DE102009022851A1 - Network component for e.g. monitoring communication connection between network unit and communication network, has determining unit to determine whether communication connection with data communication is allowed or suppressed - Google Patents
Network component for e.g. monitoring communication connection between network unit and communication network, has determining unit to determine whether communication connection with data communication is allowed or suppressed Download PDFInfo
- Publication number
- DE102009022851A1 DE102009022851A1 DE200910022851 DE102009022851A DE102009022851A1 DE 102009022851 A1 DE102009022851 A1 DE 102009022851A1 DE 200910022851 DE200910022851 DE 200910022851 DE 102009022851 A DE102009022851 A DE 102009022851A DE 102009022851 A1 DE102009022851 A1 DE 102009022851A1
- Authority
- DE
- Germany
- Prior art keywords
- communication
- connection
- network
- class
- network component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
Abstract
Description
Die vorliegende Erfindung betrifft eine Vorrichtung und eine Verfahren zum Überwachen von Kommunikationsverbindungen, die zwischen zumindest einer Netzeinheit und zumindest einem Kommunikationsnetzwerk aufgebaut oder aufzubauen sind und die zum Kommunizieren von Daten zwischen der zumindest einen Netzeinheit und dem zumindest einem Kommunikationsnetzwerk konfiguriert sind. Insbesondere betrifft die vorliegende Erfindung eine Netzwerkkomponente, ein Verfahren, ein Computerprogrammprodukt, einen Datenträger, ein System und eine Vorrichtung, die zum Überwachen der Kommunikationsverbindungen konfiguriert sind.The The present invention relates to an apparatus and a method to monitor of communication links between at least one network entity and at least building or building a communication network are and for communicating data between the at least a network unit and the at least one communication network are configured. In particular, the present invention relates a network component, a method, a computer program product, a disk, a system and apparatus for monitoring communication links are configured.
Vorrichtungen, die konfiguriert sind, mit weiteren Vorrichtungen über ein Kommunikationsnetzwerk zu kommunizieren, sind oft der Gefahr ausgesetzt, dass über das Kommunikationsnetzwerk auch solche Kommunikationsverbindungen zustande kommen, die die internen Abläufe dieser Vorrichtungen stören, die Sicherheit der internen Abläufe der Vorrichtungen gefährden oder im schlimmsten Fall die interne Abläufe der Vorrichtungen zum Absturz bringen. Werden solche schädigende oder störende Kommunikationsverbindungen auf den Vorrichtungen zugelassen, führt dieses zum fehlerhaften oder nicht sicheren Arbeiten dieser Vorrichtungen.devices, which are configured with other devices via a Communications network are often at risk of that over the communication network also such communication links come to frustrate the internal operations of these devices, the Security of internal processes jeopardize the devices or in the worst case, internal crashes of the devices bring. Become such harmful or disturbing Having allowed communication links on the devices performs this for faulty or unsafe operation of these devices.
Solche Vorrichtungen können zum Beispiel Rechner oder Anordnungen von zusammenwirkenden und/oder mit einander verbundenen Rechnern sein.Such Devices can for example, computers or arrangements of cooperating and / or be with connected computers.
Als Komponenten oder Module, die ein Überwachen von Kommunikationsverbindungen von und zu den Vorrichtungen erlauben, sind z. B. Firewalls, Filterkomponenten, Personal Firewalls oder Sicherheitszonen bekannt. Die Firewalls lassen dabei nur solchen Netzwerkverkehr passieren, der zugelassen ist. Ob ein Netzwerkverkehr zugelassen ist oder nicht, wird von den Firewalls anhand fest vorgegebener Kriterien geprüft. Die Filterkomponenten führen eine Analyse der Inhalte des Datenverkehrs aus (z. B. DPI (englisch: Deep Packet Inspection), wobei die Analyse auch eine Datenanalyse auf der Applikationsebene umfassen kann. Die Personal Firewalls entsprechen von Ihrer Funktionalität her den oben genannten Firewalls. Dabei führen die Personal Firewalls eine Filterung nach zugelassenem Netzwerkverkehr lokal auf Einzelplatzrechnern bzw. PCs (englisch: Personal Computer) durch. Als ein Beispiel für die Sicherheitszonen-basierte Vorgehensweise kann Microsoft Internet Explorer genannt werden. Dabei werden Netzseiten im Hinblick auf die Berechtigungen der Nutzer auf den Netzseiten kategorisiert. Dabei können Kategorien wie z. B. Intranet, zuverlässige Seiten (englisch: Trusted Sites) oder Internet entstehen. Bei diesem Verfahren wird davon ausgegangen, dass es für einen Einzelplatzrechner bzw. PC entsprechende Berechtigungen für jede der Netzseiten gibt.When Components or modules that monitor communication links allow from and to the devices are z. Firewalls, filter components, Personal firewalls or security zones known. The firewalls let only pass such network traffic, which allowed is. Whether network traffic is allowed or not is determined by checked firewalls according to fixed criteria. The filter components to lead an analysis of the contents of the traffic (eg DPI (English: Deep Packet Inspection), where the analysis includes a data analysis at the application level. The personal firewalls Their functionality corresponds to the firewalls mentioned above. Lead the personal firewalls filtering for authorized network traffic locally on single-user computers or PCs (English: Personal Computer) by. As an example for The security-zone-based approach can be Microsoft Internet Called Explorer. This will be web pages in terms of categorizes the permissions of users on the web pages. It can Categories such. B. Intranet, reliable pages (English: Trusted Sites) or Internet emerge. In this process will of it assumed it was for a single workstation or PC appropriate permissions for each of Web pages exist.
Die bekannten Vorgehensweisen, die ein Überwachen von Kommunikationsverbindungen von und zu den Vorrichtungen durchführen, lassen oft dennoch Kommunikationsverbindungen zu, die die internen Abläufe dieser Vorrichtungen stören und die Sicherheit oder sicheres Funktionieren der internen Abläufe dieser Vorrichtungen gefährden können. Durch das Verwenden der bekannten Vorgehensweisen ist somit nach wie vor nicht gewährleistet, dass Vorrichtungen, die über Kommunikationsverbindungen in Kommunikationsnetzwerken mit anderen Vorrichtungen kommunizieren, von solchen schädigenden oder störenden Kommunikationsverbindungen sicher sind. Folglich ist ein fehlerfreies und sicheres Arbeiten solcher kommunizierender Vorrichtungen nach wie vor nicht immer garantiert.The known approaches that monitor communication links from and to the devices often still leave communication links to who the internal processes of this Disturb devices and the security or safe operation of its internal operations Endanger devices can. By using the known procedures is thus after as not guaranteed before, that devices that over Communication links in communication networks with others Devices communicate, from such harmful or disturbing communication links are safe. Consequently, a faultless and safe work such communicating devices are still not always guaranteed.
Die Aufgabe der vorliegenden Erfindung besteht darin, ein sichereres Kommunizieren und somit ein sichereres Funktionieren solcher Vorrichtungen zu ermöglichen.The Object of the present invention is to provide a safer Communicate and thus a safer functioning of such devices to enable.
Die Aufgabe wird gelöst durch eine Netzwerkkomponente mit den Merkmalen des Anspruchs 1, durch ein Verfahren mit den Merkmalen des Anspruchs 11, durch ein Computerprogrammprodukt mit den Merkmalen des Anspruchs 12, durch einen Datenträger mit den Merkmalen des Anspruchs 13, durch ein System mit den Merkmalen des Anspruchs 14 und/oder durch eine Vorrichtung mit den Merkmalen des Anspruchs 15.The Task is solved by a network component having the features of claim 1, by a method having the features of claim 11, by a Computer program product with the features of claim 12, by a disk with the features of claim 13, by a system having the features of claim 14 and / or by a device with the features of claim 15.
Die Unteransprüche geben weitere Ausgestaltungen der vorliegenden Erfindung an.The under claims specify further embodiments of the present invention.
Die oben genannte Aufgabe wird mittels einer Netzwerkkomponente gelöst, die konfiguriert ist, Kommunikationsverbindungen zu überwachen, die zwischen zumindest einer Netzeinheit und zumindest einem Kommunikationsnetzwerk aufgebaut oder aufzubauen sind und die zum Kommunizieren von Daten zwischen der zumindest einen Netzeinheit und dem zumindest einen Kommunikationsnetzwerk konfiguriert sind, wobei die Netzwerkkomponente ein Entscheidungsmodul aufweist, das konfiguriert ist, unter Verwenden von Informationen zu aktuell aktiven Kommunikationsverbindungen zu bestimmen, ob eine Kommunikationsverbindung mit einer neuen Datenkommunikation zuzulassen oder zu unterdrücken ist.The The above object is achieved by means of a network component which is configured to monitor communication links between at least a network unit and at least one communication network or to build up and to communicate between the data at least one network unit and the at least one communication network are configured, wherein the network component is a decision module configured using information to currently active communication links to determine whether a Allow communication connection with a new data communication or suppress is.
