromittierung der DMZ durch einen Verbindungsaufbau in den öffentlichen Bereich ein Fluchtweg implementiert werden kann. Dies begünstigt den Diebstahl. Hinzu kommt, dass es laut dem BSI IT-Grundschutzkatalog keinen Verbindungsaufbau von der DMZ in den internen Bereich geben darf. Existiert ein solcher, ist laut Definition die DMZ keine DMZ mehr. Dennoch wird dieser Verbindungsaufbau geduldet, um auf Daten im internen Bereich zugreifen zu können, da es bis jetzt keine bekannte Technik gibt, die Daten auf andere Weise bereitstellt. The dilemma of establishing a connection is that an escape route can be implemented if the DMZ is compromised by establishing a connection to the public area. This favors the theft. In addition, according to the BSI IT baseline protection catalog, there must be no connection from the DMZ to the internal area. If there is one, the DMZ is no longer a DMZ by definition. However, this connection establishment is tolerated in order to be able to access data in the internal area, as there is as yet no known technology that provides data in any other way.
Daher liegt der gegenwärtigen Erfindung die Aufgabe zugrunde, ein System für einen Zugriff aus einem öffentlichen Bereich (z.B. Internet) auf Daten in einem internen Bereich zu schaffen, wobei trotz der Bereitstellung des öffentlichen Zugriffs der Schutz vor Angriffen auf und vor Diebstahl von Daten im internen Bereich ermöglicht ist. It is therefore an object of the present invention to provide a system for access from a public area (for example the Internet) to data in an internal area, with protection against attacks on and against theft of data in the internal area despite the provision of public access Area is enabled.
Diese Aufgabe wird durch ein System für einen öffentlichen Zugriff auf Daten in einem internen Bereich gelöst, das die Merkmale des Anspruchs 1 umfasst. This object is achieved by a system for public access to data in an internal area, which comprises the features of claim 1.
Ferner ist es Aufgabe der vorliegenden Erfindung, ein Verfahren für einen öffentlichen Zugriff auf Daten in einem internen Bereich zu schaffen, das trotz der Bereitstellung des öffentlichen Zugriffs den Schutz vor Angriffen auf und vor Diebstahl von Daten im internen Bereich ermöglicht. It is also an object of the present invention to provide a method for public access to data in an internal area which, despite the provision of public access, enables protection against attacks on and against theft of data in the internal area.
Die obige Aufgabe wird durch ein Verfahren für einen öffentlichen Zugriff auf Daten in einem internen Bereich gelöst, das die Merkmale des Anspruchs 9 umfasst. The above object is achieved by a method for public access to data in an internal area, which comprises the features of claim 9.
Das erfindungsgemäße System ermöglicht einen sicheren öffentlichen Zugriff auf Daten in einem internen Bereich. Das System umfasst einen öffentlichen Bereich, wie z.B. das Internet, und einen geschlossenen Bereich. Der geschlossene Bereich ist aus einem internen Bereich, einer DMZ und einem Rechenzentrum aufgebaut. Der interne Bereich umfasst eine Vielzahl von Geräten. Die DMZ besitzt mindestens einen Proxy mit jeweils einem zugeordneten Pool. Das Rechenzentrum umfasst mindestens einen Server, wobei jedem der Server jeweils ein Hive zugeordnet ist. Jede Kombination aus Hive und Server kann eine protokollfreie Verbindung zum öffentlichen Bereich und eine The system according to the invention enables secure public access to data in an internal area. The system includes a public area, such as the Internet, and a closed area. The closed area is from one internal area, a DMZ and a data center. The internal area includes a variety of devices. The DMZ has at least one proxy, each with an assigned pool. The data center comprises at least one server, with each of the servers being assigned a hive. Any combination of hive and server can provide a protocol-free connection to the public area and a
protokollfreie Verbindung zur DMZ des geschlossenen Bereichs bereitstellen. Ebenso stellt der interne Bereich des geschlossenen Bereichs eine protokollfreie Verbindung zur DMZ des geschlossenen Bereichs bereit. Durch die bereitgestellten Verbindungen kann ein eingehender Datenfluss durch ausgehende Verbindungen ermöglicht werden. Provide a protocol-free connection to the DMZ of the closed area. The internal area of the closed area also provides a protocol-free connection to the DMZ of the closed area. The connections provided can enable an incoming data flow through outgoing connections.
Der interne Bereich und die Geräte des internen Bereichs sind jeweils Quellen. Ebenso sind das Rechenzentrum und die im Rechenzentrum vorgesehene, mindestens eine Kombination aus je einem Server mit je einem Hive als eine Quelle ausgebildet. The internal area and the devices of the internal area are sources. Likewise, the data center and the at least one combination of one server each with a hive provided in the data center are designed as a source.
Die DMZ und der mindestens eine Proxy mit dem jeweils einem zugeordneten Pool sowie der öffentliche Bereich sind Senken. Die Quellen des Systems sind über die Verbindungen mit den Senken verbunden. Die Bezeichnung als Quelle bezieht sich nicht auf Daten, sondern auf die Möglichkeit des Aufbaus einer Verbindung von der Quelle zu einer Senke. Die andere Richtung von der Senke zur Quelle ist nicht möglich. The DMZ and the at least one proxy, each with an assigned pool, and the public area are sinks. The sources of the system are connected to the sinks via the connections. The designation as a source does not refer to data, but to the possibility of establishing a connection from the source to a sink. The other direction from the valley to the source is not possible.
Dies bedeutet, dass sich zwei Quellen nicht miteinander verbinden können. Ebenso können sich zwei Senken nicht miteinander verbinden. Um zwei Quellen miteinander zu verbinden ist eine Senke erforderlich. Bei dieser Konstellation können Daten einer Quelle zur anderen über die Senke ausgetauscht werden. This means that two sources cannot connect to each other. Likewise, two sinks cannot connect to each other. A sink is required to connect two sources. With this constellation, data from one source can be exchanged via the sink.
Rechner im Sinne der Beschreibung können virtuell oder physisch ausgebildet sein. Private Rechner sind Quellen. Ebenso sind private Netzwerke Quellen. Private Rechner stehen in privaten Netzwerken (interne Bereiche). Öffentliche Rechner (wie. z.B. Server) sind Senken. Auch öffentliche Netzwerke sind Senken. Öffentliche Rechner stehen in öffentlichen Netzwerken. Eine DMZ ist öffentlich und somit eine Senke. Ebenso ist das Internet mit all den Anwendungen öffentlich und somit eine Senke. Die DMZ kann gemäß einer möglichen Ausführungsform mit einer ersten Firewall und einer zweiten Firewall versehen sein. Die erste Firewall stellt eine Senke für die Computers in the sense of the description can be virtual or physical. Private computers are sources. Private networks are also sources. Private computers are in private networks (internal areas). Public computers (such as servers) are sinks. Public networks are also sinks. Public computers are in public networks. A DMZ is public and therefore a sink. Likewise, the Internet with all of its applications is public and therefore a sink. According to a possible embodiment, the DMZ can be provided with a first firewall and a second firewall. The first firewall is a sink for that
Verbindungen vom internen Bereich dar. Die zweite Firewall stellt eine Senke für die Verbindungen vom Rechenzentrum dar. Connections from the internal area. The second firewall represents a sink for the connections from the data center.
