[go: up one dir, main page]

DE10138865A1 - Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken - Google Patents

Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken

Info

Publication number
DE10138865A1
DE10138865A1 DE10138865A DE10138865A DE10138865A1 DE 10138865 A1 DE10138865 A1 DE 10138865A1 DE 10138865 A DE10138865 A DE 10138865A DE 10138865 A DE10138865 A DE 10138865A DE 10138865 A1 DE10138865 A1 DE 10138865A1
Authority
DE
Germany
Prior art keywords
network
client
computer
computer system
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10138865A
Other languages
English (en)
Other versions
DE10138865C2 (de
Inventor
Frank Piepiorra
Michael Maechtel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Phoenix Contact Cyber Security AG
Original Assignee
Innominate Security Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Innominate Security Technologies AG filed Critical Innominate Security Technologies AG
Priority to DE10138865A priority Critical patent/DE10138865C2/de
Priority to EP02762408.9A priority patent/EP1417820B1/de
Priority to DE20211995U priority patent/DE20211995U1/de
Priority to PCT/EP2002/008421 priority patent/WO2003015369A2/de
Priority to AU2002327912A priority patent/AU2002327912A1/en
Priority to US10/486,108 priority patent/US7430759B2/en
Publication of DE10138865A1 publication Critical patent/DE10138865A1/de
Application granted granted Critical
Publication of DE10138865C2 publication Critical patent/DE10138865C2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung bezieht sich auf ein Verfahren und ein Computersystem zur Sicherung der Kommunikation in Netzwerken. Dies kann z. B. ein eingebettetes Hard- und Softwaresystem sein, das in ein Kabel integriert ist und auf dem ein geeignetes eingebettetes Betriebssystem und die für die Sicherheitsfunktionen notwendigen Systemprogramme laufen. Das Gerät wird zwischen einen Client (z. B. Laptop, Notebook oder PC) und den Internetzugang geschaltet. Es ermöglicht einen Verbindungsaufbau über das Internet in ein zertifiziertes Virtual Privat Network (VPN) zu vorausgewählten Servern. Es verhindert, daß Unberechtigte während der Verbindung zum Internet auf den Personalcomputer zugreifen. Weitere Schutzmechanismen, wie z. B. Intrusion Detection können bei Bedarf zusätzlich bereitgestellt werden.

