[go: up one dir, main page]

DE602005001318T2 - Gesetzliche Abfangung in IP-Netzwerken - Google Patents

Gesetzliche Abfangung in IP-Netzwerken Download PDF

Info

Publication number
DE602005001318T2
DE602005001318T2 DE602005001318T DE602005001318T DE602005001318T2 DE 602005001318 T2 DE602005001318 T2 DE 602005001318T2 DE 602005001318 T DE602005001318 T DE 602005001318T DE 602005001318 T DE602005001318 T DE 602005001318T DE 602005001318 T2 DE602005001318 T2 DE 602005001318T2
Authority
DE
Germany
Prior art keywords
network
vlan
lawful
supervision
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602005001318T
Other languages
English (en)
Other versions
DE602005001318D1 (de
Inventor
Raymond Gass
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Publication of DE602005001318D1 publication Critical patent/DE602005001318D1/de
Application granted granted Critical
Publication of DE602005001318T2 publication Critical patent/DE602005001318T2/de
Anticipated expiration legal-status Critical
Active legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M7/00Arrangements for interconnection between switching centres
    • H04M7/006Networks other than PSTN/ISDN providing telephone service, e.g. Voice over Internet Protocol (VoIP), including next generation networks with a packet-switched transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Keying Circuit Devices (AREA)
  • Valve Device For Special Equipments (AREA)
  • Burglar Alarm Systems (AREA)