Erfindungsgemäß sind die Hives, die den entsprechenden Servern zugeordnet sind, jeweils Klone von einem zuvor im Rechenzentrum installierten Hive. Der Klon eines Hives (Rechner) kann durch einfaches Kopieren hergestellt werden. Der Klon des Hives kann sich wieder mit dem Pool des Proxy verbinden, da die Konfiguration des Klons des Hives durch das Kopieren nicht geändert wurde. According to the invention, the hives that are assigned to the corresponding servers are each clones from a hive previously installed in the data center. The clone of a hive (computer) can be created by simply copying. The clone of the hives can reconnect to the pool of the proxy because the configuration of the clone of the hives has not been changed by copying.
Das Klonen der Hives hat den Vorteil, dass ein„hot update“ des Serverdienstes und/oder des Betriebssystems möglich ist. Durch das Klonen und die Updates können mehrere Versionen gleichzeitig laufen. Das Abschalten der„alten“ Versionen ist jederzeit möglich. Cloning the hives has the advantage that a "hot update" of the server service and / or the operating system is possible. Cloning and updates can run multiple versions at the same time. It is possible to switch off the "old" versions at any time.
Bei jeder Kombination aus Hive und Server hat jeder Hive auf den ihm zugeordneten Server einen Zugriff. Gemäß einer möglichen Ausführungsform können der mindestens eine Server und der ihm zugeordnete Hive auf zwei getrennten Rechnern installiert sein. Ebenso und eine Software für den entsprechenden Hive auf dem separaten, getrennten Rechner installiert sein. Über den Zugriff sind der Hive und der Server verbunden. With every combination of hive and server, each hive has access to the server assigned to it. According to a possible embodiment, the at least one server and the hive assigned to it can be installed on two separate computers. Likewise, and software for the corresponding hive must be installed on the separate, separate computer. The hive and the server are connected via the access.
Gemäß einer möglichen weiteren Ausführungsform können der mindestens eine Server und der ihm zugeordnete Hive ein einziger Rechner sein. Der Hive und der Server sind als Software auf dem einzigen Rechner installiert. According to a possible further embodiment, the at least one server and the hive assigned to it can be a single computer. The hive and the server are installed as software on the single computer.
Gemäß einer möglichen Ausführungsform der Erfindung kann der interne Bereich mindestens einen Server umfassen, der eine Senke für den Hive darstellt. Ebenso können der Pool und der Proxy der DMZ wie auch der Hive des internen Bereichs einen Server oder einen virtuellen Server umfassen. Der Pool der DMZ richtet eine Anfrage an den Hive, um mindestens einen der freien Korridore zu belegen. Bei Erlaubnis des Zugriffs auf den internen Bereich, wird von einem Port eine Verbindung zum mindestens einen Server des internen Bereichs hergestellt. Der interne Bereich ist eine Senke. Gemäß dem erfindungsgemäßen System kann über mindestens ein externes Gerät des öffentlichen Bereichs, das eine Quelle ist, mittels eines Ports durch die erste Firewall eine Verbindung zu der DMZ aufgebaut werden. According to a possible embodiment of the invention, the internal area can comprise at least one server which represents a sink for the hive. Likewise, the pool and the proxy of the DMZ as well as the hive of the internal area can comprise a server or a virtual server. The pool of the DMZ sends a request to the hive to occupy at least one of the free corridors. If access to the internal area is permitted, a port connects to at least one server in the internal area. The internal area is a sink. According to the system according to the invention, a connection to the DMZ can be established by means of a port through the first firewall via at least one external device in the public area that is a source.
Der Proxy der DMZ sendet durch die durch die erste Firewall aufgebaute Verbindung zur DMZ eine Mitteilung an den Pool. Auf die Mitteilung hin initiiert der Pool eine The proxy of the DMZ sends a message to the pool through the connection to the DMZ established by the first firewall. The pool initiates a message
Belegung eines des vom Hive bereitgestellten freien Korridors, so dass der mindestens eine Korridor belegt ist. Occupancy of one of the free corridors provided by Hive, so that the at least one corridor is occupied.
Vom Hive wird über den Port und die Verbindung zum mindestens einen Server die mindestens eine Anfrage aus dem öffentlichen Bereich an den Server des internen Bereichs geleitet. The hive forwards the at least one request from the public area to the server in the internal area via the port and the connection to the at least one server.
Das erfindungsgemäße Verfahren für einen öffentlichen Zugriff auf Daten in einem geschlossenen Bereich zeichnet sich durch mehrere Schritte aus. Zunächst wird ein öffentlicher Bereich vorgesehen, der als eine Senke konfiguriert ist. Dem öffentlichen Bereich wird ein geschlossener Bereich zugeordnet. Der geschlossene Bereich umfasst einen internen Bereich, der eine Quelle ist. Eine DMZ ist eine Senke. Ein The inventive method for public access to data in a closed area is characterized by several steps. First, a public area is provided that is configured as a sink. A closed area is assigned to the public area. The closed area includes an internal area that is a source. A DMZ is a sink. A
Rechenzentrum ist eine Quelle. Zum Zugriff auf Daten werden von den Quellen protokollfreie Verbindungen zu den Senken ausgebildet. Data center is a source. Protocol-free connections to the sinks are formed by the sources to access data.
Der Vorteil dieses Verfahrens ist darin begründet, dass nur von Quellen ausgehend die Verbindungen zu den Senken aufgebaut und über die Verbindungen Daten ausgetaucht werden können, so dass ein externer Zugriff auf Daten oder ein Datendiebstahl aus dem internen Bereich (der Quellen) nicht möglich ist. Durch die Erfindung wird somit die Datensicherheit erhöht. The advantage of this method is that the connections to the sinks can only be established from sources and data can be exchanged via the connections, so that external access to data or data theft from the internal area (of the sources) is not possible. Data security is thus increased by the invention.
Gemäß der Erfindung umfasst das Rechenzentrum mindestens einen Server, wobei jedem Server über einen Zugriff ein Hive zugeordnet wird. Das Rechenzentrum kann somit mindestens eine protokollfreie Verbindung zum öffentlichen Bereich und mindestens eine protokollfreie Verbindung zu mindestens einem Proxy der DMZ aufbauen. Der interne Bereich besteht aus einer Vielzahl von Geräten (wie. z.B. According to the invention, the data center comprises at least one server, with each server being assigned a hive via an access. The data center can thus establish at least one protocol-free connection to the public area and at least one protocol-free connection to at least one proxy of the DMZ. The internal area consists of a variety of devices (such as e.g.
Mobiltelefone, Tablets, Laptops, Desktops, Steuerrechner und dergleichen), von denen mindestens eine protokollfreie Verbindung zu mindestens einem Proxy zur DMZ aufgebaut wird. Für den Fall, dass die Geräte als Rechner ausgebildet sind, kann dieser physisch oder virtuell realisiert sein. Mobile phones, tablets, laptops, desktops, control computers and the like), of which at least one protocol-free connection to at least one proxy to the DMZ is established. In the event that the devices are designed as computers, this can be implemented physically or virtually.
Mittels der DMZ wird ein Datenaustausch zwischen dem Rechenzentrum und dem internen Bereich ermöglicht. Dem mindestens einen Proxy der DMZ wird jeweils ein Pool zugeordnet. Der mindestens eine Hive verbindet sich mit dem Pool und der Pool konfiguriert den mindestens einen Proxy der DMZ. In der DMZ sind nur Proxys und keine Daten vorgesehen. Da die DMZ als eine Senke konfiguriert wird, können Zugriffe von außen nur durch einen offenen Port des Proxys erfolgen. Die DMZ ist von innen her geschlossen (Senke). Der Aufbau einer Verbindung zu einer Quelle ist nicht möglich. Es wird eine Notifikation beim dynamischen Schließen oder Öffnen eines Ports des mindestens einen Proxys gesendet. The DMZ enables data exchange between the data center and the internal area. A pool is assigned to at least one proxy of the DMZ. The at least one hive connects to the pool and the pool configures the at least one proxy of the DMZ. Only proxies and no data are provided in the DMZ. Since the DMZ is configured as a sink, external access can only take place through an open port of the proxy. The DMZ is closed from the inside (sink). A connection to a source is not possible. A notification is sent when a port of the at least one proxy is dynamically closed or opened.