Description

  • Die Erfindung betrifft ein Verfahren und ein Computersystem zur Sicherung der Kommunikation in Netzwerken, welche speziell als eingebettetes Hard- und Softwaresystem für den mobilen Anwender eingesetzt werden können, z. B. als in ein Kabel integrierte Mikroprozessorhardware, auf der ein geeignetes eingebettetes Betriebssystem und die für die jeweiligen Sicherheitsfunktionen notwendigen Systemprogramme laufen.
  • Für bekannte Sicherheitslösungen, wie z. B. Firewall, Virtual Private Networkts (VPN) oder Intrusion Detection Systems werden zwei Ansätze verfolgt: entweder werden auf dem auf das Internet zugreifenden Gerät (Client; z. B. PC, Notebook o. ä.) spezielle Soft- oder Hardware-Installationen vorgenommen oder die notwendigen Sicherheitsfunktionen werden durch den Anbieter (Provider) des Internetzuganges zentral bereitgestellt.
  • Ein mobiler Nutzer, wie z. B. ein Geschäftsreisender, hat das Problem, daß er u. U. ständig den Anbieter eines Internetzuganges wechseln muß, um entsprechend schnell und kostengünstig über das Internet kommunizieren zu können. Er weiß in der Regel nicht, ob und welche Sicherheitsvorkehrungen der lokale Anbieter des Internetzugangs liefert und muß sich deshalb selbst schützen. Das kann bisher nur dadurch erfolgen, daß der mobile Nutzer entsprechende Software auf seinem mobilen Gerät vorhält, die er gegebenenfalls an die Gegebenheiten des jeweiligen Netzanbieters anpassen muß. Die Konfigurierung ist in der Regel eine Aufgabe, die nur durch besonders geschultes Personal vorgenommen werden kann und die bei jedem neuen (mobilen) Gerät wiederholt werden muß.
  • Bisherige in Software realisierte Lösungen haben das Problem, daß sie oft nicht richtig konfiguriert sind, und daß andere auf dem zu sichernden Rechner laufende Software unbeabsichtigte Einflüsse haben kann. Das gesamte System ist dann in einem nicht definierten und somit unsicheren Zustand. Eine von einem Benutzer konfigurierte Sicherheitssoftware leistet bei Fehlkonfigurationen keinerlei Schutz und bietet daher nur eine trügerische Sicherheit. Software, die Sicherheit gewähren soll, muß daher von einem in diesem Bereich speziell geschulten Administrator konfiguriert werden.
  • Der Erfindung liegt daher die Aufgabe zu Grunde, eine Sicherheitslösung zu schaffen, die die genannten Nachteile, insbesondere eine zusätzliche Konfiguration von spezieller Hard- oder Software auf Nutzer-Rechnern (Clients), vermeidet und so die Gefahr der unbeabsichtigten Beeinflussung der Sicherheitssoftware durch andere auf dem Client installierte Software behebt. Zusätzlich soll durch die Erfindung erreicht werden, daß sicherheitsrelevante Daten getrennt vom Client gespeichert werden, und somit auch vor Zugriffen vom Client aus geschützt sind.
  • Diese Aufgabe wird erfindungsgemäß gelöst durch die Merkmale im kennzeichnenden Teil der Ansprüche 1 und 8 im Zusammenwirken mit den Merkmalen im Oberbegriff. Zweckmäßige Ausgestaltungen der Erfindung sind in den Unteransprüchen enthalten.
  • Ein besonderer Vorteil der Erfindung liegt darin, daß bei dem Verfahren zur Sicherung der Kommunikation in Netzwerken unter Zwischenschaltung einer Datenverarbeitungseinrichtung zwischen Nutzer-Rechner (Client) und Netzwerkzugang der Datenaustausch zwischen Client und Netzwerk durch ein auf der Datenverarbeitungseinrichtung als embedded Software implementiertes Computerprogramm kontrolliert und/oder gesteuert wird.
  • Ein Computersystem zur Sicherung der Kommunikation in Netzwerken ist vorteilhafterweise so aufgebaut, daß das Computersystem als Singleboardcomputer oder als Chip-Lösung ausgebildet ist und Mittel zum Datenaustausch mit einem Client-Rechner, Mittel zum Datenaustausch mit dem Netzwerk und Mittel zur Kontrolle und/oder Steuerung der Kommunikation zwischen Client-Rechner und Netzwerk umfaßt.