Description

  • Die Erfindung bezieht sich auf ein Verfahren zur rechtmäßigen Überwachung eines Geräts in einem Netzwerk.
  • Hintergrund der Erfindung
  • Unter rechtmäßiger Überwachung versteht man das gesetzlich autorisierte Überwachen der Kommunikation eines überwachten Objekts. Dabei wird innerhalb eines Netzwerks die Kommunikation zwischen interessierenden Parteien überwacht. Die Überwachung ist gesetzlich autorisiert und wird ohne Wissen der überwachten Parteien durchgeführt. Die rechtmäßige Überwachung wird häufig als "Anzapfen von Telefonleitungen" oder "Telefonüberwachung" bezeichnet.
  • Es gibt bereits mehrere Techniken zur Bewerkstelligung einer rechtmäßigen Überwachung in Telefonnetzen, doch Lösungen, die auf leitungsvermittelten Netzwerken basieren, sind in paketvermittelten Netzwerken wie Voice-over-IP-Netzen nicht anwendbar.
  • In EP 1 389 862 wird ein Gerät zur rechtmäßigen Überwachung beschrieben, das die Überwachung der über Medien zwischen zwei IP-Parteien fließenden Datenströme gestattet, beinhaltend einen SIP-Proxy-Server (mit SIP für "Session Initiation Protocol") oder einen MGC (Media Gateway Controller) zum Erkennen von Informationen, die in den zwischen den beiden IP-Parteien (mit IP für "Internet-Protokoll") ausgetauschten Signalisierungsinformationen enthalten sind, sowie zum Erzeugen von Anweisungen aus den erkannten Signalisierungsinformationen, um einen RTP-Proxy-Server (mit RTP für "Real-time Transport Protocol") zum Anlegen von Kanälen anzuweisen, auf denen ein zu überwachender Medien-Datenstrom über ein Zwischenspeichermedium umgangen wird. Aufgrund einer Anpassung von Verbindungsparametern im Teil SDP (mit SDP für "Session Description Protocol") der an die IP-Parteien gesendeten SIP-Mitteilungen verläuft die Überwachung für die IP-Parteien transparent.
  • In US 2004/0157629 werden ein Verfahren und ein System zur rechtmäßigen Überwachung beschrieben, bei denen ein oder mehrere Supportknoten beginnen, Benutzerebenendaten an eine Überwachungsstruktur zu senden, nachdem sie von einem Steuerungsmittel hierzu angewiesen werden.
  • Gegenstände der Erfindung
  • Ein Gegenstand der Erfindung besteht darin, eine rechtmäßige Überwachung zur Verfügung zu stellen, die keines speziell ausgelegten Netzwerks bedarf und auf der Verwendung bestehender Netzwerkprotokolle basiert.
  • Zusammenfassende Beschreibung der Erfindung
  • Das oben erwähnte Problem wird durch ein Verfahren zur Bewerkstelligung einer rechtmäßigen Überwachung eines Geräts in einem Netzwerk gelöst, wobei das Netzwerk Mittel zum Definieren von VLANs (Virtual Local Area Networks, virtuellen lokalen Netzwerken) beinhaltet, in denen ein Gerät zur rechtmäßigen Überwachung des Netzwerks ein virtuelles lokales Netzwerk definiert, dem mindestens das zu überwachende Gerät und das Gerät zur rechtmäßigen Überwachung angehören. Vorzugsweise ist das Gerät zur rechtmäßigen Überwachung in der Lage, das VLAN selbst zu definieren, z.B. ohne die Verwendung von Funktionen des Switches im Netzwerk. Um dies zu erreichen, kann das Gerät zur rechtmäßigen Überwachung als Switch arbeiten und Informationen zur VLAN-Definition mit dem "echten" Switch im Netzwerk austauschen.
  • In einer bevorzugten Ausführungsform wird das Protokoll GVRP (mit GVRP für "GARP VLAN Registration Protocol" und mit GARP für "Generic Attribute Registration Protocol") verwendet, um ein VLAN zwischen dem Gerät zur rechtmäßigen Überwachung und dem zu überwachenden Gerät zu definieren.
  • In einer bevorzugten Ausführungsform befinden sich das Gerät zur rechtmäßigen Überwachung und das zu überwachende Gerät in unterschiedlichen statischen Broadcast-Domänen. Eine statische Broadcast-Domäne ist ein Netzwerk, in welchem Rundsendungen an alle Geräte im Netzwerk übertragen werden. Dies bedeutet, daß mindestens ein Router zwischen den Netzwerken angeordnet ist. In einer andere bevorzugten Ausführungsform befinden sich das Gerät zur rechtmäßigen Überwachung und das zu überwachende Gerät in derselben statischen Sende-Domgin. Dies ist üblicherweise in vermittelten LANs der Fall.