Ebenso wird ein Zugriff des mindestens einen Hives auf den jeweils zugeordneten Server überwacht. Bei nicht Verfügbarkeit eines Dienstes wird dieser Zugriff des entsprechenden Servers und/oder der dynamisch geöffnete Port des mindestens einen Proxys geschlossen, wenn keine Verbindungen bestehen. Access by the at least one hive to the respectively assigned server is also monitored. If a service is not available, this access of the corresponding server and / or the dynamically opened port of the at least one proxy is closed if there are no connections.
Ein automatisches Schließen der dynamisch erstellten Ports eines Proxys kann dann erfolgen, wenn für den Port des Proxys keine Verbindungen bestehen. Dies ist z.B. der Fall, wenn die Kombination aus Server und Hive„down“ ist. The dynamically created ports of a proxy can be closed automatically if there are no connections for the port of the proxy. This is e.g. the case when the combination of server and hive is "down".
Eine besonders vorteilhafte Ausführungsform der gegenwärtigen Erfindung ist, wenn die im System verwendeten Hives die Klone eines vorhergehenden Hives sind. Jeder der geklonten Hives kann sich somit selbst mit dem Pool des mindestens einen Proxys verbinden. A particularly advantageous embodiment of the present invention is when the hives used in the system are the clones of a previous hive. Each of the cloned hives can thus connect itself to the pool of the at least one proxy.
Die DMZ kann auch ein einzelner Rechner sein, wie z.B. ein Rechner von einem The DMZ can also be a single computer, e.g. a calculator from one
Internetprovider. Internet provider.
Anhand der beigefügten Zeichnungen werden nun die Erfindung und ihre Vorteile durch Ausführungsbeispiele näher erläutert, ohne dadurch die Erfindung auf das gezeigte Ausführungsbeispiel zu beschränken. Die Größenverhältnisse in den Figuren entsprechen nicht immer den realen Größenverhältnissen, da einige Formen vereinfacht und andere Formen zur besseren Veranschaulichung vergrößert im Verhältnis zu anderen Elementen dargestellt sind. Dabei zeigen: The invention and its advantages will now be explained in more detail by means of exemplary embodiments with reference to the accompanying drawings, without thereby restricting the invention to the exemplary embodiment shown. The proportions in the figures do not always correspond to the real size relationships, as some shapes are simplified and other shapes are shown enlarged in relation to other elements for better illustration. Show:
Figur 1 eine schematische Darstellung eines einstufigen Firewall-Konzepts des Figure 1 is a schematic representation of a single-stage firewall concept
Standes der Technik;  State of the art;
Figur 2 eine schematische Darstellung eines zweistufigen Firewall-Konzepts des Figure 2 is a schematic representation of a two-stage firewall concept
Standes der Technik;  State of the art;
Figur 3 eine schematische Darstellung einer Quelle im Sinne der Erfindung; Figure 3 is a schematic representation of a source in the sense of the invention;
Figur 4 eine schematische Darstellung einer Senke im Sinne der Erfindung; Figure 4 is a schematic representation of a sink in the sense of the invention;
Figur 5A eine schematische Darstellung eines erlaubten bzw. möglichen Figure 5A is a schematic representation of an allowed or possible
Verbindungsaufbaus;  Connection establishment;
Figur 5B eine schematische Darstellung eines nicht erlaubten bzw. nicht möglichen FIG. 5B shows a schematic illustration of a not permitted or not possible
Verbindungsaufbaus;  Connection establishment;
Figur 6 eine schematische Ansicht der Verbindung zweier Quellen; Figure 6 is a schematic view of the connection of two sources;
Figur 7 eine schematische Darstellung eines Pools im Sinne der Erfindung; FIG. 7 shows a schematic representation of a pool in the sense of the invention;
Figur 8 eine schematische Darstellung eines Hives im Sinne der Erfindung; FIG. 8 shows a schematic illustration of a hive in the sense of the invention;
Figur 9 eine schematische Darstellung der Vermittlung von Verbindungen an den Figure 9 is a schematic representation of the switching of connections to the
Pool;  Pool;
Figur 10 eine schematische Darstellung der erfindungsgemäßen Zuordnung von öffentlichen Anfragen; FIG. 10 shows a schematic illustration of the assignment of public inquiries according to the invention;
Figur 11 eine schematische Darstellung des erfindungsgemäßen Systems und Figure 11 is a schematic representation of the system according to the invention and
dessen Zusammenwirken von Senken und Quellen;  its interaction of sinks and sources;
Figur 12 eine schematische Veranschaulichung einer Ausführungsform des Figure 12 is a schematic illustration of an embodiment of the
erfindungsgemäßen Systems; Figur 13 eine schematische Veranschaulichung einer weiteren Ausführungsform des erfindungsgemäßen Systems; und system according to the invention; FIG. 13 shows a schematic illustration of a further embodiment of the system according to the invention; and
Figur 14 eine schematische Darstellung der Kombination aus Server und Hive. Figure 14 is a schematic representation of the combination of server and hive.
Für gleiche oder gleich wirkende Elemente der Erfindung werden identische Identical or identical elements of the invention become identical
Bezugszeichen verwendet. Ferner werden der Übersicht halber nur Bezugszeichen in den einzelnen Figuren dargestellt, die für die Beschreibung der jeweiligen Figur erforderlich sind. Die Figuren stellen lediglich Ausführungsbeispiele der Erfindung dar, ohne jedoch die Erfindung auf die dargestellten Ausführungsbeispiele zu beschränken. Reference numerals used. Furthermore, for the sake of clarity, only reference numerals are shown in the individual figures which are necessary for the description of the respective figure. The figures only show exemplary embodiments of the invention, but without restricting the invention to the exemplary embodiments shown.
Figur 1 zeigt die Darstellung eines einstufigen Firewall-Konzepts des Standes der Technik. Eine demilitarisierte Zone 4 (DMZ) ist über eine Firewall 6 mit einem Intranet 2 (wie z.B. LAN) verbunden. Das Intranet 2 wird durch die Firewall 6 gegen andere Netze 8, wie z.B. Internet oder LAN, abgeschirmt. Durch die Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z.B. E-Mail, www, o.ä.) gestattet und gleichzeitig das Intranet 2 (internes Netz) vor ungerechtfertigten Zugriffen aus den anderen Netzen 8 geschützt werden. Die Schutzwirkung der DMZ 4 wird durch die Isolation eines Systems gegenüber zwei oder mehr Netzen erreicht. Bei der hier dargestellten Ausführungsform kann die DMZ 4 drei Server bzw. Systeme, wie z.B. WWW 1 1 , SMTP 12 und DNS 13 umfassen. Figure 1 shows the representation of a single-stage firewall concept of the prior art. A demilitarized zone 4 (DMZ) is connected to an intranet 2 (such as LAN) via a firewall 6. The intranet 2 is protected by the firewall 6 against other networks 8, e.g. Internet or LAN, shielded. The separation allows access to publicly accessible services (bastion hosts with e.g. e-mail, www, etc.) and at the same time protects the intranet 2 (internal network) against unauthorized access from the other networks 8. The protective effect of the DMZ 4 is achieved by isolating a system from two or more networks. In the embodiment shown here, the DMZ 4 can have three servers or systems, e.g. WWW 1 1, SMTP 12 and DNS 13 include.