  • Weitere Vorteile der Erfindung gegenüber einer reinen Softwarelösung auf dem Client wie z. B. PC oder mobilen Geräten (Notebook, PDA o. ä.) liegen darin, daß durch die Erfindung der Client vor dem direkten Zugriff aus dem Internet geschützt wird, da er keine aus dem Internet erreichbare IP-Adresse erhält. Die Konfigurationsdaten für den Internet-/Intranet-Zugang liegen geschützt auf dem erfindungsgemäßen Computersystem und nicht auf dem Client. Die Daten sind somit nicht vom Benutzer kopierbar oder veränderbar.
  • In der Erfindung liegt ein eingebettetes Hard- und Softwaresystem vor, welches der Benutzer nicht ändern kann und nicht zu ändern braucht. Das Problem der bisherigen Softwarelösungen, daß sie aufgrund der hohen Komplexität der Systeme bzw. durch mangelhafte Kompetenz des Administrators oft nicht richtig konfiguriert sind oder daß andere Software unbeabsichtigte Einflüsse haben kann, wird damit behoben.
  • Die Erfindung vereint einen Mini-Firewall und ein VPN in einem Gerät. Die komplexe Konfiguration eines solchen Systems entfällt für den Benutzer. Sie wird nur vom Administrator vorgenommen, wodurch ein hohes Sicherheitslevel erreicht wird.
  • Alle Keys (Schlüssel, Passwörter) und personenspezifischen Informationen werden sicher auf der vom Client unabhängigen Hardware des eingebetteten Hard- und Softwaresystems gespeichert. Somit muß diese Information nicht auf dem Client vorgehalten werden. Auch diese Trennung - es gibt hier zwei unterschiedliche Betriebssysteme - führt dazu, daß die gesamte Sicherheit auf ein weitaus höheres Level gehoben wird, als wenn sich alle Software auf nur einem System befindet. Dieses Prinzip der unterschiedlichen Betriebssysteme wird bei mehrstufigen Firewalls ganz bewußt angewendet, um Angriffe wirksamer abzuwehren.
  • Die Konfiguration des eingebetteten Hard- und Softwaresystems ist remote über einen sicheren Kanal durchführbar. Der Administrator muß sich dabei nur noch mit der Konfiguration einer Software beschäftigen, da das eingebettete Hard- und Softwaresystem nicht vom Betriebssystem des zu schützendem (mobilen) Gerätes abhängig ist. Bisher mußte ein Administrator für jedes im Einsatz befindliche Betriebssystem (Unix, MacOS, Windows, . . .) wissen, welche Software zu welchem Zweck der Absicherung (Firewalling/VPN) verfügbar ist und wie diese konfiguriert werden muß.
  • Die Erfindung soll nachstehend anhand von einem zumindest teilweise in den Figuren dargestellten Ausführungsbeispielen näher erläutert werden.
  • Es zeigen:
  • Fig. 1 Anordnung des Computersystems bei Anschluß eines Client an ein Kommunikationsnetzwerk,
  • Fig. 2 Blockschaltbild der Hardware-Module des Computersystems,
  • Fig. 3 auf dem Prozessor des Computersystems installierte Software-Komponenten,
  • Fig. 4 Darstellung der client- bzw. serverseitigen Datenflüsse,
  • Fig. 5 Darstellung beispielhafter Schnittstellen des Computersystems.
  • Moderne eingebettete Systeme (Singleboard Computer bzw. Einplatinenrechner) zeichnen sich dadurch aus, daß sie stark miniaturisiert werden können. Besonders kompakt sind sog. Systems on Chip gestaltet. Um eine weitere Größenordnung verringern sich die Abmessungen der Computersysteme, wenn die Verfahren als Chip-Lösung in einem einzelnen Chip ausgeführt sind. Eine beispielhafte Ausführung der Erfindung kann deshalb darin bestehen, daß ein eingebettetes Hard- und Softwaresystem 1 verwendet wird, dessen physikalische Größe die Implementierung in ein Kabel o. ä. erlaubt. Eine beispielhafte Ausführung der Erfindung kann deshalb darin bestehen, daß ein eingebettetes Hard- und Softwaresystem 1 verwendet wird, dessen physikalische Größe die Implementierung in ein Kabel o. ä. erlaubt. Die eingebettete Software ist vorteilhaft so konfiguriert, daß sie Sicherheitsfunktionen liefert, die den angeschlossenen Client (z. B. ein mobiles Gerät) und den Internetzugang in ihrer Funktion nicht beeinflussen und von diesen auch nicht aus dem Kommunikationsprotokoll ersichtlich sind. Der prinzipielle physikalische Aufbau ist in Fig. 2 dargestellt. Dabei ist es sinnvoll, daß wenigstens die gängigsten Schnittstellen für die Kommunikation in Netzwerken durch das eingebettete Hard- und Softwaresystem 1 unterstützt werden.