  • Das oben erwähnte Problem wird außerdem durch ein Teilnehmer-Endgerät (Customer Premises Equipment, CPE) gelöst, das Mittel zum Anschluß an ein virtuelles lokales Netzwerk beinhaltet. Vorzugsweise beinhaltet das Gerät zur rechtmäßigen Überwachung Mittel, um als Switch zu arbeiten. In einer weiteren bevorzugten Ausführungsform beinhalten das Teilnehmer-Endgerät und/oder das Gerät zur rechtmäßigen Überwachung Mittel zum Austauschen von Informationen durch Verwendung des Protokolls GVRP (mit GVRP für "GARP-VLAN-Registration Protocol" und mit GARP für "Generic Attribute Registration Protocol").
  • Kurzbeschreibung der Zeichnungen
  • 1 zeigt eine Skizze eines vermittelten Netzwerks.
  • 2 zeigt eine Skizze eines gerouteten Netzwerks mit Switches.
  • Ausführliche Beschreibung der Erfindung
  • Virtuelle LANs (VLANs) haben sich in letzter Zeit zu einem integralen Leistungsmerkmal von Lösungen mit vermittelten LANs entwickelt. In einem Netzwerk, in dem zur Segmentierung nur Router verwendet werden, entsprechen die Segmente genau den Broadcast-Domänen. Jedes Segment enthält typisch zwischen 30 und 100 Benutzer. Mit der Einführung des Switchings kann ein Netzwerk in kleinere, auf der zweiten Schicht definierte Segmente unterteilt werden, was eine erhöhte Bandbreite pro Segment möglich macht.
  • Ein VLAN ist ein vermitteltes Netzwerk, das logisch nach organisatorischen Aspekten, also z.B. nach Funktionen, Projektteams oder Anwendungen, segmentiert ist, nicht aber nach physikalischen oder geografischen Aspekten. Beispielsweise können alle Workstations und Server, die von einem bestimmten Arbeitsgruppenteam benutzt werden, mit ein und demselben VLAN verbunden werden, unabhängig von ihren physikalischen Anbindungen an das Netz oder von der Tatsache, daß sie vielleicht mit anderen Teams durchsetzt sein könnten. Eine Umkonfiguration des Netzwerks kann per Software bewerkstelligt werden, d.h. ohne daß Geräte oder Leitungen physikalisch vom Netz getrennt und verlagert werden.
  • Ein VLAN kann man sich als eine Broadcast-Domäne innerhalb einer definierten Gruppe von Switches vorstellen. Ein VLAN besteht aus einer Reihe von Endsystemen, die entweder Hosts oder Netzwerkgeräte wie z.B. Bridges und Router sind und über eine einzige Bridging-Domäne angeschlossen sind. Die Bridging-Domäne wird auf verschiedenen Netzwerkgeräten unterstützt, beispielsweise von LAN-Switches, die untereinander Bridging-Protokolle mit einer separaten Bridge-Gruppe für jedes VLAN verwenden.
  • VLANs werden eingerichtet, um die Segmentierungsdienste bereitzustellen, die in LAN-Konfigurationen traditionell von Routern zur Verfügung gestellt werden. In VLANs können logische Netzwerktopologien die physisch vermittelte Infrastruktur so überlagern, daß eine beliebige Auswahl von LAN-Ports zu einer autonomen Benutzergruppe oder Interessengemeinschaft kombiniert werden. Die Technologie segmentiert das Netzwerk logisch in separate Broadcast-Domänen der zweiten Ebene, wobei Datenpakete zwischen Ports vermittelt werden, die demselben VLAN zugeordnet sind.
  • Das VLAN-Switching wird über Frame-Tags bewerkstelligt, wobei Datenverkehr, der aus einer bestimmten virtuellen Topologie stammt und in dieser enthalten ist, bei der Übermittlung über eine gemeinsame Backbone- oder Fernleitung einen einzigartigen VLAN-Identifier (die VLAN-ID) mit sich führt. Über die VLAN-ID können VLAN-Switching-Geräte intelligente Weiterleitungsentscheidungen treffen, die auf der eingebetteten VLAN-ID basieren. Zwischen den einzelnen VLANs wird anhand einer Farbe oder eines VLAN-Identifiers unterschieden. Die einzigartige VLAN-ID bestimmt die Frame-Farbkodierung für das VLAN. Pakete, die aus einem bestimmten VLAN stammen und in diesem enthalten sind, führen den Identifier mit sich, der dieses VLAN (anhand der VLAN-ID) eindeutig definiert.
  • Anhand der VLAN-ID können VLAN-Switches und -Router Pakete selektiv an Ports mit derselben VLAN-ID weiterleiten. Der Switch, der den Frame von der Absenderstation empfängt, fügt die VLAN-ID ein, und das Paket wird in das gemeinsam genutzte Backbone-Netzwerk vermittelt. Wenn der Frame das vermittelte LAN verläßt, trennt ein Switch den Header ab und leitet den Frame an Schnittstellen weiter, die der jeweiligen VLAN-Farbe zugeordnet sind. Dort ist ein Netzwerkmanagement-Produkt wie z.B. VlanDirector vorhanden, das die Farbkodierung der VLANs und die VLAN-Überwachung in grafischer Form ermöglicht.