Dabei ist die Kommunikationsverbindung eine zwischen der zumindest einen Netzeinheit und dem zumindest einen Kommunikationsnetzwerk aufgebaute oder noch aufzubauende Kommunikationsverbindung.there the communication link is one between the at least one Network unit and the at least one communication network constructed or still to be established communication connection.
Unter dem Kommunizieren von Daten wird sowohl das Übermitteln von Daten von einer Netzeinheit als auch das Empfangen von Daten durch die Netzeinheit verstanden.Under communicating data is both the transmission of data from one Network device as well as the receiving of data by the network unit Understood.
Die ”neue Datenkommunikation” bezieht sich somit auf gerade oder neu empfangene oder auf gerade oder neu zu sendende Daten seitens der zumindest einen Netzeinheit.The "new data communication" refers thus on straight or new received or on straight or new Data to be sent by the at least one network unit.
Der Begriff ”aktuell aktive Kommunikationsverbindung” bezieht sich wiederum auf eine bestehende, aufgebaute Kommunikationsverbindung, die zum dem Zeitpunkt zu dem das Bestimmen, ob die Kommunikationsverbindung zuzulassen oder zu unterdrücken ist, durchgeführt wird, tatsächlich genutzt wird oder zum Nutzen bereit steht.Of the Term "current active communication connection "refers turn on an existing, established communication link, at the time of determining whether the communication link to allow or suppress is carried out will, in fact is used or ready for use.
Informationen zu aktuell aktiven Kommunikationsverbindungen geben zumindest an, welche Kommunikationsverbindungen zwischen der zumindest einen Netzwerkkomponente und zumindest einem Kommunikationsnetzwerk bestehen bzw. aufgebaut sind und dabei tatsächlich genutzt werden oder nutzbar sind.information to currently active communication links at least indicate which communication connections between the at least one network component and at least one communication network consist are and indeed be used or usable.
Der Wortlaut ”zumindest eine Netzeinheit” bezieht sich gemäß der vorliegenden Erfindung sowohl auf eine einzelne Vorrichtung, die über zumindest ein Kommunikationsnetzwerk mit zumindest einer weiteren Vorrichtung kommuniziert, oder auf eine Anordnung von (oder ein System aus) Vorrichtungen, die einzeln und/oder zusammenwirkend über zumindest ein Kommunikationsnetzwerk mit zumindest einer weiteren Vorrichtung kommunizieren.Of the Wording "at least a network unit "refers according to the present Invention on both a single device, over at least a communication network with at least one further device communicates, or on an arrangement of (or a system off) Devices which individually and / or cooperatively via at least a communication network with at least one further device communicate.
Durch die oben skizzierte und nachfolgend genauer erläuterte Netzwerkkomponente wird die Sicherheit beim Kommunizieren von Daten über Kommunikationsnetzwerke erhöht. Insbesondere wird dabei die Sicherheit der Vorrichtungen oder Netzeinheiten erhöht, die das Kommunizieren von Daten durchführen. Dabei kann ein neuer Datenverkehr über eine Daten- oder Kommunikationsverbindung in Abhängigkeit davon, welche anderen Arten von Datenverkehr über Kommunikationsnetzwerke bereits bestehen und/oder gerade genutzt werden, zugelassen oder unterdrückt werden. Unter dem Begriff ”unterdrücken” kann das Blockieren oder Beenden einer Kommunikationsverbindung verstanden werden.By the network component outlined above and explained in more detail below security in communicating data over communication networks elevated. In particular, the security of the devices or network units elevated, that communicate data. It can be a new Traffic over a data or communication connection depending on which others Types of traffic over Communication networks already exist and / or in use become, admitted or suppressed become. Under the term "suppress" can the Blocking or terminating a communication connection understood become.
Durch das Einsetzen der Netzwerkkomponente werden nur solche Kommunikationsverbindungen gleichzeitig erlaubt, die gegenseitig keine schädigenden, störenden und/oder mit Unsicher heiten behafteten Wirkungen haben und/oder die gegenseitig keine schädigenden, störenden und/oder mit Unsicherheiten behafteten Aktionen ausüben können.By the onset of the network component becomes only such communication links simultaneously allowed, mutually no harmful, disturbing and / or have uncertain effects and / or mutually exclusive effects no harmful, disturbing and / or act with uncertainty.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist das Entscheidungsmodul konfiguriert, zu prüfen, ob eine der Kommunikationsverbindung zugeordnete Verbindungsklasse mit Verbindungsklassen der aktuell aktiven Kommunikationsverbindungen vereinbar ist.According to one embodiment of the present invention, the decision module is configured to consider, whether a connection class assigned to the communication connection with connection classes of the currently active communication connections is compatible.
Durch das Klassifizieren von Kommunikationsverbindungen werden Aufwand und Ressourcen beim Durchführen des Überwachens der Kommunikationsverbindungen gespart. Es ist nicht notwendig, jede einzelne Kommunikationsverbindung zu analysieren, sondern es reicht aus, bestehende oder aktuelle Kommunikationsverbindungen anhand einiger der wichtigsten Merkmale in Gruppen oder Klassen auf ihre Vereinbarkeit oder Kompatibilität mit der Kommunikationsverbindung, die eine neue Datenkommunikation aufweist, zu prüfen. Dabei müssen zugleich keine Einbußen hinsichtlich der Qualität der erfindungsgemäßen Überwachung von Kommunikationsverbindungen in Kauf genommen werden, da hierfür nur die sicherheitsrelevanten und nicht alle Merkmale der Kommunikationsverbindungen berücksichtigt werden müssen.By classifying communication links becomes overhead and resources in performing of watching saved the communication connections. It's not necessary, analyze every single communication link, but it sufficient, existing or current communication links based on some of the key features in groups or classes their compatibility or compatibility with the communication link, which has a new data communication to check. At the same time no losses in terms of quality the monitoring of the invention Communication connections are accepted, as this only the security relevant and not all features of the communication links considered Need to become.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist das Entscheidungsmodul konfiguriert, das Bestimmen, ob die Kommunikationsverbindung zuzulassen oder zu unterdrücken ist, unter Verwenden von zumindest einer Regel durchzuführen, wobei die zumindest eine Regel definiert, ob die Kommunikationsverbindung mit den aktuell aktiven Kommunikationsverbindungen vereinbar ist.According to one embodiment of the present invention, the decision module is configured determining whether to allow or deny the communication connection suppress is to perform using at least one rule, wherein which defines at least one rule, whether the communication connection compatible with the currently active communication links.
Auf diese Wiese wird ein effektives und flexibel gestaltbares Überwachen von Kommunikationsverbindungen ermöglicht. Durch Vorgabe von Regeln wird eine Transparenz im Hinblick auf das Prüfen der Kommunikationsverbindungen geboten. Ferner können die Regeln fest oder variabel ausgestaltet sein, wobei jeder zeit auch das Hinzufügen, Ändern und/oder Entfernen oder Löschen der Regeln möglich ist.On this meadow becomes an effective and flexibly configurable monitoring of communication links. By setting rules becomes a transparency with regard to checking the communication links offered. Furthermore, can the rules are fixed or variable, with each time also adding, changing and / or Remove or Delete the rules possible is.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird beim Verwenden der zumindest einen Regel geprüft, ob die der Kommunikationsverbindung zugeordnete Verbindungsklasse mit den Verbindungsklassen der aktuell aktiven Kommunikationsverbindungen vereinbar ist.According to one embodiment In the present invention, when using the at least one Usually checked, whether the connection class assigned to the communication connection with the connection classes of the currently active communication connections is compatible.
Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung ist das Entscheidungsmodul konfiguriert:
- – die Kommunikationsverbindung (mit der neuen Datenkommunikation) zuzulassen und solche aktuell aktiven Kommunikationsverbindungen, die mit der Datenkommunikation nicht vereinbar sind, zu unterdrücken, wenn alle Prioritäten, die Verbindungsklassen solcher aktuell aktiven Kommunikationsverbindungen zugeordnet sind, kleiner sind als eine Priorität, die einer Verbindungsklasse der Kommunikationsverbindung (mit der neuen Datenkommunikation) zugeordnet ist; und
- – die Kommunikationsverbindung (mit der neuen Datenkommunikation) zu unterdrücken, wenn zumindest eine Priorität, die einer Verbindungsklasse solcher aktuell aktiven Kommunikationsverbindungen zugeordnet sind, die mit der Kommunikationsverbindung (mit der neuen Datenkommunikation) nicht vereinbar sind, größer ist als die Priorität, die der Verbindungsklasse der Kommunikationsverbindung (mit der neuen Datenkommunikation) zugeordnet ist.