Figur 2 zeigt eine schematische Darstellung eines einstufigen Firewall-Konzepts des Standes der Technik. Die DMZ 4 ist bei dieser Ausführungsform durch eine erste Firewall 6 und eine zweite Firewall 7 geschützt. Die erste Firewall 6 trennt die DMZ 4 von den externen Netzen 8 bzw. dem Internet. Die zweite Firewall 7 trennt das Intranet 2 von der DMZ 4. FIG. 2 shows a schematic illustration of a single-stage firewall concept of the prior art. In this embodiment, the DMZ 4 is protected by a first firewall 6 and a second firewall 7. The first firewall 6 separates the DMZ 4 from the external networks 8 or the Internet. The second firewall 7 separates the intranet 2 from the DMZ 4.
Figur 3 zeigt eine schematische Darstellung einer Quelle 20 im Sinne der Erfindung. Eine Quelle 20 im Sinne der Erfindung kann Verbindungen 21 aufbauen. Die Quelle 20 ist schematisch mit einer durchgezogenen Linie 18 und einer gestrichelten Linie 19 dargestellt. Eine Verbindung 21 kann nur von der Quelle 20 ausgehend aufgebaut werden. In anderen Worten, die Verbindung 21 kann nur von der gestrichelten Linie 19 ausgehend aufgebaut werden. Eine Annahme von Verbindungen 21 durch die Quelle 20 über die durchgezogene Linie 18 ist nicht möglich. Über die Verbindung 21 können Daten aus einer Senke 22 (siehe Figur 4) des erfindungsgemäßen Systems an die Quelle 20 gesendet werden. FIG. 3 shows a schematic illustration of a source 20 in the sense of the invention. A source 20 in the sense of the invention can establish connections 21. The source 20 is shown schematically with a solid line 18 and a dashed line 19. A connection 21 can only be established starting from the source 20. In other words, the connection 21 can only come from the dashed line 19 starting out. An acceptance of connections 21 by the source 20 via the solid line 18 is not possible. Via connection 21, data from a sink 22 (see FIG. 4) of the system according to the invention can be sent to the source 20.
In Figur 4 ist schematisch eine Senke 22 dargestellt, wie sie im erfindungsgemäßen System Verwendung findet. Die Senke 22 kann Verbindungen 21 annehmen. Ein Aufbau von Verbindungen 21 zu anderen Elementen des Systems ist nicht möglich. Die Senke 22 lässt sich ebenfalls schematisch mit einer durchgezogenen Linie 18 und einer gestrichelten Linie 19 darstellen. Eine Verbindung 21 kann nur von der Senke 22 angenommen werden. Wie in Figur 5 verdeutlicht, umgibt die gestrichelte Line 19 die durchgezogene Linie 18. FIG. 4 schematically shows a depression 22 as used in the system according to the invention. The sink 22 can accept connections 21. It is not possible to set up connections 21 to other elements of the system. The depression 22 can also be represented schematically with a solid line 18 and a dashed line 19. A connection 21 can only be accepted by the sink 22. As illustrated in FIG. 5, the dashed line 19 surrounds the solid line 18.
Figur 5A verdeutlicht in welcher Richtung der Aufbau einer Verbindung 21 möglich ist. Es ist egal ob Senke 22 oder Quelle 20, die Verbindung 21 kann nur von der FIG. 5A illustrates the direction in which the establishment of a connection 21 is possible. It does not matter whether sink 22 or source 20, the connection 21 can only from the
gestrichelten Linie 19 über die durchgezogene Linie 18 erfolgen. Dashed line 19 take place over the solid line 18.
Figur 5B verdeutlicht in welcher Richtung der Aufbau einer Verbindung 21 nicht möglich ist. Die durchgezogene Linie 18 ermöglicht keinen Aufbau einer Verbindung 21. Folglich ist eine Verbindung 21 von der durchgezogenen Linie 18 über die gestrichelte Linie 19 nicht möglich. FIG. 5B illustrates the direction in which the establishment of a connection 21 is not possible. The solid line 18 does not allow a connection 21 to be established. Consequently, a connection 21 from the solid line 18 via the dashed line 19 is not possible.
Figur 6 zeigt eine schematische Ansicht der Verbindung zweier Quellen 20. Zwei Quellen 20 können sich nur über eine Senke 22 verbinden. Es ist nicht möglich, dass sich zwei Quellen 20 oder zwei Senken 22 miteinander verbinden. Eine der Quellen 20 stellt eine Verbindung 21 mit der Senke 22 her. Ebenso stellt die andere Quelle 20 eine Verbindung 21 mit der Senke 22 her. Über die hergestellten Verbindungen 21 können nun Daten über die Senke 22, von einer Quelle 20 mit der anderen Quelle 20 FIG. 6 shows a schematic view of the connection of two sources 20. Two sources 20 can only connect via a sink 22. It is not possible for two sources 20 or two sinks 22 to connect to one another. One of the sources 20 establishes a connection 21 with the sink 22. Likewise, the other source 20 establishes a connection 21 with the sink 22. Via the established connections 21, data about the sink 22 can now be transmitted from one source 20 to the other source 20
ausgetauscht werden. In der Senke 22 sind keine Daten vorhanden. be replaced. There is no data in the sink 22.
Figur 7 zeigt einen Pool 23, der beim dem erfindungsgemäßen System Verwendung findet. Ein Pool 23 ist eine Senke 22 und kann mindestens eine Verbindung 21 annehmen, sammeln und verwalten. Die dargestellte Anzahl der Verbindungen 21 ist lediglich beispielhaft und soll nicht als eine Beschränkung der Erfindung aufgefasst werden. FIG. 7 shows a pool 23 which is used in the system according to the invention. A pool 23 is a sink 22 and can accept, collect and manage at least one connection 21. The number of connections shown is 21 merely by way of example and should not be construed as a limitation of the invention.
In Figur 8 ist ein Hive 24 dargestellt. Der Hive 24 ist eine Quelle 20 des Systems, die mindestens eine Verbindung 21 aufbauen kann. A hive 24 is shown in FIG. The hive 24 is a source 20 of the system, which can establish at least one connection 21.
Figur 9 zeigt einen Pool 23 der mit einen internen Zugriff 26 auf den Proxy 25 zugreift, um Ports des Proxys 25 für die Verbindungen (nicht dargestellt) von den Quellen 20 zu ermöglichen. Fig. 9 zeigt den prinzipiellen Aufbau einer DMZ 4. Es ist selbstverständlich, dass eine DMZ 4 mehr als einen Proxy 25 mit Pool 23 umfassen kann. Die hier gezeigte Darstellung dient zum Zwecke der Beschreibung und ist nicht als Beschränkung der Erfindung aufzufassen. FIG. 9 shows a pool 23 which accesses the proxy 25 with an internal access 26 in order to enable ports of the proxy 25 for the connections (not shown) from the sources 20. 9 shows the basic structure of a DMZ 4. It goes without saying that a DMZ 4 can comprise more than one proxy 25 with pool 23. The illustration shown here is for the purpose of description and is not to be interpreted as a limitation of the invention.
Figur 10 zeigt eine schematische Darstellung einer möglichen Ausführungsform des Systems 1 der Erfindung. Die DMZ 4 ist eine Senke 22. Die DMZ 4 umfasst, wie bereits erwähnt, den Pool 23 und den Proxy 25. Der Pool 23 sammelt die Verbindungen 21 aus dem internen Bereich 2 (Quelle 20), wie z.B. Intranet. Die Verwaltung und Zuordnung der Verbindungen 21 (siehe Figur 12) aus dem öffentlichen Bereich 8 (öffentliche Netze, Internet; Quelle 20) werden von dem Proxy 25 der DMZ 4 übernommen. FIG. 10 shows a schematic illustration of a possible embodiment of the system 1 of the invention. The DMZ 4 is a sink 22. The DMZ 4 comprises, as already mentioned, the pool 23 and the proxy 25. The pool 23 collects the connections 21 from the internal area 2 (source 20), e.g. Intranet. The management and assignment of the connections 21 (see FIG. 12) from the public area 8 (public networks, Internet; source 20) are carried out by the proxy 25 of the DMZ 4.
Figur 11 zeigt eine schematische und vereinfachte Darstellung des erfindungsgemäßen Systems 1 und das Zusammenwirken von Senken 22 und Quellen 20. Aus dem internen Bereich 2 (Quelle 20) gelangen die Daten 28 über die Verbindung 21 zu einer Senke 22, die die DMZ 4 (Senke 22) mit dem zumindest einen Proxy 25 darstellt. Auf Anfrage aus dem öffentlichen Bereich 8 können die Daten 28 aus dem internen Bereich 2 mittels der hergestellten Verbindungen 21 über die DMZ 4, die ebenfalls eine Senke 22 ist, zu dem Rechenzentrum 5 (Quelle 20) geleitet werden. Die DMZ 4 verwaltet die Anfragen (siehe Figur 12 und 13) aus dem öffentlichen Bereich 8 und stellt die erforderlichen FIG. 11 shows a schematic and simplified illustration of the system 1 according to the invention and the interaction of sinks 22 and sources 20. From the internal area 2 (source 20), the data 28 arrive via the connection 21 to a sink 22 which the DMZ 4 (sink 22) with the at least one proxy 25. Upon request from the public area 8, the data 28 from the internal area 2 can be routed to the data center 5 (source 20) by means of the connections 21 established via the DMZ 4, which is also a sink 22. The DMZ 4 manages the inquiries (see FIGS. 12 and 13) from the public area 8 and provides the necessary ones