  • Viele der anfänglichen VLAN-Implementierungen definieren die VLAN-Zugehörigkeit über Gruppen von Switch-Ports (beispielsweise bilden die Ports 1, 2, 3, 7 und 8 auf einem Switch das VLAN A, während die Ports 4, 5 und 6 das VLAN B bilden). In den meisten der anfänglichen Implementierungen konnten VLANs außerdem nur auf einem einzigen Switch unterstützt werden. Implementierungen der zweiten Generation unterstützen dagegen VLANs, die sich über mehrere Switches erstrecken (beispielsweise bilden die Ports 1 und 2 von Switch Nr. 1 und die Ports 4, 5, 6 und 7 von Switch Nr. 2 das VLAN A, während die Ports 3, 4, 5, 6, 7 und 8 von Switch Nr. 1 in Kombination mit den Ports 1, 2, 3 und 8 von Switch Nr. 2 das VLAN B bilden). Die Port-Gruppierung ist nach wie vor das gängigste Verfahren zum Definieren einer VLAN-Zugehörigkeit, und die Konfiguration erfolgt recht unkompliziert. Werden VLANs nur über Port-Gruppen definiert, dann können mehrere VLANs nicht dasselbe Segment (oder denselben Switch-Port) beinhalten. Die Haupteinschränkung beim Definieren von VLANs über Ports liegt allerdings darin, daß der Netzwerkmanager die VLAN-Zugehörigkeit umkonfigurieren muß, wenn ein Benutzer von einem Port zu einem anderen wechselt.
  • Die VLAN-Zugehörigkeit per MAC-Adresse (mit MAC für "Medium Access Control"), die auf der MAC-Schicht-Adresse basiert, hat andere Vor- und Nachteile. Da MAC-Schicht-Adressen fest auf der Netzwerkschnittstellenkarte (Network Interface Card, NIC) der Workstation verdrahtet sind, ermöglichen es VLANs, die auf MAC-Adressen basieren, den Netzwerkmanagern, eine Workstation an einen anderen Physischen Standort im Netzwerk zu verlagern und zu veranlassen, daß diese Workstation automatisch ihre VLAN-Zugehörigkeit beibehält. Auf diese Weise kann man sich ein über MAC-Adressen definiertes VLAN als benutzerbasiertes VLAN vorstellen. Einer der Nachteile von VLAN-Lösungen, die auf MAC-Adressen basieren, besteht in der Forderung, daß alle Benutzer zunächst als in mindestens einem VLAN befindlich konfiguriert werden müssen. Nach dieser anfänglichen manuellen Konfiguration ist eine automatische Verfolgung von Benutzern möglich.
  • Einen anderen Ansatz für die VLAN-Definition stellen IP-Multicast-Gruppen dar, wenngleich auch das Grundkonzept der VLANs als Broadcast-Domänen weiterhin gültig ist. Wenn ein IP-Paket per Multicast gesendet wird, wird es an eine Adresse übermittelt, die einen Proxy für eine explizit definierte Gruppe von IP-Adressen bildet, die dynamisch eingerichtet wird. Jede Workstation erhält die Möglichkeit, sich einer bestimmten IP-Multicast-Gruppe anzuschließen, indem sie mit einer Bestätigung auf eine Broadcast-Benachrichtigung antwortet, welche die Existenz der Gruppe signalisiert. Alle Workstations, die sich einer IP-Multicast-Gruppe anschließen, können für eine bestimmte Zeitspanne als Mitglieder einer bestimmten Multicast-Gruppe betrachtet werden. Daher gestattet die dynamische Natur von VLANs, die über IP-Multicast-Gruppen definiert sind, ein sehr hohes Maß an Flexibilität und Anwendungsempfindlichkeit. Zudem wären über IP-Multicast-Gruppen definierte VLANs von Natur aus in der Lage, sich über Router und somit auch über WAN-Verbindungen zu erstrecken.
  • Wegen der Kompromisse zwischen verschiedenen Arten von VLANs lassen sich mehrere Verfahren der VLAN-Definition gleichzeitig anwenden. Mit einer solchen flexiblen Definition der VLAN-Zugehörigkeit können Netzwerkmanager ihre VLANs so konfigurieren, daß diese optimal in ihre jeweilige Netzwerkumgebung passen. Beispielsweise könnte eine Organisation, die sowohl IP- als auch NETBIOS-Protokolle (mit NETBIOS für "Network Basic Input/Output System") verwendet, durch Anwendung einer Kombination von Verfahren VLANs anhand bereits existierender IP-Subnetze definieren und anschließend VLANs für NETBIOS-Endstationen definieren, indem sie nach Gruppen von MAC-Schicht-Adressen unterteilt werden. VLAN unterstützt die Übertragung von RTP (Real-Time Transport Protocol), einem Internet-Protokoll zum Übertragen von Echtzeitdaten wie z.B. Audio-, Video- oder Multimediadaten.
  • Ein System, das die VLAN-Implementierung vollständig automatisiert, setzt voraus, daß sich Workstations in Abhängigkeit von der Anwendung, von der Benutzer-ID oder von anderen Kriterien oder Grundsätzen, die von einem Administrator zuvor eingestellt werden, automatisch und dynamisch bei VLANs anmelden. Kommunizierende Switches, die Informationen über VLAN-Zugehörigkeiten verarbeiten, müssen über eine Möglichkeit verfügen, eine VLAN-Zugehörigkeit zu verstehen (d.h. zu erkennen, welche Stationen zu welchem VLAN gehören), wenn Netzwerkverkehr von anderen Switches eintrifft; anderenfalls wären VLANs auf einen einzigen Switch beschränkt.