  • Der Client 2 (Notebook, PC usw.) kann beispielsweise über folgende Schnittstellen (Interfaces) 4 angeschlossen werden (vgl. auch Fig. 5):
    • - RS-232-Schnittstelle 13,
    • - Ethernet 14,
    • - USB 15.
  • Das eingebettete Hard- und Softwaresystem 1 sollte für die Verbindung mit dem Internet 6 mehrere Schnittstellen 5 zur Verfügung stellen:
    • - IRDA 16,
    • - Bluetooth 17,
    • - Ethernet 14 (z. B. ADSL),
    • - RJ 45-Schnittstelle 19 (für den Anschluß ans Telefonnetz).
  • Dabei sind diese Aufzählungen nicht abschließen zu betrachten. Neu zu entwickelnde Schnittstellenprotokolle sollten sinnvollerweise in das eingebettete Hard- und Softwaresystem 1 integriert werden. Die Hardwarelösung wird zur Minimalisierung - auch im Sinne des Minimalitätsprinzips der Computersicherheit - so ausgelegt, daß nur die notwendigen Ressourcen (CPU, Speicher) verwendet werden, die für die Operation eines eingebetteten Betriebssystems notwendig sind. Das eingebettete Betriebssystem und die für die jeweilige Funktionalität notwendigen Systemprogramme unterstützen Sicherheitsanwendungen in der Weise, daß alle Sicherheitsfunktionen derart implementiert werden, daß keine Veränderungen auf dem Client 2 oder an dem Internetzugang notwendig sind. Eine Konfiguration der Sicherheitssoftware kann nur durch den Systemadministrator erfolgen, der in diesem Bereich erheblich besser ausgebildet ist als ein normaler Benutzer. Das eingebettete Hard- und Softwaresystem 1 kann dann die Sicherheit des zu schützenden, dahinterliegenden Geräts (Client 2) gewährleisten, ohne daß vom Benutzer in die Konfiguration der für die Sicherheit notwendigen Software eingegriffen werden muß oder kann.
  • Das eingebettete Hard- und Softwaresystem 1 übernimmt beim Anschluß an ein Fremdnetz (z. B. das Internet 6) zum einen die für den Client 2 notwendige Firewall-Funktionalität und steht zum anderen gleichzeitig als Server für die Kommunikation des Client 2 über ein VPN zum internen Firmennetzwerk (Intranet 7) zur Verfügung. Durch die räumliche Trennung der zum Arbeiten benutzten Hard- und Software von der auf einem "gehärteten" Betriebssystem befindlichen zur Sicherheit notwendigen Firewall- und VPN- Software ist die Sicherheit des zu schützenden Computers wesentlich höher, als wenn alle Programme auf einer Maschine laufen. Dabei versteht man unter einem "gehärteten" Betriebssystem ein auf die absolut notwendige Funktionalität reduziertes Betriebssystem. In der Computersicherheit gilt das Minimalitätsprinzip: je weniger Software auf einem Gerät zur Verfügung steht, desto geringer ist die Anfälligkeit auf sicherheitsrelevante Fehler in der Software, die einen Angriff ermöglichen können. Andererseits ist die Verhinderung der Konfiguration durch einen Benutzer, der durch eine unabsichtliche Fehlkonfiguration die Sicherheit des zu schützenden Gerätes in wesentlichen Teilen beeinträchtigen könnte, auch nur durch die räumliche Trennung der Komponenten "Arbeit" und "Sicherheit" möglich.