Verbindungen 21 her. Wird z.B. die Senke 22 kompromittiert, ist es nicht möglich, Daten nach außen zu schaffen, da eine Senke 22 keine Verbindung 21 (Fluchtweg) nach außen, zu den Quellen 20 aufbauen kann. Figur 12 zeigt eine mögliche Ausführungsform des erfindungsgemäßen Systems 1. Zwischen einer Quelle 20, die ein interner Bereich 2 (wie z.B. ein Local Area Network (LAN) oder Intranet) ist und einem Rechenzentrum 5, das ebenfalls eine Quelle 20 ist, ist die DMZ 4 vorgesehen, die eine Senke 22 ist. Ein geschlossener Bereich 100 des erfindungsgemäßen Systems 1 umfasst den internen Bereich 2 (wie z.B. ein Local Area Network (LAN) oder Intranet), die DMZ 4 ist und das Rechenzentrum 5. Connections 21. If, for example, the sink 22 is compromised, it is not possible to create data to the outside, since a sink 22 cannot establish a connection 21 (escape route) to the sources 20 to the outside. FIG. 12 shows a possible embodiment of the system 1 according to the invention. Between a source 20, which is an internal area 2 (such as a local area network (LAN) or intranet) and a data center 5, which is also a source 20, is the DMZ 4 is provided, which is a depression 22. A closed area 100 of the system 1 according to the invention comprises the internal area 2 (such as a local area network (LAN) or intranet), which is DMZ 4 and the data center 5.
Der interne Bereich 2 kann eine Vielzahl von Geräten 32i, 322, ...32N umfassen, die ebenfalls Quellen 20 sind. Die Geräte 32i, 322, ...32N des internen Bereichs 2 können z.B. Mobiltelefone, Tablets, Laptops, Desktoprechner, ein Steuerrechner oder eine Vorrichtung, die eine Fernwartung benötigt, sein. Ein Beispiel für ein Gerät 32i, The internal area 2 can comprise a multiplicity of devices 32i, 32 2 ,... 32 N , which are also sources 20. The devices 32i, 32 2 ,... 32 N of the internal area 2 can be, for example, mobile telephones, tablets, laptops, desktop computers, a control computer or a device that requires remote maintenance. An example of a 32i device,
322....32n, das eine Fernwartung benötigt, kann z.B. ein Röntgengerät sein. Ein öffentlicher Zugriff ist als Zugriff definiert, der nicht zum internen Bereich 2 gehört. Die Firewall-Einstellung der einzelnen Geräte 32i, 322, ...32N ist statisch. Wie für eine Quelle 20 definiert, ist diese von außen geschlossen und von innen offen. Der Quelle 20 ist es folglich nur möglich eine Verbindung 21 aufzubauen. 32 2 .... 32 n that requires remote maintenance can be an X-ray device, for example. Public access is defined as access that does not belong to internal area 2. The firewall setting of the individual devices 32i, 32 2 , ... 32 N is static. As defined for a source 20, it is closed from the outside and open from the inside. The source 20 is therefore only possible to establish a connection 21.
Die DMZ 4 kann mindestens einen Proxy 25i, 252, ... ,25P umfassen. Der mindestens eine Proxy 25i , 252, ... ,25P kann als Server und/oder virtueller Server ausgestaltet sein.The DMZ 4 can comprise at least one proxy 25i, 25 2 , ..., 25 P. The at least one proxy 25i, 25 2 , ..., 25 P can be designed as a server and / or a virtual server.
In der DMZ 4 sind keine Daten vorhanden. Auf den mindestens einen Proxy 25i,No data is available in DMZ 4. On the at least one proxy 25i,
252.... .25P kann von außen zugegriffen werden. Die Geräte 32i, 322, ...32N des internen Bereichs 2 können die Verbindungen 21 zu dem mindestens einen Proxy 25i, 25 2 .... .25 P can be accessed from the outside. The devices 32i, 32 2 ,... 32 N of the internal area 2 can make the connections 21 to the at least one proxy 25i,
252.... ,25P aufbauen. Folglich ist, wie es für eine Senke 22 definiert ist, der mindestens eine Proxy 25i, 252, ... ,25P von außen offen und von innen geschlossen. Jedem der Proxy 25i, 252, ... ,25P kann auch ein Pool 23 (hier nicht dargestellt; siehe Fig. 10) zugeordnet sein. Die Proxy 25i, 252, ... ,25P sind Portproxy. Die Pools 23 sind Poolproxy. 25 2 ...., build up 25 P. Thus, as defined for a sink 22, the at least one proxy 25i, 25 2 , ..., 25 P is open from the outside and closed from the inside. A pool 23 (not shown here; see FIG. 10) can also be assigned to each of the proxy 25i, 25 2 ,... 25 P. The proxy 25i, 25 2 , ..., 25 P are port proxy. The pools 23 are pool proxies.
Das Rechenzentrum 5 ist eine Quelle 20, die mindestens einen Server 30i, 302, ... ,30s mit jeweils einem zugeordneten Hive 24i, 242, ... ,24s umfasst. Jeder der Server 30i,The data center 5 is a source 20 which comprises at least one server 30i, 30 2 , ..., 30 s , each with an associated hive 24i, 24 2 , ..., 24 s . Each of the servers 30i,
302.... .30S kann eine Verbindung 21 zu dem mindestens einen Proxy 25i, 252, ... ,25P der DMZ 4 aufbauen. Ebenso kann jeder Server 30i , 302, ... ,30s des Rechenzentrums 5 eine Verbindung 21 zu einem öffentlichen Bereich 8 aufbauen, der z.B. das Internet ist aufbauen. Der öffentlichen Bereich 8 (Internet) umfasst eine Vielzahl von Anwendungen 40i, 402, ... ,40k, auf die das erfindungsgemäße System 1 zugreifen kann. 30 2 ..... 30 S can establish a connection 21 to the at least one proxy 25i, 25 2 , ..., 25 P of the DMZ 4. Likewise, each server 30i, 30 2 , ..., 30 s of the data center 5 can establish a connection 21 to a public area 8, which is, for example, the Internet build up. The public area 8 (Internet) comprises a large number of applications 40i, 40 2 , ..., 40 k , which the system 1 according to the invention can access.
Der Verbindungsaufbau aus dem Rechenzentrum 5 (Quelle 20) mit der DMZ 4 erfolgt derart, dass sich zumindest ein Hive 24i, 242, ... ,24s mit dem Pool 23 (Poolproxy) verbindet. Der zumindest eine Hive 24i, 242, ... ,24s konfiguriert dynamisch über den Pool 23 den zumindest mindestens einen Proxy 25i, 252, ... ,25P (Portproxy). The connection from the data center 5 (source 20) to the DMZ 4 is established in such a way that at least one hive 24i, 24 2 , ..., 24 s connects to the pool 23 (pool proxy). The at least one hive 24i, 24 2 , ..., 24 s dynamically configures the at least one proxy 25i, 25 2 , ..., 25 P (port proxy) via the pool 23.
Anhand des folgenden Beispiels wird der oben beschriebene Verbindungsaufbau von Pool 23 (Poolproxy) und dem mindestens einen Proxy 25i, 252, ... ,25P (Portproxy) verdeutlicht. Der Pool 23 (Poolproxy) kört auf z.B. auf Port 8001 . Einer der Hives 24i,The following example illustrates the connection setup described above for pool 23 (pool proxy) and the at least one proxy 25i, 25 2 , ..., 25 P (port proxy). Pool 23 (pool proxy) listens to port 8001, for example. One of the Hives 24i,
242.... ,24s, wie z.B. Hive 24i, verbindet sich mit Port 8001. Der Hive 24i, öffnet auf dem Proxy 25i (Portproxy) den Port 443. Der Hive 24i ist auf dem zugeordneten Server 30i mit Port 443 verbunden. Somit ist ein Datenaustausch vom Port 443 des Proxy 25i (Portproxy) zum Port 443 des Servers 30i möglich. 24 2 ...., 24 s , such as Hive 24i, connects to port 8001. Hive 24i opens port 443 on proxy 25i (port proxy). Hive 24i is connected to port 443 on the assigned server 30i . This enables data exchange from port 443 of proxy 25i (port proxy) to port 443 of server 30i.
Der zumindest eine Hive 24i, 242, ... ,24s und der mindestens eine Proxy 25i, 252, ... ,25P sind von einem Protokoll, wie z.B. http, unabhängig. Die Konfiguration des mindestens einen Proxy 25i, 252, ... ,25P ist statisch. Die Konfiguration des mindestens einen zugeordneten Hives 24i , 242, ... ,24s ist semi-statisch, nur der Port des mindestens einen Proxy 25i, 252, ... ,25P (Portproxy) und der Port des mindestens einen Servers 30i,The at least one hive 24i, 24 2 , ..., 24 s and the at least one proxy 25i, 25 2 , ..., 25 P are independent of a protocol, such as http. The configuration of the at least one proxy 25i, 25 2 , ..., 25 P is static. The configuration of the at least one assigned hive 24i, 24 2 , ..., 24 s is semi-static, only the port of the at least one proxy 25i, 25 2 , ..., 25 P (port proxy) and the port of the at least one Servers 30i,