  • Der Frame-Tag nach IEEE 802.1Q definiert ein Verfahren, um einen Tag in einen Frame auf der IEEE-MAC-Schicht einzufügen, der die Zugehörigkeit in einem virtuellen LAN definiert. Im Verlauf des Standardisierungsprozesses haben die Ingenieure einige zusätzliche Bits zur Definition einer Serviceklasse eingeschleust. Der IEEE-Standard 802.1Q ist dafür ausgelegt, die Konfiguration und das Management von VLANs zu vereinfachen. Er legt ein Verfahren zum Definieren und Einrichten von VLANs in framebasierten Netzwerken wie Ethernet und Token Ring fest. 802.1Q ist ein Tagging-Schema, in dem eine VLAN-ID in den Frame-Header der zweiten Schicht eingefügt wird. Die VLAN-ID ordnet einen Frame einem bestimmten VLAN zu und liefert die Information, die von den Switches benötigt wird, um im gesamten Netzwerk VLANs einzurichten.
  • Der Standard 802.1Q definiert das Weiterleiten von Frames anhand von Tag-Informationen, ferner die explizite gemeinsame Nutzung von VLAN-Informationen, den Austausch von Topologie-Informationen sowie das VLAN-Management und die VLAN-Konfiguration.
  • Ein VLAN-Protokoll mit der Bezeichnung GARP (Generic Attribute Registration Protocol) verteilt Topologie-Informationen über Tags an Netzwerk-Switches und Endstationen. Außerdem steuert ein Registrierungsprotokoll mit der Bezeichnung GVRP (GARP VLAN Registration Protocol) verschiedene Aspekte des Prozesses zur VLAN-Anmeldung und -Abmeldung.
  • Das GARP-VLAN-Registrierungsprotokoll (GVRP) definiert eine GARP-Anwendung, die das zu 802.1Q kompatible VLAN-Pruning und die dynamische VLAN-Einrichtung auf 802.1Q-Trunk-Ports zur Verfügung stellt. GVRP ist eine im Standard 802.1Q definierte Anwendung zum Steuern von 802.1Q-VLANs.
  • GVRP ermöglicht es einem Switch, 802.1Q-kompatible VLANs dynamisch auf Verbindungen mit anderen Geräten einzurichten, auf denen GVRP in Betrieb ist. Auf diese Weise kann der Switch automatisch VLAN-Verbindungen zwischen Geräten mit laufendem GVRP einrichten. (Eine GVRP-Verbindung kann auch zwischengeschaltete Geräte einschließen, auf denen GVRP nicht läuft.) Dieser Vorgang reduziert die Wahrscheinlichkeit von Fehlern in der VLAN-Konfiguration, indem automatisch eine netzwerkweite Einheitlichkeit der VLAN-ID (VID) geschaffen wird. Mit GVRP kann der Switch VLAN-Konfigurationsinformationen mit anderen GVRP-Switches austauschen, unnötigen Broadcast-Verkehr und unbekannten Unicast-Verkehr ausblenden sowie dynamisch VLANs auf Switches einrichten und verwalten, die über 802.1Q-Trunk-Ports verbunden sind. GVRP nutzt GID und GIP, von denen die gemeinsamen State-Machine-Beschreibungen und die gemeinsamen Mechanismen zur Informationsübermittlung zur Verfügung gestellt werden, die für die Verwendung in GARP-basierten Anwendungen definiert sind. GVRP ist nur auf 802.1Q-Trunk-Verbindungen lauffähig. GVRP schränkt Trunk-Verbindungen so ein, daß nur aktive VLANs über Trunk-Verbindungen geführt werden. GVRP erwartet, Anmeldungsmitteilungen von den Switches zu erhalten, bevor es der Trunk-Verbindung ein VLAN hinzufügt. GVRP verwaltet und aktualisiert Timer, die verändert werden können. GVRP-Ports arbeiten in verschiedenen Betriebsarten, um zu steuern, wie sie VLANs einschränken. Zu Trunkingzwecken kann GVRP für das dynamische Hinzufügen von VLANs zur VLAN- Datenbank und für deren automatisches Verwalten konfiguriert werden.
  • Anders ausgedrückt, gestattet GVRP die Weitergabe von VLAN-Informationen von Gerät zu Gerät oder von einem Gerät zu einem Endknotenpunkt. Mit GVRP wird ein einzelner Switch manuell mit allen für das Netzwerk gewünschten VLANs konfiguriert, und alle anderen Switches im Netzwerk erlernen diese VLANs dynamisch. Ein Endknotenpunkt kann an jeden beliebigen Switch angeschlossen und mit dem gewünschten VLAN dieses Endknotenpunkts verbunden werden. Damit Endknotenpunkte GVRP nutzen können, benötigen sie GVRP-fähige Netzwerkschnittstellenkarten (Network Interface Cards, NICs). Die GVRP-fähige NIC wird mit dem bzw. den gewünschten VLAN(s) konfiguriert und anschließend mit einem GVRP-fähigen Switch verbunden. Die NIC kommuniziert mit dem Switch, und die VLAN-Konnektivität wird zwischen der NIC und dem Switch hergestellt.