  • Bei dem erfindungsgemäßen Verfahren wird die Kommunikation beispielsweise zwischen einem mobilen Gerät (Client 2) und dem Internet 6 durch das eingebettete Hard- und Softwaresystem 1 vermittelt. Die notwendigen und optional möglichen Softwarekomponenten sind in Fig. 3 dargestellt. Für ein Basissystem sind dabei der transparente Router/VPN (IPSEC) 20, der DHCP 23, das Key Management 25, der Firewall 26 und die Remote Control 27 als notwendige Module anzusehen. Weitere Module können natürlich hinzugefügt werden; sie dienen der Funtionalitätserweiterung, die z. B. als Viren- Scanner für e-mails implementiert sein kann.
  • Ein direkter Datenfluß zwischen dem Client 2 und dem Internet 6 besteht bei dem Einsatz der Erfindung nicht. Vielmehr wird eine Verbindung zwischen dem Client 2 und dem eingebetteten Hard- und Softwaresystem 1, sowie separat zwischen dem eingebetteten Hard- und Softwaresystem 1 und dem Internet 6 aufgebaut. Die Aufteilung der Datenflüsse zeigt Fig. 4.
  • Der Systemadministrator konfiguriert das eingebettete Hard- und Softwaresystem 1 und setzt dabei bspw. bei Nutzung eines VPN die folgenden Parameter:
    • - X.509 Zertifikat für das eingebettete Hard- und Softwaresystem 1 und Private Key,
    • - X.509 Zertifikat der Firma, die das VPN nutzt,
    • - Adresse des Netzwerks hinter dem VPN Gateway der Firma,
    • - Adresse des VPN Gateways der Firma.
  • Wenn der Benutzer das eingebettete Hard- und Softwaresystem 1 für die Kommunikation in einem Netzwerk nutzt, wird zwischen dem mobilen Gerät (Client 2) und dem eingebetteten Hard- und Softwaresystem 1 eine Verbindung aufgebaut (z. B. durch den DHCP-Server des eingebetteten Hard- und Softwaresystems 1). Außerdem wird eine Verbindung zwischen dem eingebetteten Hard- und Softwaresystem 1 und dem Internet 6 aufgebaut, bei der das VPN und der Firewall 26 aktiviert werden.
  • Das eingebettete Hard- und Softwaresystem 1 und ein spezieller Server 3 innerhalb des Unternehmens, welches das VPN einsetzt, dienen dabei als Endpunkte des VPN. Entweder ist der Server 3 als Internetzugang für das Unternehmen ausgeprägt oder aber die IP Pakete werden vom eingebetteten Hard- und Softwaresystem 1 durch den existierenden Internetzugang zum Server 3 getunnelt (VPN-Endpunkte). Außerdem ist der Server 3 für die Konfiguration des eingebetteten Hard- und Softwaresystems 1 verantwortlich. Meldet sich ein Client 2 über das eingebettete Hard- und Softwaresystem 1 beim Server 3 an, wird außerdem der SW-Stand des eingebettete Hard- und Softwaresystems 1 überprüft und gegebenenfalls erneuert (automatisches Update). Weiterhin ist der Server 3 für die dedizierte Zugriffskontrolle auf die firmeninternen Ressourcen notwendig.
  • Das VPN wickelt über UDP 500 den Schlüsselaustausch mit dem vorkonfigurierten VPN Gateway der Firma ab. Nach erfolgreichem Schlüsseltausch werden IP Pakete vom Typ 50 (ESP) (das sind die verschlüsselten IP Pakete) zwischen dem eingebetteten Hard- und Softwaresystem 1 und dem VPN Gateway ausgetauscht. Welche IP Pakete das eingebettete Hard- und Softwaresystem 1 verschlüsseln und dem VPN Gateway zukommen lassen muß, erkennt es über die vorkonfigurierte Adresse des Netzwerks hinter dem VPN Gateway der Firma, die computer-technisch ein Eintrag im Routing Table auf dem virtuellen IPSec Device ist.
  • Danach steht die VPN-Verbindung, ein geregelter und geschützter Zugriff in das Firmen Interanet 7 sowie ins Internet 6 kann stattfinden. Das gebettete Hard- und Softwaresystem 1 läßt sich somit transparent in den Verbindungsweg zwischen dem Client 2 und dem Internet 6 einfügen. Aus Sicht des mobilen Geräts (Client 2) stellt das eingebettete Hard- und Softwaresystem 1 bereits das Modem 18 oder den LAN Anschluß zum Internet 6 dar, spezifische Softwareanpassungen sind auf dem mobilen Gerät nicht notwendig.
  • Der Firewall 26 schützt den Client 2 auf zweierlei Weise, zum einen wirkt er als Paketfilter, zum anderen maskiert er die IP-Adresse des Clients 2. Diese zwei Funktionen des Firewalls 26 dienen dazu, Angriffe auf den Client 2 zu erschweren.