302.... .30S können geändert werden. 30 2 .... .30 S can be changed.
Beim Öffnen eines Ports für mindestens einen Proxy 25i , 252, ... ,25P erfolgt eine When opening a port for at least one proxy 25i, 25 2 , ..., 25 P there is a
Notifikation. Ebenso erfolgt eine Notifikation beim Schließen eines Ports für mindestens einen Proxy 25i , 252, ... ,25P. jeder Hive 24i , 242, ... ,24s der dem entsprechenden Server 30i, 302, ... ,30S des Rechenzentrums zugeordnet ist, kann über einen internen Zugriff überwacht werden. Der Zugriff des entsprechenden Hives 24i, 242, ... ,24s auf den ihm zugeordneten Server 30i, 302, ... ,30s kann geschlossen werden, wenn der Notification. There is also a notification when a port is closed for at least one proxy 25i, 25 2 , ..., 25 P. Each hive 24i, 24 2 , ..., 24 s that is assigned to the corresponding server 30i, 30 2 , ..., 30 S of the data center can be monitored via an internal access. The access of the corresponding hives 24i, 24 2 , ..., 24 s to the server 30i, 30 2 , ..., 30 s assigned to it can be closed if the
entsprechende Server 30i , 302, ... ,30s nicht verfügbar ist. corresponding server 30i, 30 2 , ..., 30 s is not available.
Es kann ein automatisches Schließen des dynamisch konfigurierten Ports des mindestens einen Proxy 25i, 252, ... ,25P (Portproxy) erfolgen, wenn die Verbindunganzahl des mindestens einen Proxy 25i, 252, ... ,25P (Portproxy) null ist. Dies ist zum Beispiel der Fall, wenn der Zusammenschluss des mindestens einen Servers 30i, 302, ... ,30S mit dem entsprechenden Hive 24i, 242, ... ,24s„down“ ist, wie z.B. durch einen Stromausfall. The dynamically configured port of the at least one proxy 25i, 25 2 , ..., 25 P (port proxy) can be automatically closed if the Number of connections of at least one proxy 25i, 25 2 , ..., 25 P (port proxy) is zero. This is the case, for example, if the combination of the at least one server 30i, 30 2 , ..., 30 S with the corresponding hive 24i, 24 2 , ..., 24 s is "down", for example due to a power failure .
Werden weitere Zuordnungen aus Server 30i, 302, ... ,30s (Rechner) und Hive 24i,If further assignments from server 30i, 30 2 , ..., 30 s (computer) and Hive 24i,
242.... .24S benötigt, erfolgt dies durch Klonen eines der bestehenden Hives 24i,24 2 .... .24 S is required, this is done by cloning one of the existing Hives 24i,
242.....24s. Der geklonte Hive 24i, 242, ... ,24s verbindet sich wieder mit dem Pool 23 (Poolproxy), da die Konfiguration des geklonten Hives 24i, 242, ... ,24s nicht geändert wurde. 24 2 ..... 24 s . The cloned Hive 24i, 24 2 , ..., 24 s reconnects to Pool 23 (pool proxy) because the configuration of the cloned Hives 24i, 24 2 , ..., 24 s has not been changed.
Der öffentliche Bereich 8, z.B. das Internet, umfasst eine Vielzahl von externen Geräten und Dienste (nicht dargestellt). Der öffentliche Bereich 8 ist eine Senke 22 und von dem Rechenzentrum 5, das eine Quelle 20 ist, durch eine Firewall 6 abgeschirmt, Das Rechenzentrum 5 baut, falls Anfragen aus dem internen Bereich 2 (wie z.B. Intranet) vorliegen, eine Verbindung zu einem Proxyserver 40 im öffentlichen Bereich 8 auf. Die Anwendungen 40i, 402, ... ,40K (Geräte und/oder Dienste) des öffentlichen Bereichs 8 bauen Verbindungen 21 zum dem Proxyserver 40 auf, der nicht öffentlich ist. verbinden können, um Anfragen an den internen Bereich 2 zu stellen. Damit die Anfragen vom öffentlichen Bereich 8 zum internen Bereich 2 des geschlossenen Bereichs gelangen, müssen die entsprechenden Verbindungen 21 die erste Firewall 6 und die zweite Firewall 7 (siehe Figur 13) der DMZ 4 passieren durch das System 1 erstellt werden. The public area 8, for example the Internet, comprises a large number of external devices and services (not shown). The public area 8 is a sink 22 and is shielded from the data center 5, which is a source 20, by a firewall 6. The data center 5 builds a connection to a proxy server if there are requests from the internal area 2 (such as an intranet) 40 in the public area 8. The applications 40i, 40 2 , ..., 40 K (devices and / or services) of the public area 8 establish connections 21 to the proxy server 40, which is not public. connect to make inquiries to internal area 2. In order that the requests from the public area 8 to the internal area 2 of the closed area, the corresponding connections 21, the first firewall 6 and the second firewall 7 (see FIG. 13) of the DMZ 4 have to be created by the system 1.
Figur 13 zeigt eine weitere mögliche Ausführungsform des Systems 1 der FIG. 13 shows a further possible embodiment of the system 1 in FIG
gegenwärtigen Erfindung. Der Aufbau der Ausführungsform der Fig. 13 unterscheidet sich von dem bereits in Fig. 12 beschriebenen Aufbau dadurch, dass eine zweite Firewall 7 vorgesehen ist. Der Proxyserver 40 ist somit durch die erste Firewall 6 und die zweite Firewall 7 abgeschirmt. Die Konfiguration entspricht der einer DMZ 4. Alle weiteren Merkmale des erfindungsgemäßen Systems 1 sind bereits ausführlich in der Beschreibung zu Fig. 12 beschrieben worden. current invention. The structure of the embodiment in FIG. 13 differs from the structure already described in FIG. 12 in that a second firewall 7 is provided. The proxy server 40 is thus shielded by the first firewall 6 and the second firewall 7. The configuration corresponds to that of a DMZ 4. All other features of the system 1 according to the invention have already been described in detail in the description of FIG. 12.
Es wird angenommen, dass das System und das Verfahren der vorliegenden It is believed that the system and method of the present
Offenbarung und vieler ihrer begleitenden Vorteile durch die vorstehende Beschreibung verständlich ist. Ferner ist es offensichtlich, dass verschiedene Änderungen in der Form, Anzahl, Konstruktion und der Anordnung der Komponenten vorgenommen werden können, ohne von dem offenbarten Gegenstand abzuweichen oder ohne alle ihre materiellen Vorteile zu opfern. Die beschrieben Form ist lediglich erklärend. Disclosure and many of its attendant advantages through the foregoing description is understandable. Furthermore, it is apparent that various changes in the shape, number, construction and arrangement of the components can be made without departing from the subject matter disclosed or without sacrificing all of their material advantages. The form described is only explanatory.
Die Erfindung wurde in Bezug auf bevorzugte Ausführungsformen beschrieben. Es ist für einen Fachmann selbstverständlich, dass Abwandlungen und Änderungen der Erfindung gemacht werden können, ohne dabei den Schutzbereich der nachstehenden Ansprüche zu verlassen. The invention has been described in terms of preferred embodiments. It will be understood by those skilled in the art that modifications and changes to the invention can be made without departing from the scope of the following claims.
Bezugszeichenliste System System reference number list
interner Bereich, Intranet  internal area, intranet
demilitarisierte Zone, DMZ  demilitarized zone, DMZ
Rechenzentrum  Data center
erste Firewall  first firewall
zweite Firewall  second firewall
öffentlicher Bereich (Internet, Netzwerke) WWW SMTP DNS  public area (Internet, networks) WWW SMTP DNS
durchgezogene Linie  solid line
gestrichelte Linie  dashed line
Quelle  source
Verbindung  connection
Senke  Sink
Pool  pool
Hive Hive
i, 242, ... ,24S Hive i, 24 2 , ..., 24 S Hive
Proxy Proxy
i, 252, ... ,25P Proxy i, 25 2 , ..., 25 P proxy
interner Zugriff  internal access
Daten  Data
Server server
i, 302, ... ,30s Serveri, 30 2 , ..., 30 s server
i, 322, ...32N Geräte i, 32 2 , ... 32 N devices
Proxyserver Proxy server
i, 402, ... ,40K Anwendungi, 40 2 , ..., 40 K application
0 geschlossener Bereich 0 closed area

Claims

Patentansprüche Claims
1. System (1 ) für einen Zugriff auf Daten, umfassend: einen öffentlichen Bereich (8), einen geschlossenen Bereich (100), der einen internen Bereich (2), eine DMZ (4) und ein Rechenzentrum (5) aufweist, wobei der interne Bereich (2) eine Vielzahl von Geräten (32i, 322, ...32N), die DMZ (4) mindestens einen Proxy (25i, A system (1) for accessing data, comprising: a public area (8), a closed area (100) which has an internal area (2), a DMZ (4) and a data center (5), wherein the internal area (2) a large number of devices (32i, 32 2 , ... 32 N ), the DMZ (4) at least one proxy (25i,
252.....25P ) mit jeweils einem zugeordneten Pool (23) und ein Rechenzentrum (5) mit mindestens einen Server (30i, 302, ... ,30s) aufweist, 25 2 ..... 25 P ) each with an assigned pool (23) and a data center (5) with at least one server (30i, 30 2 , ..., 30 s ),
gekennzeichnet durch, jeweils einen Hive (24i, 242, ... ,24s), der je einem Server (30i, 302, ... ,30s) des characterized by, each a hive (24i, 24 2 , ..., 24 s ), each of which a server (30i, 30 2 , ..., 30 s ) of
Rechenzentrums (5) zugeordnet ist, wobei jede Kombination aus Hive (24i, Data center (5) is assigned, each combination of hive (24i,
242.....24s) und Server (30i, 302, ... ,30s) eine protokollfreie Verbindung (21 ) zum öffentlichen Bereich (8) und eine protokollfreie Verbindung (21 ) zur DMZ (4) des geschlossenen Bereichs (100) bereitstellt und wobei der interne Bereich (2) des geschlossenen Bereichs (100) eine protokollfreie Verbindung (21 ) zur DMZ (4) des geschlossenen Bereichs (100) bereitstellt. 24 2 ..... 24 s ) and server (30i, 30 2 , ..., 30 s ) a protocol-free connection (21) to the public area (8) and a protocol-free connection (21) to the DMZ (4) des provides closed area (100) and wherein the internal area (2) of the closed area (100) provides a protocol-free connection (21) to the DMZ (4) of the closed area (100).
2. System (1 ) nach Anspruch 1 , wobei der interne Bereich (2) und die Geräte (32i,2. System (1) according to claim 1, wherein the internal area (2) and the devices (32i,
322....32n) des internen Bereichs (2) jeweils Quellen (20) sind, wobei das 32 2 .... 32 n ) of the internal area (2) are sources (20), whereby the
Rechenzentrum (5) und die im Rechenzentrum (5) vorgesehene mindestens eine Kombination aus je einem Server (30i, 302, ... ,30s) mit je einem Hive (24i, Data center (5) and the at least one combination of a server (30i, 30 2 , ..., 30 s ) with a hive (24i,
242.... ,24s) eine Quelle (20) ist. 24 2 ...., 24 s ) is a source (20).
3. System (1 ) nach einem der vorangehenden Ansprüche, wobei die DMZ (4) und der mindestens eine Proxy (25i, 252, ... ,25P) mit jeweils einem zugeordneten Pool (23) und der öffentliche Bereich (8) Senken (22) sind und wobei die Quellen (20) des Systems über die Verbindungen (21 ) mit den Senken (22) verbunden sind. 3. System (1) according to one of the preceding claims, wherein the DMZ (4) and the at least one proxy (25i, 25 2 , ..., 25 P ), each with an associated pool (23) and the public area (8 ) Are sinks (22) and the sources (20) of the system are connected to the sinks (22) via the connections (21).
4. System (1 ) nach Anspruch 3, wobei die DMZ (4) mit einer ersten Firewall (6) und einer zweiten Firewall (7) versehen ist, wobei die erste Firewall (6) eine Senke (22) für die Verbindungen (21 ) vom internen Bereich (2) ist und die zweite Firewall (7) eine Senke (22) für die Verbindungen (21 ) vom Rechenzentrum (5) ist. 4. System (1) according to claim 3, wherein the DMZ (4) is provided with a first firewall (6) and a second firewall (7), the first firewall (6) being a sink (22) for the connections (21 ) from the internal area (2) and the second firewall (7) is a sink (22) for the connections (21) from the data center (5).
5. System (1 ) nach einem der vorangehenden Ansprüche, wobei die Hives (24i,5. System (1) according to any one of the preceding claims, wherein the hives (24i,
242.... ,24s), die den entsprechenden Servern (30i , 302, ... ,30s) zugeordnet sind, jeweils Klone von einem zuvor installierten Hive (24i, 242, ... ,24s) sind. 24 2 ...., 24 s ), which are assigned to the corresponding servers (30i, 30 2 , ..., 30 s ), clones from a previously installed hive (24i, 24 2 , ..., 24 s ) are.
6. System (1 ) nach einem der vorangehenden Ansprüche, wobei bei jeder 6. System (1) according to any one of the preceding claims, wherein each
Kombination aus Hive (24i, 242, ... ,24s) und Server (30i, 302, ... ,30s) jeder Hive (24i, 242, ... ,24s) auf den ihm zugeordneten Server (30i, 302, ... ,30s) einen internen Zugriff 26 hat. Combination of hive (24i, 24 2 , ..., 24 s ) and server (30i, 30 2 , ..., 30 s ) of each hive (24i, 24 2 , ..., 24 s ) on the assigned ones Server (30i, 30 2 , ..., 30 s ) has an internal access 26.
7. System (1 ) nach Anspruch 6, wobei der mindestens eine Server (30i, 302, ... ,30s) und der ihm zugeordnete Hive (24i, 242, ... ,24s) auf zwei getrennten Rechnern installiert sind und eine Software für den entsprechenden Hive (24i, 242, ... ,24s) auf dem separaten Rechner installiert ist. 7. System (1) according to claim 6, wherein the at least one server (30i, 30 2 , ..., 30 s ) and the hive assigned to it (24i, 24 2 , ..., 24 s ) on two separate computers are installed and software for the corresponding hive (24i, 24 2 , ..., 24 s ) is installed on the separate computer.
8. System (1 ) nach einem der vorangehenden Ansprüche 1 bis 6, wobei der 8. System (1) according to any one of the preceding claims 1 to 6, wherein the
mindestens eine Server (30i, 302, ... ,30s) und der ihm zugeordnete Hive (24i,at least one server (30i, 30 2 , ..., 30 s ) and the hive assigned to it (24i,
242.....24s) ein einziger Rechner ist und der Hive (24i, 242, ... ,24s) und der Server (30i, 302, ... ,30s) als Software auf dem einzigen Rechner installiert sind. 24 2 ..... 24 s ) is a single computer and the hive (24i, 24 2 , ..., 24 s ) and the server (30i, 30 2 , ..., 30 s ) as software on the only computers are installed.
9. Verfahren für einen Zugriff auf Daten, gekennzeichnet durch die Schritte: 9. Procedure for access to data, characterized by the steps:
• dass ein öffentlicher Bereich (8) vorgesehen ist, der als eine Senke (22) • that a public area (8) is provided which acts as a depression (22)
konfiguriert wird;  is configured;
• dass ein geschlossener Bereich (100) vorgesehen wird, der einen internen Bereich (2), der eine Quelle (20) ist, eine DMZ (4), die eine Senke (22) ist und ein Rechenzentrum (5), das einen Quelle (20) ist, umfasst; und  • That a closed area (100) is provided, the internal area (2), which is a source (20), a DMZ (4), which is a sink (22) and a data center (5), which is a source (20) is included; and
• zum Zugriff auf Daten werden von den Quellen (20) protokollfreie  • to access data are protocol-free from the sources (20)
Verbindungen (21 ) zu den Senken (22) ausgebildet.  Connections (21) to the sinks (22) are formed.
10. Verfahren nach Anspruch 9, wobei das Rechenzentrum (5) mindestens einen 10. The method according to claim 9, wherein the data center (5) at least one
Server (30i, 302, ... ,30s) umfasst, wobei jedem Server (30i, 302, ... ,30s) über einen Zugriff (26) ein Hive (24i, 242, ... ,24s) zugeordnet wird und über das Server (30i, 30 2 , ..., 30 s ), each server (30i, 30 2 , ..., 30 s ) having a hive (24i, 24 2 , ..., 24 s ) is assigned and via the
Rechenzentrum (5) mindestens eine protokollfreie Verbindung (21 ) zum öffentlichen Bereich (8) und mindestens eine protokollfreie Verbindung (21 ) zu mindestens einem Proxy (25i, 252, ... ,25P) zur DMZ (4) aufgebaut wird und wobei der interne Bereich (2) eine Vielzahl von Geräten (32i, 322, ...32N) aufweist, von denen mindestens eine protokollfreie Verbindung (21 ) zu mindestens einem Proxy (25i , 252, ... ,25p) zur DMZ (4) aufgebaut wird. Data center (5) at least one protocol-free connection (21) to public area (8) and at least one protocol-free connection (21) to at least one proxy (25i, 25 2 , ..., 25 P ) is set up to the DMZ (4) and the internal area (2) contains a large number of devices ( 32i, 32 2 , ... 32 N ), of which at least one protocol-free connection (21) to at least one proxy (25i, 25 2 , ..., 25p) to the DMZ (4) is established.
11. Verfahren nach Anspruch 10, wobei mittels der DMZ (4) ein Datenaustausch 11. The method according to claim 10, wherein by means of the DMZ (4) a data exchange
zwischen dem Rechenzentrum (5) und dem internen Bereich (2) ermöglicht wird.  between the data center (5) and the internal area (2) is made possible.
12. Verfahren nach Anspruch 10, wobei dem mindestens einen Proxy (25i, 252, ... ,25P) der DMZ (4) jeweils ein Pool (23) zugeordnet wird und der mindestens eine Hive (24i, 242, ... ,24s) sich mit dem Pool (23) verbindet und der Pool (23) den 12. The method according to claim 10, wherein the at least one proxy (25i, 25 2 , ..., 25 P ) of the DMZ (4) is each assigned a pool (23) and the at least one hive (24i, 24 2 ,. .., 24 s ) connects to the pool (23) and the pool (23) den
mindestens einen Proxy (25i, 252, ... ,25P) der DMZ (4) konfiguriert. at least one proxy (25i, 25 2 , ..., 25 P ) of the DMZ (4) configured.
13. Verfahren nach einem der vorangehenden Ansprüche 9 - 12, wobei eine 13. The method according to any one of the preceding claims 9-12, wherein one
Notifikation beim dynamischen Schließen oder Öffnen eines Ports des mindestens einen Proxys (25i, 252, ... ,25P) gesendet wird. Notification when a port of at least one proxy (25i, 25 2 , ..., 25 P ) is dynamically closed or opened.
14. Verfahren nach einem der vorangehenden Ansprüche 10 - 13, wobei der Zugriff (26) des mindestens einen Hives (24i, 242, ... ,24s) auf den Server (30i, 302, ... ,30s) überwacht und bei nicht Verfügbarkeit eines Dienstes des entsprechenden Servers (30i, 302, ... ,30s) geschlossen wird und/oder wobei der dynamisch geöffnete Port des mindestens einen Proxys (25i, 252, ... ,25P) geschlossen wird, wenn keine Verbindungen (21 ) bestehen. 14. The method according to any one of the preceding claims 10-13, wherein the access (26) of the at least one hive (24i, 24 2 , ..., 24 s ) to the server (30i, 30 2 , ..., 30 s ) is monitored and, if a service of the corresponding server (30i, 30 2 , ..., 30 s ) is not available, and / or the dynamically opened port of the at least one proxy (25i, 25 2 , ..., 25 P ) is closed when there are no connections (21).
15. Verfahren nach einem der Ansprüche 9 - 14, wobei jeder Hive (24i, 242, ... ,24s) ein Klon eines vorhergehenden Hives (24i, 242, ... ,24s) ist und sich jeder geklonte Hive (24i, 242, ... ,24s) selbst mit dem Pool (23) des mindestens einen Proxys (25i,15. The method according to any one of claims 9-14, wherein each hive (24i, 24 2 , ..., 24 s ) is a clone of a previous hive (24i, 24 2 , ..., 24 s ) and each cloned Hive (24i, 24 2 , ..., 24 s ) even with the pool (23) of the at least one proxy (25i,
252, ... ,25P) verbindet. 25 2 , ..., 25 P ) connects.
PCT/IB2019/057971 2018-09-26 2019-09-20 System and method for accessing data in an internal region WO2020065476A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018123692.1A DE102018123692A1 (en) 2018-09-26 2018-09-26 System and method for public access to data in an internal area
DE102018123692.1 2018-09-26

Publications (1)

Publication Number Publication Date
WO2020065476A1 true WO2020065476A1 (en) 2020-04-02

Family

ID=68290282

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/IB2019/057971 WO2020065476A1 (en) 2018-09-26 2019-09-20 System and method for accessing data in an internal region

Country Status (2)

Country Link
DE (1) DE102018123692A1 (en)
WO (1) WO2020065476A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006046973A1 (en) 2004-10-26 2006-05-04 International Business Machines Corporation A computer and method for on-demand network access control
US20060200572A1 (en) * 2005-03-07 2006-09-07 Check Point Software Technologies Ltd. Scan by data direction
EP2031817A1 (en) 2007-08-30 2009-03-04 Software Ag Systems and/or methods for streaming reverse HTTP gateway and network including the same
WO2013036946A1 (en) 2011-09-09 2013-03-14 Stoneware, Inc. Method and apparatus for key sharing over remote desktop protocol
EP3316545A1 (en) 2016-10-28 2018-05-02 Entit Software LLC Forwarding service requests from outbound proxy servers to remote servers inside of firewalls

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006046973A1 (en) 2004-10-26 2006-05-04 International Business Machines Corporation A computer and method for on-demand network access control
DE112005002614T5 (en) 2004-10-26 2007-09-27 International Business Machines Corp. Computer and method for network access control on demand
US20060200572A1 (en) * 2005-03-07 2006-09-07 Check Point Software Technologies Ltd. Scan by data direction
EP2031817A1 (en) 2007-08-30 2009-03-04 Software Ag Systems and/or methods for streaming reverse HTTP gateway and network including the same
WO2013036946A1 (en) 2011-09-09 2013-03-14 Stoneware, Inc. Method and apparatus for key sharing over remote desktop protocol
DE112012003731T5 (en) 2011-09-09 2014-08-07 Stoneware Inc. Method and apparatus for key sharing in conjunction with the Remote Desktop Protocol
EP3316545A1 (en) 2016-10-28 2018-05-02 Entit Software LLC Forwarding service requests from outbound proxy servers to remote servers inside of firewalls

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JEFFERSON TAN ET AL: "A Virtual Connectivity Layer for Grids", IEEE INTERNATIONAL CONFERENCE ON E-SCIENCE, 9 December 2009 (2009-12-09), pages 307 - 312, XP031610387, ISBN: 978-0-7695-3877-8 *

Also Published As

Publication number Publication date
DE102018123692A1 (en) 2020-03-26

Similar Documents

Publication Publication Date Title
DE102016124383B4 (en) Computer system architecture and computer network infrastructure comprising a plurality of such computer system architectures
DE19740547B4 (en) Apparatus and method for ensuring secure communication between a requesting entity and a serving entity
DE60212289T2 (en) Management of Private Virtual Networks (VPN)
DE60216218T2 (en) Personal firewall with space-dependent functionality
DE60019997T2 (en) Secure communication with mobile computers
DE60203099T2 (en) A method, a network access server, an authentication, authorization, and accounting server, a computer program with proxy capability for user authentication, authorization, and billing messages through a network access server
DE69232799T2 (en) NETWORK SECURITY METHOD AND DEVICE
DE10052312A1 (en) Virtual private network system in which the network is automatically changed to a second pre-arranged configuration if a security violation is detected thus frustrating any such attempt
DE102007025162A1 (en) Alarm-controlled access control in a corporate network
EP1417820B1 (en) Method and computer system for securing communication in networks
EP2680497B1 (en) External access to IP-based house control unit in a local network
DE112004000125T5 (en) Secure client-server communication system
WO2020065476A1 (en) System and method for accessing data in an internal region
DE60127187T2 (en) SYSTEM AND METHOD FOR PROVIDING SERVICES IN VIRTUAL PRIVATE NETWORKS
WO2006076752A1 (en) Computer security system
EP2436166B1 (en) Service interface
DE60031004T2 (en) ELECTRONIC SECURITY SYSTEM AND METHOD FOR A COMMUNICATION NETWORK
EP3231150A1 (en) Method and device for transferring data in separate networks
EP2898635B1 (en) System and method for the maintenance of a machine tool
EP2929672B1 (en) Operating method for a system, and system
EP1496666A1 (en) Tunnel proxy for protecting data access
EP1496665B1 (en) Method for security configuration in an automisation network
DE10234562B4 (en) Secure network architecture
DE10138865C2 (en) Method and computer system for securing communication in networks
DE102005050336B4 (en) Method and arrangement for operating a security gateway

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19790280

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 19790280

Country of ref document: EP

Kind code of ref document: A1