  • 1 zeigt beispielhaft eine einfache Konfiguration in einem lokalen Netzwerk (Local Area Network, LAN), das nur einen Switch S beinhaltet, an welchen mehrere Geräte (oder Endknotenpunkte) angeschlossen sind. In 1 werden die Geräte anhand einer IP-Adresse identifiziert. Zur Veranschaulichung gehören die Geräte zu unterschiedlichen (statischen) Klasse-C-Netzwerken, zwei von ihnen zu 192.168.2.0, drei zu 192.168.4.0 und eines zu 192.168.3.0. In dieser Konfiguration sind die Geräte 192.168.2.1 und 192.168.2.2 sowie die Geräte 192.168.4.1, 192.168.4.2 und 192.168.4.3 in der Lage, ohne Routing miteinander zu kommunizieren. Eine Kommunikation zwischen den Subnetzen wäre nur über einen Router möglich.
  • Der Switch S ist in der Lage, beispielsweise über GARP, GVRP oder dergleichen VLANs zu definieren. Darüber hinaus ist das Gerät (oder der Endknotenpunkt) 192.168.3.1 in der Lage, als Switch zu arbeiten (wenn Endknotenpunkte nicht in der Lage sind, dynamisch ein VLAN zu definieren). Das Gerät 192.168.3.1 richtet ein VLAN_1 ein, indem es eine entsprechende Anforderung an den Switch S übermittelt. Wie in 1 dargestellt, könnte das Gerät 192.168.3.1, das ein "Gerät zur rechtmäßigen Überwachung" ist, ein VLAN mit nur einem weiteren Mitglied, dem Gerät 192.168.4.1, einrichten.
  • Nun ist der gesamte Datenverkehr von und nach 192.168.4.1 lokaler Verkehr (in derselben Broadcast-Domäne) für das Gerät 192.168.3.1, weshalb 192.168.3.1 den gesamten Netzwerkverkehr des Geräts 192.168.4.1 – z.B. die RTP-Kanäle, über welche Multimediadaten und insbesondere ein Telefongespräch oder sogar Video- oder Faxsignale übertragen werden – überprüfen kann.
  • Das oben beschriebene Konzept für einen Switch ist auch für ein Netzwerk geeignet, das Router enthält. Daher müssen die Switches die Möglichkeit haben, VLAN-Informationen über Router auszutauschen, was in allen eingangs beschriebenen Beispielstandards möglich ist. 2 beschreibt ein solches Beispiel eines gerouteten Netzwerks. Zwei Switches S1 und S2 sind über einen Router R (oder mehrere Router, z.B. das Internet) verbunden. Beide Switches sind in der Lage, VLANs einzurichten. Ein Gerät zur rechtmäßigen Überwachung 192.168.1.1 im Subnetz 192.168.1.0 richtet ein VLAN jenseits ein Broadcast-Domäne des Netzwerks des Routers S1 mit einem Gerät 123.456.1.1 im Netzwerk 123.456.0.0 ein. Nur die Geräte 192.168.1.1 und das Gerät 123.456.1.1 gehören dem VLAN an. Wie im Beispiel von 1 ist das Gerät zur rechtmäßigen Überwachung 192.168.1.1 nun in der Lage, den gesamten Datenverkehr vom und zum Gerät 123.456.1.1 abzuhören.
  • Das beschriebene Verfahren ist weiterhin in IP-Telefon-Netzwerken ("Voice-over-IP"-Netzwerken) mit Teilnehmer-Endgeräten (Customer Premises Equipment, CPE), die über ADSL, ISDN oder dergleichen mit anderen Netzen verbunden sind. Darüber hinaus kann die Implementierung einer erfindungsgemäßen rechtmäßigen Überwachung auf der Verwendung vorhandener Tools (z.B. VLANid, deklariert durch Verwendung von Managementprotokollen wie SNMP – Simple Network Management Protocol) oder auf der Verwendung spezieller Tools basieren. Letztere beinhalten möglicherweise eine grafische Benutzeroberfläche, die es gestattet, gegenüber dem "Überwacher" die Komplexität des Vorgangs auszublenden, wenn eine erfindungsgemäße rechtmäßige Überwachung eingerichtet wird. In der Tat sind ziemlich fundierte Kenntnisse (üblicherweise diejenigen eines Systemmanagers) erforderlich, um die spezielle Adresse des Geräts oder Endknotenpunkts wie z.B. eines VoIP-Telefons oder eines Fax-over-IP-Endgeräts, das rechtmäßig überwacht werden soll, d.h. dessen Port oder MAC- und/oder IP-Adresse (letztere wird üblicherweise dynamisch festgelegt), einem bestimmten VLAN im vorhandenen Netzwerk zuzuordnen. Ein solches bestimmtes VLAN kann exklusiv dem "Überwacher" zugewiesen werden und möglicherweise Administratorrechte erfordern. Der Überwacher ist anschließend in der Lage, von seinem Endgerät aus, welches das Gerät zur rechtmäßigen Überwachung und möglicherweise, aber nicht ausschließlich von derselben Art wie das zu überwachende Gerät und Bestandteil dieses VLANs ist, die abgefangenen Daten zu analysieren. So ist es erfindungsgemäß beispielsweise möglich, beliebige abgefangene Daten wiederzugeben, wenn es sich um Sprachdaten handelt, die möglicherweise aus einem abzuhörenden Gespräch stammen, oder diese Daten anzuzeigen, wenn es sich um Faxdaten oder andere lesbare Datentypen (SMS, MMS oder dergleichen) handelt.