- To allow the communication connection (with the new data communication) and to suppress those currently active communication connections that are incompatible with the data communication, if all priorities associated with connection classes of such currently active communication connections are smaller than a priority belonging to a connection class of the Communication link (with the new data communication) is assigned; and
- To suppress the communication link (with the new data communication) if at least one priority associated with a link class of such currently active communication links inconsistent with the communication link (with the new data communication) is greater than the priority of the link class the communication link (with the new data communication) is assigned.
Hierfür kann die Netzwerkkomponente ein Prioritätsmodul aufweisen, welches konfiguriert ist, Prioritäten den Verbindungsklassen zuzuweisen und/oder die Prioritäten der Verbindungsklassen zu verwalten. Die Prioritäten geben an, welche Verbindungsklasse den Vorrang beim Zulassen zur Datenkommunikation im Kommunikationsnetzwerk gegenüber einer anderen Verbindungsklasse hat.For this, the Network component is a priority module which is configured to prioritize the connection classes assign and / or priorities to manage the connection classes. The priorities indicate which class of connection the priority in allowing for data communication in the communication network across from another class of connection has.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Netzwerkkomponente ein Zuordnungsmodul auf, das konfiguriert ist, jede der Kommunikationsverbindungen einer Verbindungsklasse zuzuordnen. Durch ein Zuordnen von Kommunikationsverbindungen zu einer Verbindungsklasse wird ein effektives, effizientes und transparent handhabbares Überwachen von Kommunikationsverbindungen ermöglicht.According to one embodiment According to the present invention, the network component has an allocation module which is configured to communicate with each of the communication links Assign connection class. By assigning communication links becoming a connection class becomes an effective, efficient and transparently manageable monitoring of communication links.
Gemäß einem weiteren Ausführungsbeispiel ist das Zuordnungsmodul konfiguriert, das Zuordnen der Kommunikationsverbindungen zu einer Verbindungsklasse unter Verwenden von Kriterien zum Zuordnen einer Kommunikationsverbindung zu einer Verbindungsklasse durchzuführen. Die Kriterien können flexibel gehandhabt werden. Sie können fest vorgegeben werden. Ferner können sie je nach Situation und/oder je nach Sicherheitsanforderungen jederzeit geändert, hinzugefügt und/oder gelöscht oder entfernt werden. Auf diese Weise wird ein transparentes und effektives Überwachen von Kommunikationsverbindungen ermöglicht.According to one another embodiment the allocation module is configured to assign the communication connections to a connection class using criteria for mapping to perform a communication connection to a connection class. The Criteria can be handled flexibly. They can be fixed. Furthermore, can depending on the situation and / or the security requirements changed at any time, added and / or deleted or removed. In this way, a transparent and effective monitoring of communication links.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist das Unterdrücken einer Kommunikationsverbindung ein Blockieren oder Beenden der Kommunikationsverbindung auf. Wie oben angedeutet können je nach Situation bestimmte aktuell aktive Kommunikationsverbindungen oder eine Kommunikationsverbindung mit einer neuen Datenkommunikation unterdrückt werden. Dabei umfasst das Blockieren einer Kommunikationsverbindung das Verbieten der Kommunikation von Daten über die Kommunikationsverbindung, wobei die Kommunikationsverbindung nicht abgebaut respektive beendet wird.According to one embodiment The present invention includes suppressing a communication link blocking or terminating the communication connection. As indicated above Depending on the situation, certain currently active communication connections or a communication link with a new data communication repressed become. In this case, the blocking comprises a communication connection prohibiting the communication of data over the communication link, wherein the communication link is not degraded or terminated becomes.
Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird das Blockieren der Kommunikationsverbindung für eine vorbestimmte Zeit durchgeführt. D. h. das Aufheben der Kommunikationsverbindung, durch das ein Kommunizieren von Daten über die Kommunikationsverbindung wieder erlaubt wird, wird nach Ablauf dieser vorbestimmten Zeit durchgeführt.According to one another embodiment The present invention provides blocking of the communication link for one performed predetermined time. Ie. the removal of the communication connection through which a communication of data over the communication connection is allowed again, will expire performed this predetermined time.
Ferner wird gemäß einem Ausführungsbeispiel der vorliegenden Erfindung das Blockieren der Kommunikationsverbindung so lange durchgeführt, bis unter aktuell aktiven Kommunikationsverbindungen zumindest eine solche aktuell aktive Kommunikationsverbindung vorhanden ist, die mit der blockierten Kommunikationsverbindung nicht vereinbar ist. D. h. das Aufheben der Kommunikationsverbindung, durch das ein Kommunizieren von Daten über die Kommunikationsverbindung wieder erlaubt wird, wird nach Beenden respektive Abbau und/oder Blockieren aller solchen aktuell aktiven Kommunikationsverbindungen durchgeführt, die mit der Kommunikationsverbindung nicht vereinbar sind.Further will according to one embodiment the present invention blocking the communication link performed so long at least one of currently active communication links such currently active communication link is present, the is incompatible with the blocked communication link. Ie. the removal of the communication connection through which a communication of data over the communication connection is allowed again, after finishing respectively degradation and / or blocking of all such currently active Communication connections performed with the communication link are incompatible.
Die oben genannte Aufgabe wird durch ein Verfahren gelöst, das ein Überwachen von Kommunikationsverbindungen aufweist, die zwischen zumindest einer Netzeinheit und zumindest einem Kommunikationsnetzwerk aufgebaut oder aufzubauen sind und die zum Kommunizieren von Daten zwischen der zumindest einen Netzeinheit und dem zumindest einen Kommunikationsnetzwerk konfiguriert sind, wobei das Überwachen von Kommunikationsverbindungen ein Bestimmen, ob eine Kommunikationsverbindung mit der neuen Datenkommunikation zuzulassen oder zu unterdrücken ist, aufweist, wobei das Bestimmen unter Verwenden von Informationen zu aktuell aktiven Kommunikationsverbindungen durchgeführt wird.The above object is achieved by a method comprising monitoring communication links configured or to be set up between at least one network unit and at least one communication network and configured to communicate data between the at least one network unit and the at least one communication network monitoring communication links determining whether a communication link with the new one Data communication is to be allowed or to be suppressed, wherein the determining is performed using information on currently active communication links.
Das erfindungsgemäße Verfahren wird von der oben skizzierten und nachfolgend genauer erläuterten Netzwerkkomponente durchgeführt. Dabei ist das Verfahren konfiguriert, zumindest solche Aktionen der Netzwerkkomponente durchzuführen, die im Rahmen des erfindungsgemäßen Überwachens von Kommunikationsverbindungen durchgeführt werden. Daher können die Schritte des erfindungsgemäßen Verfahrens aus den Aktionen oder Funktionen der Netzwerkkomponente oder ihrer Module entsprechend abgeleitet oder entnommen werden.The inventive method is described by the network component outlined above and explained in more detail below carried out. The process is configured, at least such actions perform the network component, in the context of the monitoring according to the invention be carried out by communication links. Therefore, the Steps of the method according to the invention from the actions or functions of the network component or its Modules derived or removed accordingly.
Die oben genannte Aufgabe wird auch mittels eines Computer programmprodukts erreicht, das eine Kodierung aufweist, die konfiguriert ist, das oben skizzierte und unten detaillierter erläuterte Verfahren zu implementieren und/oder auszuführen. Dabei kann die Kodierung in einem Datenträger enthalten sein.The The above object is also achieved by means of a computer program product achieved having a coding that is configured, the Implemented above and explained in more detail below method to implement and / or execute. The coding can be contained in a data carrier.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist das Computerprogrammprodukt konfiguriert, dieses Verfahren durchzuführen, wenn das Computerprogrammprodukt mittels einer rechnenden Einheit ausgeführt wird. Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung ist diese rechnende Einheit in der oben skizzierten und nachfolgend genauer erläuterten Netzwerkkomponente enthalten.According to one embodiment According to the present invention, the computer program product is configured to carry out this procedure when the computer program product by means of a computing unit accomplished becomes. According to one another embodiment In the present invention, this calculating unit is in the above sketched and explained in more detail below network component contain.
Zusätzlich wird die oben genannte Aufgabe mittels eines Datenträgers gelöst, wobei der Datenträger das vorstehend erläuterte Computerprogrammprodukt aufweist.In addition will solved the above object by means of a data carrier, wherein the data carrier the explained above Computer program product has.
Des Weiteren wird die Aufgabe der vorliegenden Erfindung durch ein System gelöst, das die oben skizzierte und nachfolgend genauer erläuterte Netzwerkkomponente aufweist. Das System ist allgemein als eine Gesamtheit von Elementen, Komponenten, und/oder Einheiten zu verstehen, welche unter einander Wechselwirken. Die Netzwerkkomponente ist dabei eine Komponente des Gesamtsystems.Of Furthermore, the object of the present invention by a system solved, this is the network component outlined above and explained in more detail below having. The system is generally considered as a set of elements, Components, and / or units to understand which are among each other Interact. The network component is a component of the overall system.