  • Der Firewall 26 wirkt als Paketfilter folgendermaßen: Der Firewall 26 ermöglicht eine Initialisierung von Verbindungen über TCP nur von dem zu schützenden Client 2 aus. Initialisierungen aud der anderen Richtung, also Initialisierungen von Verbindungen zu dem Client 2 werden am Firewall 26 nur eingeschränkt zugelassen oder generell abgelehnt und verhindern dadurch einen unerwünschten Datenaustausch. Verbindungen über UDP (User Datagram Protocol) werden nur über die Ports, die zur Kommunikation des Clients 2 mit dem Internet 6 und dem internen Firmennetz (Intranet 7) notwendig sind, zugelassen. Auch Pakete, die das Protokoll ICMP (Internet Control Message Protocol) benutzen, werden nur beschränkt auf das unbedingt Notwendige durch den Firewall 26 durchgelassen.
  • Zum Nutzen der Maskierung: Die IP-Adresse, die der Firewall 26 bei einer Einwahl über eine Telefonleitung in das Internet 6 erhält, wird derzeit i. A. vom Internetprovider dynamisch vergeben. Das bedeutet, daß der Provider der einwählenden Maschine eine IP-Adresse erteilt, die sich von Einwahl zu Einwahl ändern kann. Eine feste IP-Adresse, die sich nicht von Einwahl zu Einwahl ändert, ist nur bei manchen Providern erhältlich. Bei Nutzung des eingebetteten Hard- und Softwaresystems 1 erscheint als IP-Adresse nach außen die IP-Adresse, die vom Provider dem Firewall 26 zugeordnet wird. Die IP-Adresse des Clients 2 wird nach außen hin verborgen. Dadurch, daß die IP-Adresse des Clients 2 nach außen hin nicht erscheint, sind auch Angriffe wesentlich schwerer durchzuführen, da für einen gezielten Angriff die Kenntnis der IP-Adresse des Computers, der angegriffen werden soll, notwendig ist.
  • Alternativ kann die Erfindung auch als ein System on Chip oder als Chip-Lösung ausgeführt sein, wodurch sie sich aufgrund der kleinen Bauform (Chip-Größe) leicht z. B. in eine PCMCIA-Karte oder ein (Funk-)Telefongerät integrieren läßt. Dadurch ist die Erfindung auch einsetzbar, wenn für den Zugang in ein Netzwerk solche Schnittstellen wie z. B. WLAN (Wireless Local Area Network), GPRS (General Paket Radio Services) oder UMTS (Universal Mobile Telecommunications Systems) genutzt werden oder etwa bei gebührenpflichtigen Netzdiensten eine Pay-Card eingesetzt werden soll.
  • Die Erfindung ist nicht beschränkt auf die hier dargestellten Ausführungsbeispiele. Vielmehr ist es möglich, durch Kombination und Modifikation der genannten Mittel und Merkmale weitere Ausführungsvarianten zu realisieren, ohne den Rahmen der Erfindung zu verlassen. Bezugszeichenliste 1 eingebettetes Hard- und Softwaresystem
    2 Client
    3 Server
    4 Client-Schnittstelle
    5 Server-Schnittstelle
    6 Internet
    7 Intranet
    8 Kommunikationsverbindung zwischen Client und eingebettetem Hard- und Softwaresystem
    9 Prozessor
    10 RAM
    11 Flash ROM
    12 Stromversorgung
    13 RS 232-Schnittstelle (serielle Schnittstelle)
    14 Ethernet-Schnittstelle
    15 USB-Schnittstelle
    16 IRDA-Schnittstelle
    17 Bluetooth-Schnittstelle
    18 Modem/ISDN-Modul
    19 RJ-45-Schnittstelle
    20 transparenter Router/VPN (IPSEC)
    21 Systemüberwachung
    22 IDS
    23 DHCP
    24 automatisches Update
    25 Key Management
    26 Firewall
    27 Remote Control
    28 weitere optionale Software-Module (z. B. Virenscanner)
    29 Verbindungsaufbau zum Client
    30 Austausch unverschlüsselter Daten
    31 Austausch der IP-Adressen
    32 Verbindungsaufbau zum Server
    33 Datenaustausch zum Management
    34 Datenaustausch zur Konfiguration des eingebetteten Hard- und Softwaresystems
    35 Datenaustausch beim Update des eingebetteten Hard- und Softwaresystems
    36 UMTS-Schnittstelle
    37 DSL-Schnittstelle
    38 GPRS-Schnittstelle
    39 POT-Schnittstelle