Claims (7)

  1. Verfahren zur Bereitstellung einer rechtmäßigen Überwachung eines Geräts in einem Netzwerk, wobei das Netzwerk Mittel zum Definieren von virtuellen lokalen Netzwerken beinhaltet, dadurch gekennzeichnet, daß ein Gerät zur rechtmäßigen Überwachung des Netzwerks ein virtuelles lokales Netzwerk definiert, dem mindestens das zu überwachende Gerät und das Gerät zur rechtmäßigen Überwachung angehören.
  2. Verfahren gemäß vorstehendem Anspruch, dadurch gekennzeichnet, daß das Gerät zur rechtmäßigen Überwachung gegenüber einem Switch im Netzwerk als Switch wirkt.
  3. Verfahren gemäß vorstehenden Ansprüchen, dadurch gekennzeichnet, daß das Protokoll GVRP (Generic Attribute Registration Protocol (GARP) Virtual Local Area Network Protocol) verwendet wird, um ein virtuelles lokales Netzwerk zwischen dem Gerät zur rechtmäßigen Überwachung und dem zu überwachenden Gerät zu definieren.
  4. Verfahren gemäß vorstehenden Ansprüchen, dadurch gekennzeichnet, daß sich das Gerät zur rechtmäßigen Überwachung und das zu überwachende Gerät in unterschiedlichen statischen Broadcast-Domänen befinden.
  5. Verfahren gemäß Anspruch 1, dadurch gekennzeichnet, daß sich das Gerät zur rechtmäßigen Überwachung und das zu überwachende Gerät in derselben statischen Broadcast-Domäne befinden.
  6. Gerät zur rechtmäßigen Überwachung zur Bereitstellung einer rechtmäßigen Überwachung eines Geräts in einem Netzwerk, welches Mittel beinhaltet, um als Switch zu wirken, wobei das Gerät zur rechtmäßigen Überwachung ein virtuelles lokales Netzwerk definiert, welchem mindestens das zu überwachende Gerät und das Gerät zur rechtmäßigen Überwachung angehören.
  7. Gerät zur rechtmäßigen Überwachung gemäß Anspruch 6, beinhaltend Mittel zum Austauschen von Informationen durch Verwendung des Protokolls GVRP (Generic Attribute Registration Protocol (GARP) Virtual Local Area Network Protocol).
DE602005001318T 2005-03-07 2005-03-07 Gesetzliche Abfangung in IP-Netzwerken Active DE602005001318T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP05290506A EP1701503B1 (de) 2005-03-07 2005-03-07 Gesetzliche Abfangung in IP-Netzwerken