Zusätzlich wird die Aufgabe der vorliegenden Erfindung auch durch eine Vorrichtung, die die oben skizzierte und nachfolgend genauer erläuterte Netzwerkkomponente aufweist, gelöst.In addition will the object of the present invention also by a device the network component outlined above and explained in more detail below has dissolved.
Somit betrifft die vorliegende Erfindung das Überwachen von Kommunikationsverbindungen, die zwischen zumindest einer Netzeinheit und zumindest einem Kommunikationsnetzwerk aufgebaut oder aufzubauen sind und die zum Kommunizieren von Daten zwischen der zumindest einen Netzeinheit und dem zumindest einen Kommunikationsnetzwerk konfiguriert sind. Dabei wird unter Verwenden von Informationen zu aktuell aktiven Kommunikationsverbindungen bestimmt, ob eine Kommunikationsverbindung mit einer neuen Datenkommunikation zuzulassen oder zu unterdrücken ist. Durch die vorliegende Erfindung wird ein sicheres Kommunizieren von Netzeinheiten in Kommunikationsnetzwerken ermöglicht. Sie ist insbesondere dort anwendbar, wo eine Kommunikation von oder zu einer Netzeinheit über ein Kommunikationsnetz stattfindet.Consequently the present invention relates to the monitoring of communication links, the between at least one network unit and at least one communication network are built or set up and communicating data between the at least one network unit and the at least one Communication network are configured. It is under use Information about currently active communication connections determines if a communication connection with a new data communication to allow or suppress is. The present invention will communicate securely network units in communication networks. It is particularly applicable where a communication of or to a network unit via a communication network takes place.
Dabei erlaubt die vorliegende Erfindung ein Überwachen von Kommunikationsverbindungen, das ein sicheres Funktionieren von Vorrichtungen gewährleistet, wenn diese über Kommunikationsnetzwerke mit weiteren Vorrichtungen kommunizieren bzw. Daten austauschen.there the present invention allows monitoring of communication links that ensures the safe functioning of devices, if these over Communicate communication networks with other devices or exchange data.
Des Weiteren kann das erfindungsgemäße Überwachen von Kommunikationsverbindungen einfach und ohne umständliche Modifikationen bestehender Vorgehensweisen zum Überwachen von Kommunikationsverbindungen neben diesen bestehenden Vorgehensweisen oder auch im Rahmen dieser bestehenden Vorgehensweisen implementiert und durchgeführt werden. D. h. die vorliegende Erfindung ist mit bestehenden Lösungen kompatibel und kann auch ohne großen Aufwand in diese integriert werden.Of Further, the monitoring according to the invention of communication links easily and without cumbersome Modifications to existing procedures for monitoring communication links in addition to these existing procedures or in the context of this existing practices are implemented and implemented. Ie. the present invention is compatible with existing solutions and also without big ones Effort to be integrated into this.
Ferner erlaubt die vorliegende Erfindung ein effizientes, effektives, transparentes und Aufwand und Ressourcen sparendes Überwachen von Kommunikationsverbindungen.Further The present invention allows an efficient, effective, transparent and effort and resource-saving monitoring of communication links.
Im Folgenden werden Ausführungsformen der vorliegenden Erfindung detailliert mit Bezug auf die unten beigefügten Figuren beschrieben.in the Following are embodiments of the present invention in detail with reference to the figures attached below described.
Es zeigen:It demonstrate:
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung kann eine Filterfunktion eines Firewalls bzw. eines Firewall-Rechners oder einer Personal Firewall um das erfindungsgemäße Überwachen von Kommunikationsverbindungen erweitert werden. Neben der festen Regeln einer Firewall, die festlegen, welcher Datenverkehr zugelassen ist und welcher nicht, wird durch Verwenden der vorliegenden Erfindung gemäß dem vorliegenden Ausführungsbeispiel überprüft, welche Art von Datenverkehr aktuell gerade auftritt. Ob eine bestimmte Art von Datenverkehr (oder Kommunikationsverbindung respektive) zuge lassen, verboten oder unterdrückt werden soll, ist somit nicht mehr fest vorgegeben wie es in den konventionellen Firewall-Lösungen der Fall ist. Gemäß dem vorliegenden Ausführungsbeispiel hängt diese Entscheidung davon ab, welche weiteren Arten von Datenverkehr (oder Kommunikationsverbindungen respektive) aktuell vorhanden sind und aktiviert sind, d. h. genutzt werden oder zum Nutzen bereit stehen.According to one embodiment The present invention can provide a filtering function of a firewall or a firewall computer or a personal firewall around the monitoring according to the invention be extended by communication links. In addition to the fixed Rules of a firewall that determine which traffic is allowed is and which is not, by using the present invention according to the present Embodiment checks which Type of traffic currently occurring. Whether a particular one Type of data traffic (or communication connection, respectively) be allowed, forbidden or suppressed, is thus no longer fixed as it is in the conventional firewall solutions of Case is. According to the present embodiment depends on this Decision on which other types of traffic (or Communication connections respectively) are currently available and are activated, d. H. be used or ready for use.
So kann z. B. verhindert werden, dass ein sicherheitskritisches Online-Banking und ein potentiell ”gefährliches” Online-Spiel oder eine Online-Übertragung oder ein Online-Abspielen von Videos gleichzeitig zugelassen sind. Die Sicherheit des Online-Bankings und somit die Sicherheit der Kommunikationsverbindung, die das Online-Banking ermöglicht, ist durch das Online-Spiel oder das Online-Übertragen oder -Abspielen von Videos und somit durch die entsprechenden Kommunikationsverbindung, die das Online-Spiel oder das Online-Übertragen oder -Abspielen erlauben, gefährdet.So can z. B. Prevents a safety-critical online banking and a potentially "dangerous" online game or an online broadcast or online play videos are allowed at the same time. The security of online banking and thus the security of the communication connection, the online banking allows is through the online game or the online transfer or playback of videos and thus by the appropriate communication link, the the online game or the online broadcast or play, endangered.
In
Schritt
Solche
Kriterien
- – eine Quell-Adresse und/oder Ziel-Adresse; eine Quell-Adresse und/oder Ziel-Adresse kann z. B. eine IP-Adresse (Internet-Protokoll-Adresse), eine MAC-Adresse (Media-Access- Control-Adresse), ein DNS-Name (Domgin-Name-System-Adresse) oder eine URL (Uniform Resource Locator) sein;
- – ein Protokoll; ein Protokoll kann ein Protokoll sein, das das Kommunizieren von Daten in einem Kommunikationsnetzwerk ermöglicht, z. B. ein TCP-Protokoll (Transmission Control Protocol, deutsch: Übertragungssteuerungsprotokoll), oder ein UDP-Protokoll (User Datagram Protocol);
- – Portnummern; eine Portnummer kann dabei z. B. eine Quell- oder eine Ziel-Portnummer sein;
- – Benutzer; diese Information kann z. B. mittels eines Identifizierungsprotokolls bestimmt werden;
- – Bei sicheren Verbindungen oder sicher zu haltenden Verbindungen respektive (z. B. SSL, TLS, IPsec) das verwendete Zertifikat; und/oder
- – Zugelassene Inhaltstypen, z. B. zulässiger Inhalt einer Netzseite (z. B. Profildateien (englisch: Cookies), Bilder, Flash, Video etc.).
- A source address and / or destination address; a source address and / or destination address may e.g. Example, an IP address (Internet Protocol Address), a MAC address (Media Access Control Address), a DNS name (Domgin Name System Address) or a URL (Uniform Resource Locator) ;
- - a protocol; a protocol may be a protocol that allows communication of data in a communication network, e.g. As a TCP protocol (Transmission Control Protocol, German: Transmission Control Protocol), or a UDP protocol (User Datagram Protocol);
- - port numbers; a port number can be z. A source or destination port number;
- - users; this information can z. B. be determined by means of an identification protocol;
- - For secure connections or secure connections respectively (eg SSL, TLS, IPsec) the certificate used; and or
- - Allowed content types, eg. Eg permissible contents of a netpage (eg profile files, pictures, flash, video etc.).
Diese
Kriterien
Anhand
dieser Kriterien
In
Schritt
Es
ist anzumerken, dass die vorstehend angegebene Liste von Kriterien
Des
Weiteren erlaubt die vorliegende Erfindung sowohl ein zustandsloses
als auch zustandsbehaftetes Analysieren
Nach
dem Beenden der Analyse
Wie der neue Datenverkehr bzw. die entsprechende Kommunikationsverbindung behandelt wird, d. h. ob der neue Datenverkehr bzw. die entsprechende Kommunikationsverbindung zugelassen oder nicht zugelassen bzw. unterdrückt wird, hängt von der Verbindungsklasse ab, die dem neuen Datenverkehr bzw. der entsprechenden Kommunikationsverbindung zugewiesen wird.As the new data traffic or the corresponding communication connection is treated, d. H. whether the new traffic or the corresponding Communication connection is allowed or not allowed or suppressed, depends on the connection class that matches the new traffic or the corresponding one Communication connection is assigned.
Das
Zuordnen zu einer Verbindungsklasse wird durch Verwenden vorbestimmter
Verbindungsklassen
Gemäß dem vorliegenden
Ausführungsbeispiel
gibt es drei Verbindungsklassen: ”BANKING”, ”UNTERHALTUNG” und ”BASIS”. Dabei
wird gemäß dem vorliegenden
Ausführungsbeispiel
die Zuordnung
Auf ähnliche
Weise wird auch über
das Zuordnen
Beim
Zuordnen
Beim
Zuordnen
Es
ist anzumerken, dass die oben angegebenen Verbindungsklassen
Die
Entscheidung über
das weitere Handhaben eines Datenverkehrs bzw. einer Kommunikationsverbindung,
d. h. ob ein Datenverkehr bzw. eine Kommunikationsverbindung zugelassen
oder unterdrückt
wird, hängt
von der Verbindungsklasse
Hierzu
werden die Ergebnisse oder Informationen der Zuweisung
Im
Bezug auf die oben beispielhaft angegebenen Verbindungsklassen
Welcher Datenverkehr bzw. welche Kommunikationsverbindung unterdrückt und welcher zugelassen ist kann auf unterschiedliche Weisen festgelegt werden.Which one Data traffic or which communication connection is suppressed and which is allowed can be determined in different ways become.
So
kann zum Beispiel ein bereits bestehender Netzwerkverkehr (d. h.
aktuell aktive Kommunikationsverbindungen) beibehalten werden. Im
Hinblick auf die oben beispielhaft angegebenen Verbindungsklassen kann
z. B. (durch die Regeln
Ferner
kann bei der Entscheidung
Wird
im Schritt
Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird auch die Kommunikation weiterer über Kommunikationsnetzwerke kommunizierender Netzeinheiten oder Vorrichtungen berücksichtigt. Hierbei sind die kommunizierenden Netzeinheiten oder Vorrichtungen Rechner. Gemäß dem vorliegenden Ausführungsbeispiel unterbindet oder unterdrückt eine Firewall, die konfiguriert ist, das Verfahren gemäß dem vorliegenden Ausführungsbeispiel durchzuführen, in einem lokalen Heimnetzwerk mit mehreren Rechnern ein Netzwerkverkehr der Verbindungsklasse ”UNTERHALTUNG” für alle Rechner des Heimnetzes, solange ein Rechner des Heimnetzes über eine Kommunikationsverbindung der Verbindungsklasse ”BANKING” kommuniziert.According to a further embodiment of the present invention, the communication of further network units or devices communicating via communication networks is also considered. In this case, the communicating network units or devices are computers. According to the present embodiment, a firewall configured to perform the method according to the present embodiment inhibits or suppresses network traffic of the connection class "ENTERTAINMENT" for all the computers of the home network in a local home network with a plurality of computers, as long as a home network computer over a communication link the connection class "BANKING" kommu cates.
Gemäß einem weiteren Ausführungsbeispiel kann eine Einschränkung oder Unterdrückung nur einen Benutzer eines Mehrbenutzer-Rechners betreffen. D. h. wenn ein Benutzer über eine Kommunikationsverbindung der Verbindungsklasse ”BANKING” kommuniziert (z. B. der Benutzer nutzt Online-Banking), kann ein anderer Nutzer desselben Rechners trotzdem eine Datenkommunikation über eine Kommunikationsverbindung der Verbindungsklasse ”UNTERHALTUNG” durchführen (z. B. unter Verwendung von Peer-to-Peer).According to one another embodiment can be a limitation or suppression concern only a user of a multi-user computer. Ie. when a user over a communication connection of the connection class "BANKING" communicates (For example, the user uses online banking) may be another user the same computer still a data communication over a Perform communication connection of the connection class "ENTERTAINMENT" (eg. Using peer-to-peer).
Gemäß der vorliegenden Erfindung können auch die folgenden Implementierungsvarianten gemäß der folgenden Ausführungsbeispiele eingesetzt werden.According to the present Invention can also the following implementation variants according to the following embodiments be used.
Gemäß einer Implementierungsvariante eines Ausführungsbeispiels der vorliegenden Erfindung wird die erfindungsgemäße Vorgehensweise als ein Erweiterungsmodul (englisch: Plug-in) eines Netz-Browsers oder durch den Netz-Browser selbst realisiert. Dieses kann insbesondere für reine Browser-basierte Anwendungen umgesetzt werden.According to one Implementation variant of an embodiment of the present Invention is the procedure of the invention as an extension module (English: plug-in) of a network browser or realized by the web browser itself. This particular can for pure Browser-based applications are implemented.
Gemäß einer weiteren Implementierungsvariante eines Ausführungsbeispiels der vorliegenden Erfindung wird eine lokale Personal Firewall um die erfindungsgemäße Vorgehensweise er weitert. Eine solche lokale Implementierung kann in einem automatischen oder in einem manuellen Modus laufen, wie es bei einigen Personal-Firewalls üblich ist. Auf diese Weise ist es möglich, die Zuordnung der Kommunikationsverbindungen zu Verbindungsklassen automatisiert einzurichten. Des Weiteren kann die Funktionalität von vielen Personal Firewalls, Änderungen der Applikationen zu erkennen (z. B. durch Nutzung von sogenannten öffentliche Schlüssel (englisch: Fingerprints) = Checksumme der Applikation), genutzt werden, um den Benutzer vor eventuellen die Sicherheit schädigenden Auswirkungen durch das Einsetzen von solchen Applikationen zu warnen, die über Kommunikationsverbindungen in bestimmten Verbindungsklassen kommunizieren.According to one Another implementation variant of an embodiment of the present Invention is a local personal firewall to the inventive approach he advances. Such a local implementation can be in an automatic or in a manual mode, as is common in some personal firewalls. In this way it is possible the assignment of the communication connections to connection classes set up automatically. Furthermore, the functionality of many Personal firewalls, changes recognize the applications (eg by using so-called public keys (English: Fingerprints) = checksum of the application), used to the user from any safety-damaging effects to warn the onset of such applications via communication links communicate in certain connection classes.
In einer weiteren Implementierungsvariante gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird die erfindungsgemäße Vorgehensweise in einer Infrastruktur-Firewall oder einem Proxy implementiert.In a further implementation variant according to an embodiment The present invention is the procedure of the invention implemented in an infrastructure firewall or proxy.
Gemäß einer anderen Implementierungsvariante eines Ausführungsbeispiels der vorliegenden Erfindung wird die erfindungsgemäße Vorgehensweise im Rahmen einer DPI-Anwendung implementiert.According to one another implementation variant of an embodiment of the present Invention is the procedure of the invention implemented as part of a DPI application.
Es ist anzumerken, dass die vorliegende Erfindung nicht nur auf die oben aufgelisteten Implementierungsvarianten beschränkt ist. Die vorliegende Erfindung kann auch in weiteren Kontexten entsprechend eingesetzt werden.It It should be noted that the present invention is not limited to the is limited to the above listed implementation variants. The present invention may also be used in other contexts accordingly be used.
Hat ein Datenverkehr oder eine Kommunikationsverbindung einer hoch-priorisierten Verbindungsklasse dazu geführt, dass ein Datenverkehr oder eine Kommunikationsverbindung einer niedriger-priorisierten Verbindungsklasse geblockt oder gesperrt wurde, muss diese Blockierung oder Sperrung aufgehoben werden.Has a traffic or communication link of a high-priority Class of connection led to that a traffic or communication link is a lower priority If the connection class was blocked or locked, this block must be used or blocking.
Dieses kann auf verschiedenen Wegen erfolgen. In Nachfolgenden werden einige dieser Möglichkeiten aufgezeigt.This can be done in different ways. In the following are some of these possibilities demonstrated.
Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung kann eine solche Blockierung oder Sperrung aufgehoben werden, wenn alle Kommunikationsverbindungen mit Verbindungsklassen höherer Prioritäten abgebaut oder beendet wurden, z. B. durch TCP-Verbindungsabbau usw.According to one embodiment The present invention may include such blocking or blocking be canceled if all communication connections with connection classes higher priorities dismantled or terminated, z. By TCP disconnection, etc.
Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung kann eine solche Blockierung oder Sperrung nach Ablauf einer vorbestimmten Zeit aufgehoben werden. Gemäß dem vorliegenden Ausführungsbeispiel bezieht sich diese vorbestimmte Zeit auf die Zeit nach dem Kommunizieren der letzten Dateneinheit (z. B. eines Datenpakets) über die Kommunikationsverbindung der höher priorisierten Verbindungsklasse.According to one another embodiment The present invention may include such blocking or blocking be canceled after a predetermined time. According to the present embodiment this predetermined time refers to the time after communicating the last data unit (eg a data packet) over the Communication link the higher prioritized class of connection.
Gemäß einem anderen Ausführungsbeispiel der vorliegenden Erfindung kann eine solche Blockierung oder Sperrung aufgehoben werden, nachdem der Browser neu gestartet wurde Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung kann eine solche Blockierung oder Sperrung aufgehoben werden, nachdem der Rechner neu gebootet wurde.According to one other embodiment The present invention may include such blocking or blocking to be canceled after the browser has restarted another embodiment The present invention may include such blocking or blocking be canceled after the computer has been rebooted.
Gemäß einem anderen Ausführungsbeispiel der vorliegenden Erfindung kann eine solche Blockierung oder Sperrung nach dem Durchführen einer Sicherheits-Überprüfung oder einer Viren-Überprüfung aufgehoben werden, wenn die entsprechende Überprüfung ergeben hat, dass keine Risiken hinsichtlich der Sicherheit bestehen oder dass keine Viren gefunden werden konnten. Dieses kann auch nach einer vorbestimmten Zeit nach dem Durchführen der Überprüfung erfolgen.According to another embodiment of the present invention, such a blockage or suspend after performing a security scan or virus scan if the verification has revealed that there are no security risks or that no viruses could be found. This can also be done after a predetermined time after performing the check.
Gemäß der vorliegenden Erfindung können die jeweiligen Ausführungsbeispiele zum Aufheben der Blockierung oder Sperrung auch kombiniert werden.According to the present Invention can the respective embodiments also be combined to cancel the blocking or blocking.
Es ist anzumerken, dass die vorliegende Erfindung keinesfalls auf die oben angegebenen Ausführungsbeispiele zum Aufheben der Blockierung oder Sperrung beschränkt ist. Gemäß der vorliegenden Erfindung können auch weitere entsprechende Bedingungen zum Aufheben der Blockierung oder Sperrung eingesetzt werden.It It should be noted that the present invention is by no means limited to the above-mentioned embodiments is limited to cancel the blocking or blocking. According to the present Invention can also other appropriate conditions for unblocking or blocking.
Durch die vorliegende Erfindung wird die Sicherheit der kommunizierenden Netzeinheiten oder Vorrichtungen erhöht. Dabei kann zum Beispiel das gleichzeitige Nutzen von sicherheitskritischen Online-Diensten und Online-Diensten mit hohen Sicherheitsanforderungen unterdrückt werden, da die sicherheitskritischen Online-Dienste eine schädigende Wirkung auf die Online-Dienste mit hohen Sicherheitsanforderungen haben können. So kann zum Beispiel sichergestellt werden, die Gefahr von XSS (englisch: Cross Site Scripting) dadurch vermieden werden, dass nur bestimmte Online-Verbindungen als einzelne Prozesse (englisch: Tasks) durchgeführt werden.By The present invention will enhance the security of the communicating Network units or devices increased. It can, for example The simultaneous use of safety-critical online services and online services are suppressed with high security requirements, because the safety-critical online services are damaging Effect on the online services with high security requirements can have. For example, it can be ensured that the danger of XSS (English: Cross Site Scripting) by avoiding only certain Online connections as individual processes (English: Tasks) are performed.
Das
Kommunikationsnetzwerk
Gemäß dem vorliegenden
Ausführungsbeispiel
kommuniziert eine Vorrichtung (z. B. ein Rechner)
Im
Folgenden wird ein Beispiel gezeigt, in welcher Form Informationen
zu Verbindungsklassen
Gemäß dem vorliegenden
Ausführungsbeispiel
werden sowohl die Verbindungsklassen
Gemäß dem vorliegenden Ausführungsbeispiel werden die einzelnen Einträge der Tabelle, wie von Paketfiltern und Firewalls bekannt, der Reihe nach ausgewertet. Der erste passende Eintrag, d. h. derjenige Eintrag in der Tabelle, bei dem alle Kriterien (hier Protokoll und Ziel) übereinstimmen, wird verwendet. Gemäß dem vorliegenden Ausführungsbeispiel werden weitere Einträge nicht ausgewertet.According to the present embodiment become the individual entries the table, as known from packet filters and firewalls, the series after being evaluated. The first matching entry, d. H. the one entry in the table where all criteria (here protocol and destination) match, is used. According to the present embodiment will be more entries not evaluated.
An dieser Stelle ist anzumerken, dass gemäß der vorliegenden Erfindung auch weitere entsprechende Wege der Auswertung möglich sind.At It should be noted that according to the present invention Also, further appropriate ways of evaluation are possible.
Gemäß dem vorliegenden Ausführungsbeispiel sind für die Klasse ”SC3” zwei Einträge vorhanden. D. h. wenn einer der beiden Einträge zu der Verbindungsklasse ”SC3” zu einer Kommunikationsverbindung passt, so wird der Datenverkehr der Sicherheitsklasse ”SC3” zugeordnet.According to the present embodiment are for the class "SC3" has two entries. Ie. if one of the two entries for the connection class "SC3" becomes one Communication connection, the traffic is assigned to security class "SC3".
Im
Folgenden wird ein Beispiel dazu gegeben, in welcher Form Regeln
Gemäß dem vorliegenden Ausführungsbeispiel wird die Information bzw. Regeln dazu, welche Verbindungsklassen miteinander vereinbar oder konform sind, d. h. gleichzeitig stattfinden dürfen, in einer Tabelle angegeben. Jede Zeile der Tabelle gibt jeweils an, welche Sicherheitsklassen je Host, d. h. für einen Client, gleichzeitig genutzt werden dürfen. Alternativ könnte dies auch für eine Gruppe von Clients oder für alle Clients im Intranet gelten. Gemäß der vorliegenden Erfindung sind verschiedene Wege der Umsetzung möglich.According to the present embodiment becomes the information or rules about which connection classes compatible or compliant, d. H. take place simultaneously allowed to, specified in a table. Each row of the table gives each which security classes per host, d. H. for a client, at the same time may be used. Alternatively could this also for a group of clients or for all clients on the intranet apply. According to the present invention Different ways of implementation are possible.
Gemäß dem vorliegenden
Ausführungsbeispiel
baut ein erster Client-Rechner
Der
zweite Client-Recher
Dann
baut der erste Client-Rechner
Im
Nachfolgenden werden die in den
In
Schritt
Connect(C1,
S1, TCP, HTTPS),
wobei ”C1” den ersten
Client-Rechner
Connect (C1, S1, TCP, HTTPS),
where "C1" is the first client machine
In
Schritt
Hierfür bestimmt
die überwachende
Komponente
Gemäß dem vorliegenden
Ausführungsbeispiel
hat der erste Client-Rechner
Dieses
oben beschriebenes Entscheiden oder Bestimmen kann beispielsweise
durch entsprechendes Ausführen
der folgenden Befehle durchgeführt
werden:
determine SC → SC1
(Bestimmen der Verbindungsklasse → ”SC1”)
determine C1's active SCs → empty (Bestimmen
der aktuell aktiven Verbindungsklassen → die Menge ist leer)
additional
SC? → yes
(eine neue bzw. weitere Verbindungsklasse? → ja)
New SC compatible
with active ones? → yes
(ist die neue Verbindungsklasse kompatibel mit den aktiven Verbindungsklassen? → ja)
add
entry: C1, SC1, T (Hinzufügen
des Eintrags: C1, SC1, T)
Forward message (Weiterleiten der
Nachricht)This decision or determination described above can be carried out, for example, by appropriately executing the following commands:
determine SC → SC1 (Determining the connection class → "SC1")
determine C1's active SCs → empty (determine the currently active connection classes → the set is empty)
additional SC? → yes (a new or additional connection class? → yes)
New SC compatible with active ones? → yes (is the new connection class compatible with the active connection classes → yes)
add entry: C1, SC1, T (adding the entry: C1, SC1, T)
Forward message
Es ist anzumerken, dass die vorliegende Erfindung auf diese Befehle nicht beschränkt ist, und dass auch weitere adäquate Befehle möglich sind. Ferner ist anzumerken, dass, da die Sprachen zum Beschreiben von Befehlen englischsprachig sind, auch die vorliegend beschriebenen Befehle in englischer Sprache repräsentiert sind. Dabei sind in den Klammern kurz gefasste Übersetzungen dieser Befehle bereitgestellt.It It should be noted that the present invention applies to these commands not limited is, and that also more adequate Commands possible are. It should also be noted that, as the languages for describing Commands are English speaking, including those described herein Commands are represented in English. Here are in the brackets short translations provided these commands.
In
Schritt
Connect(C1, S1, TCP, HTTPS).In step
Connect (C1, S1, TCP, HTTPS).
In
Schritt
OK(S1, C1, TCP, HTTPS).In step
OK (S1, C1, TCP, HTTPS).
Die
von dem ersten Server
determine SC → SC1 (Bestimmen
der Verbindungsklasse → ”SC1”)
determine
C1's active SCs → SC1 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC1)
additional SC? → no (eine
neue bzw. weitere Verbindungsklasse? → nein)
update entry: C1,
SC1, T (Aktualisieren des Eintrags: C1, SC1, T)
Forward message
(Weiterleiten der Nachricht)The one from the first server
determine SC → SC1 (Determining the connection class → "SC1")
determine C1's active SCs → SC1 (determine the currently active connection classes → SC1)
additional SC? → no (a new or additional connection class? → no)
update entry: C1, SC1, T (Update the entry: C1, SC1, T)
Forward message
Nach
dem erfindungsgemäßen Überprüfen leitet
die Komponente
OK(S1, C1, TCP, HTTPS)
an
den ersten Client-Rechner
OK (S1, C1, TCP, HTTPS)
to the first client machine
In
den nachfolgenden Schritten
In
Schritt
GET(C1,
S1, TCP, HTTPS)
von dem Client-Rechner
GET (C1, S1, TCP, HTTPS)
from the client machine
Das
Modul oder die Komponente
determine
SC → SC1
(Bestimmen der Verbindungsklasse → ”SC1”)
determine C1's active SCs → SC1 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC1)
additional SC? → no (eine
neue bzw. weitere Verbindungsklasse? → nein)
update entry: C1,
SC1, T (Aktualisieren des Eintrags: C1, SC1, T)
Forward message
(Weiterleiten der Nachricht)The module or component
determine SC → SC1 (Determining the connection class → "SC1")
determine C1's active SCs → SC1 (determine the currently active connection classes → SC1)
additional SC? → no (a new or additional connection class? → no)
update entry: C1, SC1, T (Update the entry: C1, SC1, T)
Forward message
Gemäß dem vorliegenden
Ausführungsbeispiel
wird die Kommunikation bzw. die Kommunikationsverbindung zugelassen.
In Schritt
In
Schritt
OK(S1, C1,
TCP, HTTPS; DATA).In step
OK (S1, C1, TCP, HTTPS, DATA).
Die
Komponente
determine SC → SC1 (Bestimmen
der Verbindungsklasse → ”SC1”)
determine
C1's active SCs → SC1 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC1)
additional SC? → no (eine
neue bzw. weitere Verbindungsklasse? → nein)
update entry: C1,
SC1, T (Aktualisieren des Eintrags: C1, SC1, T)
Forward message
(Weiterleiten der Nachricht)The component
determine SC → SC1 (Determining the connection class → "SC1")
determine C1's active SCs → SC1 (determine the currently active connection classes → SC1)
additional SC? → no (a new or additional connection class? → no)
update entry: C1, SC1, T (Update the entry: C1, SC1, T)
Forward message
Gemäß dem vorliegenden
Ausführungsbeispiel
ist das Ergebnis der Überprüfung positiv,
die Datenübertragung
wird zugelassen und in Schritt
In
Schritt
Gemäß dem vorliegenden
Ausführungsbeispiel
sieht die Anfrage wie folgt aus:
Connect(C1, S2, TCP, HTTP),
wobei ”S2” für den zweiten
Server
Connect (C1, S2, TCP, HTTP), where "S2" for the second server
In
Schritt
determine SC → SC4 (Bestimmen
der Verbindungsklasse → ”SC4”)
determine
C1's active SCs → SC1 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC1)
additional SC? → yes (eine
neue bzw. weitere Verbindungsklasse? → ja)
compatible? → no (ist
die neue Verbindungsklasse zu den aktuell aktiven Verbindungsklassen
kompatibel? → nein)
reject
(Ablehnen der Verbindungs-Anfrage)In step
determine SC → SC4 (determine the connection class → "SC4")
determine C1's active SCs → SC1 (determine the currently active connection classes → SC1)
additional SC? → yes (a new or additional connection class? → yes)
compatible? → no (is the new connection class compatible with the currently active connection classes → no)
reject (reject the connection request)
Da
die Verbindungsklasse ”SC1” mit der ”SC4” nicht
kompatibel oder vereinbar ist, wird diese Verbindungs-Anfrage durch
die überwachende
Komponente
In
Schritt
close(S2,
C1, TCP, HTTP)(Schließe
die Verbindung).In step
close (S2, C1, TCP, HTTP) (Close the connection).
In
Schritt
Close_Ack(C1, S2, TCP, HTTP)(Schließungs-Bestätigung).In step
Close_Ack (C1, S2, TCP, HTTP) (closure confirmation).
In
Schritt
connect(C2,
S2, TCP, HTTP), wobei ”C2” für den zweiten
Client-Rechner
connect (C2, S2, TCP, HTTP), where "C2" is for the second client machine
Die überwachende
Komponente
determine
SC → SC4
(Bestimmen der Verbindungsklasse → ”SC4”)
determine C2's active SCs → empty (Bestimmen
der aktuell aktiven Verbindungsklassen → die Menge ist leer)
additional
SC? → yes
(eine neue bzw. weitere Verbindungsklasse? → ja)
New SC compatible
with active ones? → yes
(ist die neue Verbindungsklasse kompatibel mit den aktiven Verbindungsklassen? → ja)
add
entry: C2, SC4, T (Hinzufügen
des Eintrags: C2, SC4, T)
forward message (Weiterleiten der
Nachricht)The supervising component
determine SC → SC4 (determine the connection class → "SC4")
determine C2's active SCs → empty (determine the currently active connection classes → the set is empty)
additional SC? → yes (a new or additional connection class? → yes)
New SC compatible with active ones? → yes (is the new connection class compatible with the active connection classes → yes)
add entry: C2, SC4, T (adding the entry: C2, SC4, T)
forward message
Gemäß dem vorliegenden
Ausführungsbeispiel
wird die neue Kommunikationsverbindung der Klasse ”SC4” von dem
zweiten Client-Rechner
In
Schritt
In
Schritt
OK(S2, CC2,
TCP, HTTPS).In step
OK (S2, CC2, TCP, HTTPS).
Die überwachende
Komponente
determine
SC → SC4
(Bestimmen der Verbindungsklasse → ”SC1”)
determine C2's active SCs → SC4 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC4)
additional SC? → no (eine
neue bzw. weitere Verbindungsklasse? → nein)
update entry: C2,
SC4, T (Aktualisieren des Eintrags: C2, SC4, T)
forward message
(Weiterleiten der Nachricht)The supervising component
determine SC → SC4 (determine the connection class → "SC1")
determine C2's active SCs → SC4 (Determine the currently active connection classes → SC4)
additional SC? → no (a new or additional connection class? → no)
update entry: C2, SC4, T (Update the entry: C2, SC4, T)
forward message
Gemäß dem vorliegenden
Ausführungsbeispiel
ist die Überprüfung positiv
und die überwachende Komponente
In
Schritt
close(C1, S1, TCP, HTTPS).In step
close (C1, S1, TCP, HTTPS).
In
Schritt
determine
SC → SC1
(Bestimmen der Verbindungsklasse → ”SC1”)
determine C1's active SCs → SC1 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC1)
additional SC? → no (eine
neue bzw. weitere Verbindungsklasse? → nein)
update entry: C1,
SC1, T (Aktualisieren des Eintrags C1, SC1, T)
forward message
(Weiterleiten der Nachricht)In step
determine SC → SC1 (Determining the connection class → "SC1")
determine C1's active SCs → SC1 (determine the currently active connection classes → SC1)
additional SC? → no (a new or additional connection class? → no)
update entry: C1, SC1, T (Update entry C1, SC1, T)
forward message
In
Schritt
In
Schritt
Close_ACK(S1, C1, TCP, HTTPS).In step
Close_ACK (S1, C1, TCP, HTTPS).
In
Schritt
determine
SC → SC1
(Bestimmen der Verbindungsklasse → ”SC1”)
determine C1's active SCs → SC1 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC1)
additional SC? → no (eine
neue bzw. weitere Verbindungsklasse? → nein)
update entry: C1,
SC1, T (Aktualisieren des Eintrags C1, SC1, T)
forward message
(Weiterleiten der Nachricht)In step
determine SC → SC1 (Determining the connection class → "SC1")
determine C1's active SCs → SC1 (determine the currently active connection classes → SC1)
additional SC? → no (a new or additional connection class? → no)
update entry: C1, SC1, T (Update entry C1, SC1, T)
forward message
In
Schritt
Gemäß dem vorliegenden
Ausführungsbeispiel
weist der erste Client-Rechner
In
Schritt
Connect(C1,
S2, TCP, HTTP).In step
Connect (C1, S2, TCP, HTTP).
Die überwachende
Komponente
determine
SC → SC4
(Bestimmen der Verbindungsklasse → ”SC4”)
determine C1's active SCs → empty (Bestimmen
der aktuell aktiven Verbindungsklassen → die Menge ist leer)
additional
SC? → yes
(eine neue bzw. weitere Verbindungsklasse? → ja)
new SC compatible
with active ones? → yes
(ist die neue Verbindungsklasse kompatibel mit den aktiven Verbindungsklassen? → ja)
add
entry: C1, SC4, T (Hinzufügen
des Eintrags: C1, SC4, T)
forward message (Weiterleiten der
Nachricht)The supervising component
determine SC → SC4 (determine the connection class → "SC4")
determine C1's active SCs → empty (determine the currently active connection classes → the set is empty)
additional SC? → yes (a new or additional connection class? → yes)
new SC compatible with active ones? → yes (is the new connection class compatible with the active connection classes → yes)
add entry: C1, SC4, T (adding the entry: C1, SC4, T)
forward message
Gemäß dem vorliegenden
Ausführungsbeispiel
wird die neue Kommunikationsverbindung der Klasse ”SC4” von dem
ersten Client-Rechner
In
Schritt
In
Schritt
OK(S2, C1, TCP,
HTTP).In step
OK (S2, C1, TCP, HTTP).
Die überwachende
Komponente
determine
SC → SC4
(Bestimmen der Verbindungsklasse → ”SC1”)
determine C1's active SCs → SC4 (Bestimmen
der aktuell aktiven Verbindungsklassen → SC4)
additional SC? → no (eine
neue bzw. weitere Verbindungsklasse? → nein)
update entry: C1,
SC4, T (Aktualisieren des Eintrags: C1, SC4, T)
forward message
(Weiterleiten der Nachricht)The supervising component
determine SC → SC4 (determine the connection class → "SC1")
determine C1's active SCs → SC4 (determine the currently active connection classes → SC4)
additional SC? → no (a new or additional connection class? → no)
update entry: C1, SC4, T (Update the entry: C1, SC4, T)
forward message
Gemäß dem vorliegenden
Ausführungsbeispiel
ist die Überprüfung positiv
und die überwachende Komponente
Die
Netzwerkkomponente
Die
externe Netzwerkschnittstelle
Die
interne und die externe Netzwerkschnittstellen
Des
Weiteren weist die Netzwerkkomponente
Die
Entscheidung über
das weitere Handhaben der zu kommunizierenden Daten teilt die Entscheidungs-Einheit
oder Modul
Ferner
ist die Entscheidungs-Einheit oder Modul
Gemäß dem vorliegenden
Ausführungsbeispiel
ist die Vorrichtung
Der
Block
In
Schritt
Ist
die in Schritt
Ist
die in Schritt
In
Schritt
Obwohl die Erfindung oben mit Bezug auf die Ausführungsbeispielen gemäß der beiliegenden Zeichnungen erklärt wird, ist es ersichtlich, dass die Erfindung nicht auf diese beschränkt ist, sondern innerhalb des Bereichs der oben und in den anhängigen Ansprüchen offenbarten erfinderischen Idee modifiziert werden kann. Es versteht sich von selbst, dass es noch weitere Ausführungsbeispiele geben kann, die den Grundsatz der Erfindung darstellen und äquivalent sind, und dass somit verschiedene Modifikationen ohne Abweichen vom Umfang der Erfindung implementiert werden können. So können die Module oder Einheiten der jeweiligen Netzwerkeinheiten oder Vorrichtungen verschiedenartig gestaltet werden, wobei ein Modul oder Einheit auch mehrere erfindungsgemäße Funktionen durchführen kann und/oder eine erfindungsgemäße Funktion von mehreren Modulen oder Einheiten durchgeführt werden kann. Ferner können diese Module oder Einheiten Soft- und/oder Hardware-Einheiten oder -Module sein.Although the invention will be explained above with reference to the embodiments according to the accompanying drawings, it is apparent that the invention is not limited to these, but within the The scope of the inventive idea disclosed above and in the appended claims may be modified. It goes without saying that there may be other embodiments which are the principle of the invention and are equivalent, and thus various modifications can be implemented without departing from the scope of the invention. Thus, the modules or units of the respective network units or devices can be designed differently, wherein a module or unit can also perform several functions according to the invention and / or a function according to the invention of several modules or units can be performed. Further, these modules or units may be software and / or hardware units or modules.
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200910022851 DE102009022851A1 (en) | 2009-05-27 | 2009-05-27 | Network component for e.g. monitoring communication connection between network unit and communication network, has determining unit to determine whether communication connection with data communication is allowed or suppressed |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE200910022851 DE102009022851A1 (en) | 2009-05-27 | 2009-05-27 | Network component for e.g. monitoring communication connection between network unit and communication network, has determining unit to determine whether communication connection with data communication is allowed or suppressed |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102009022851A1 true DE102009022851A1 (en) | 2010-12-02 |
Family
ID=43028387
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE200910022851 Withdrawn DE102009022851A1 (en) | 2009-05-27 | 2009-05-27 | Network component for e.g. monitoring communication connection between network unit and communication network, has determining unit to determine whether communication connection with data communication is allowed or suppressed |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102009022851A1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5706279A (en) * | 1995-03-24 | 1998-01-06 | U S West Technologies, Inc. | Methods and systems for managing packet flow into a fast packet switching network |
US20040093513A1 (en) * | 2002-11-07 | 2004-05-13 | Tippingpoint Technologies, Inc. | Active network defense system and method |
-
2009
- 2009-05-27 DE DE200910022851 patent/DE102009022851A1/en not_active Withdrawn
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5706279A (en) * | 1995-03-24 | 1998-01-06 | U S West Technologies, Inc. | Methods and systems for managing packet flow into a fast packet switching network |
US20040093513A1 (en) * | 2002-11-07 | 2004-05-13 | Tippingpoint Technologies, Inc. | Active network defense system and method |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19740547B4 (en) | Apparatus and method for ensuring secure communication between a requesting entity and a serving entity | |
DE60115615T2 (en) | SYSTEM, DEVICE AND METHOD FOR FAST PACKAGE FILTERING AND PROCESSING | |
DE602006000489T2 (en) | CONNECTIVITY ABOUT STATEFUL FIREWALLS | |
DE60127978T2 (en) | System and method of defense against denial of service attacks on the network nodes | |
DE60116447T2 (en) | Method and system for connection treatment | |
DE60113435T2 (en) | AUDIO VIDEO TELEPHONE WITH FIREWALLS AND NETWORK ADDRESS TRANSLATION | |
DE102006012614B4 (en) | Method and apparatus for the passage of packets through a means for network address translation | |
DE69825801T2 (en) | Apparatus and method for enabling equal access control in a network | |
DE60312235T2 (en) | METHOD AND SYSTEM FOR INHIBITING PREVENTION AND DEFLECTION | |
EP3542511B1 (en) | Process for a communication network and electronic control unit | |
DE60121755T2 (en) | IPSEC PROCESSING | |
DE102006004202B4 (en) | Method for protecting SIP based applications | |
DE602004011864T2 (en) | The DOS attack mitigation with proposed means of upstream router | |
DE102009023082A1 (en) | Virtualization of devices | |
DE102014219472A1 (en) | Method for transmitting data, network nodes and network | |
DE602004002198T2 (en) | Method and device for preventing attacks on a call server | |
EP1494401B1 (en) | Router and method of activating a deactivated computer | |
EP1417820A2 (en) | Method and computer system for securing communication in networks | |
DE10305413B4 (en) | Method and arrangement for the transparent switching of data traffic between data processing devices and a corresponding computer program and a corresponding computer-readable storage medium | |
DE60302003T2 (en) | Handling contiguous connections in a firewall | |
EP3318033B1 (en) | Anti-cracking method involving a relaying computer | |
DE102009022851A1 (en) | Network component for e.g. monitoring communication connection between network unit and communication network, has determining unit to determine whether communication connection with data communication is allowed or suppressed | |
DE60031004T2 (en) | ELECTRONIC SECURITY SYSTEM AND METHOD FOR A COMMUNICATION NETWORK | |
WO2016008889A1 (en) | Method for unblocking external computer systems in a computer network infrastructure, distributed computing network with a computer network infrastructure of this type, and computer program product | |
DE102019220246A1 (en) | Transmission device for transmitting data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20111201 |