Claims (13)

1. Verfahren zur Sicherung der Kommunikation in Netzwerken unter Zwischenschaltung einer Datenverarbeitungseinrichtung zwischen Nutzer-Rechner (Client) und Netzwerkzugang, dadurch gekennzeichnet, daß der Datenaustausch zwischen Client und Netzwerk durch ein auf der Datenverarbeitungseinrichtung als embedded Software implementiertes Computerprogramm kontrolliert und/oder gesteuert wird.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Konfiguration der Datenverarbeitungseinrichtung und/oder der embedded Software über eine Schnittstelle zum Netzwerk erfolgt.
3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß die Wartung und/oder Pflege der embedded Software über das Netzwerk erfolgt.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, daß die Wartung und/oder Pflege der embedded Software die Erweiterung der Funktionalität des Computerprogramms umfaßt.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Computerprogramm den Datenaustausch hinsichtlich unerlaubter Zugriffe aus dem Netzwerk kontrolliert.
6. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß das Computerprogramm den Datenaustausch zwischen dem Client und einem Virtual Private Network und/oder die Verschlüsselung der Kommunikation steuert.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß Kontrolle und/oder Steuerung für Client und/oder Netzwerk transparent erscheint.
8. Computersystem zur Sicherung der Kommunikation in Netzwerken, dadurch gekennzeichnet, daß das Computersystem als Singleboardcomputer oder als Chip-Lösung ausgebildet ist und Mittel zum Datenaustausch mit einem Client-Rechner, Mittel zum Datenaustausch mit dem Netzwerk und Mittel zur Kontrolle und/oder Steuerung der Kommunikation zwischen Client- Rechner und Netzwerk umfaßt.
9. Computersystem nach Anspruch 8, dadurch gekennzeichnet, daß die Mittel zum Datenaustausch mit dem Netzwerk
ein Modem und/oder
einen Funktelefonprozessor
umfassen.
10. Computersystem nach einem der Ansprüche 8 oder 9, dadurch gekennzeichnet, daß das Computersystem als System on Chip ausgeführt ist.
11. Computersystem nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, daß das Computersystem in ein Kabel oder eine Karte oder ein Chip für den Netzwerkzugang des Client-Rechners integriert ist.
12. Computersystem nach Anspruch 8, dadurch gekennzeichnet, daß Mittel zur Kontrolle und/oder Steuerung der Kommunikation
einen Firewall und/oder
ein Intrusion Detection System und/oder
ein Public Key Management
umfaßt.
13. Computersystem nach Anspruch 8, dadurch gekennzeichnet, daß der Client-Rechner
ein Personalcomputer und/oder
ein Laptop und/oder
ein netzwerkfähiger Palmtop und/oder
ein netzwerkfähiges Telefon
ist.
DE10138865A 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken Expired - Lifetime DE10138865C2 (de)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE10138865A DE10138865C2 (de) 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken
EP02762408.9A EP1417820B1 (de) 2001-08-07 2002-07-29 Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE20211995U DE20211995U1 (de) 2001-08-07 2002-07-29 Computersystem zur Sicherung der Kommunikation in Netzwerken
PCT/EP2002/008421 WO2003015369A2 (de) 2001-08-07 2002-07-29 Verfahren und computersystem zur sicherung der kommunikation in netzwerken
AU2002327912A AU2002327912A1 (en) 2001-08-07 2002-07-29 Method and computer system for securing communication in networks
US10/486,108 US7430759B2 (en) 2001-08-07 2002-07-29 Method and computer system for securing communication in networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10138865A DE10138865C2 (de) 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken

Publications (2)

Publication Number Publication Date
DE10138865A1 true DE10138865A1 (de) 2003-02-27
DE10138865C2 DE10138865C2 (de) 2003-08-14

Family

ID=7694749

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10138865A Expired - Lifetime DE10138865C2 (de) 2001-08-07 2001-08-07 Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken

Country Status (1)

Country Link
DE (1) DE10138865C2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10305413A1 (de) * 2003-02-06 2004-08-26 Innominate Security Technologies Ag Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm-Erzeugnis und ein entsprechendes computerlesbares Speichermedium
US8042147B2 (en) 2005-10-05 2011-10-18 Bryes Security Network security appliance

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
WO2002007384A1 (en) * 2000-07-03 2002-01-24 Zimocom Inc. Firewall system combined with embedded hardware and general-purpose computer

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
WO2002007384A1 (en) * 2000-07-03 2002-01-24 Zimocom Inc. Firewall system combined with embedded hardware and general-purpose computer

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10305413A1 (de) * 2003-02-06 2004-08-26 Innominate Security Technologies Ag Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm-Erzeugnis und ein entsprechendes computerlesbares Speichermedium
DE10305413B4 (de) * 2003-02-06 2006-04-20 Innominate Security Technologies Ag Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium
US8146144B2 (en) 2003-02-06 2012-03-27 Innominate Security Technologies Ag Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium
US8042147B2 (en) 2005-10-05 2011-10-18 Bryes Security Network security appliance
US8407758B2 (en) 2005-10-05 2013-03-26 Byres Security Network security appliance
US9043868B2 (en) 2005-10-05 2015-05-26 Byres Security Network security appliance

Also Published As

Publication number Publication date
DE10138865C2 (de) 2003-08-14

Similar Documents

Publication Publication Date Title
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE602004003568T2 (de) Netzzugangskontrolle für ein mit einem VPN-Tunnel verbundenes Endgerät
DE102016124383B4 (de) Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen
WO2020229537A1 (de) Verfahren zum selektiven ausführen eines containers und netzwerkanordnung
DE202007019129U1 (de) Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung
EP1128615A2 (de) Verfahren und Kommunikationseinrichtung zur Verschlüsselung von E-Mail
DE602004002950T2 (de) Verfahren und Vorrichtung zur Zugriffssteuerung
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
EP3318033B1 (de) Anti-cracking verfahren mit hilfe eines vermittlungscomputer
DE10138865C2 (de) Verfahren und Computersystem zur Sicherung der Kommunikation in Netzwerken
DE60127187T2 (de) System und verfahren zur bereitstellung von diensten in virtuellen privatnetzen
EP1645098B1 (de) Vorrichtung und koppelgerät, so genannter secure-switch, zur sicherung eines datenzugriffes
EP1496666A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
DE102006038599B3 (de) Verfahren zur Wiederaktivierung einer sicheren Kommunikationsverbindung
EP4228204A1 (de) Zero trust für ein operational technology netzwerk transport protokoll
EP1699181A1 (de) Verfahren und System zur automatisierten Konfiguration eines Subnetzwerks innerhalb eines Netzwerkes
DE10234562B4 (de) Sichere Netzwerkarchitektur
DE102005050336B4 (de) Verfahren und Anordnung zum Betreiben eines Sicherheitsgateways
WO2020065476A1 (de) System und verfahren für einen zugriff auf daten in einem internen bereich
DE102024115452A1 (de) System und Verfahren zur sicheren Datenübertragung von Datenpaketen
EP3700171A1 (de) Prüfung und bestätigung der sicherheitskonfiguration der netzwerkzugriffe an einem rendezvous-server
DE102009016382A1 (de) Vorrichtung und Verfahren zur sicheren Kommunikation zwischen externen und internen Netzwerken

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8304 Grant after examination procedure
8364 No opposition during term of opposition
R082 Change of representative
R081 Change of applicant/patentee

Owner name: PHOENIX CONTACT CYBER SECURITY AG, DE

Free format text: FORMER OWNER: INNOMINATE SECURITY TECHNOLOGIES AG, 12489 BERLIN, DE

R071 Expiry of right