Publications (2)

Publication Number Publication Date
DE602005001318D1 DE602005001318D1 (de) 2007-07-19
DE602005001318T2 true DE602005001318T2 (de) 2008-02-07

Family

ID=34941988

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602005001318T Active DE602005001318T2 (de) 2005-03-07 2005-03-07 Gesetzliche Abfangung in IP-Netzwerken

Country Status (6)

Country Link
EP (1) EP1701503B1 (de)
AT (1) ATE364288T1 (de)
DE (1) DE602005001318T2 (de)
ES (1) ES2286768T3 (de)
MX (1) MXPA05012874A (de)
RU (1) RU2402174C2 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102405662B (zh) * 2009-04-03 2014-06-11 华为技术有限公司 合法监听的方法、系统及移动交换中心
CN102571439B (zh) * 2012-01-18 2014-10-08 华为技术有限公司 虚拟局域网的部署和撤销方法、设备及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2000056029A1 (en) * 1999-03-12 2000-09-21 Nokia Networks Oy Interception system and method
KR100443013B1 (ko) * 2000-12-04 2004-08-04 엘지전자 주식회사 악의호 처리 교환기 장치 및 그 운용 방법
DE60139424D1 (de) * 2001-05-16 2009-09-10 Nokia Corp Verfahren und system zur ermöglichung eines legitimen abfangens von verbindungen, wie zum beispiel sprache-über-internet-protokoll-anrufen
US7188364B2 (en) * 2001-12-20 2007-03-06 Cranite Systems, Inc. Personal virtual bridged local area networks

Also Published As

Publication number Publication date
DE602005001318D1 (de) 2007-07-19
RU2402174C2 (ru) 2010-10-20
EP1701503B1 (de) 2007-06-06
ATE364288T1 (de) 2007-06-15
MXPA05012874A (es) 2006-09-06
EP1701503A1 (de) 2006-09-13
RU2005137245A (ru) 2007-06-10
ES2286768T3 (es) 2007-12-01

Similar Documents

Publication Publication Date Title
DE69608300T2 (de) Verfahren zur aufstellung von beschränkten rundsendgruppen in einem vermittlungsnetz
DE60025437T2 (de) Private virtuelle Netze und Verfahren zu deren Betrieb
DE602004012387T2 (de) System, verfahren und funktion zur ethernet-mac-adressenverwaltung
US8050273B2 (en) Lawful interception in IP networks
DE69727930T2 (de) Zusammenfassung von verbindungen in vermittlungskommunikationsnetzen
DE60029430T2 (de) Mehrfach-sendefähiges adressauflösungsprotokoll
DE69918332T2 (de) Virtuelle lokale netze mit prioritätsregeln
EP1779637B1 (de) Verfahren zur vermittlung von ip-paketen zwischen kundennetzen und ip-provider-netzen über ein zugangsnetz
DE60315143T2 (de) Verfahren und Einrichtung zur Ethernet-MAC-Adressumsetzung in Ethernet-Zugangsnetzwerken
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE69836271T2 (de) Mehrstufiges firewall-system
DE69933417T2 (de) Vorrichtung und Verfahren zur routerfreien Schicht 3 Wegelenkung in einem Netz
DE69835762T2 (de) Netz für leitungsvermittelte Breitband-Mehrpunkt-Multimedia-Kommunikation
DE69219141T2 (de) Übertragungsemulator für lokales netz
DE69636126T2 (de) Verteilte verbindungsorientierte dienste für vermittelte fernmeldenetz
EP1618708B1 (de) Verfahren zur automatischen konfiguration einer kommunikationseinrichtung
EP2191613B1 (de) Verfahren zum benutzerspezifischen konfigurieren eines kommunikationsports
DE60026006T2 (de) System zum Empfang von Mehrfachdaten
DE60318601T2 (de) Verfahren zur automatischen konfiguration einer ip-fernsprecheinrichtung und/oder daten, system und einrichtung zu ihrer implementierung
DE60018913T2 (de) Verfahren und Apparat um mit Apparate zu kommunizieren die nicht zum selben virtuellen privaten Netzwerk (VPN) gehören
DE10084739B4 (de) Anordnung und Verfahren in einem geschalteten Telekommunikationssystem
DE602005000990T2 (de) Verfahren zum Austauschen von Datenpaketen
DE602005001318T2 (de) Gesetzliche Abfangung in IP-Netzwerken
EP2719129B1 (de) Hauskommunikationsnetzwerk
DE60131889T2 (de) Verfahren und telekommunikationsknoten zur verteilung von abschlussverkehr in einem telekommunikationsknoten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition