-
Erfindungsgebiet
-
Die
vorliegende Erfindung betrifft Datenpaketvermittlungen in Datennetzen
und insbesondere die Vermittlung von Datenpaketen in virtuellen
privaten Netzen (VPN).
-
Stand der
Technik
-
In
Datennetzen, so beispielsweise im Internet, wird die Information
in Datenpaketen übermittelt, die
auf der Grundlage einer Bestimmungsadresse, beispielsweise einer
Internetprotokoll(IP)-Adresse einschließlich des Datenpaketes an ihren
Bestimmungsort geleitet werden. Ursprünglich war eine IP-Adresse
einer körperlichen
Maschine zugeordnet und die Datenpakete konnten einfach auf der
Grundlage der Bestimmungsadresse an die richtige Adresse gelenkt
werden. Heutzutage jedoch kann eine reine Bestimmungsadresse nicht
immer die Bestimmungseinrichtung eindeutig identifizieren.
-
So
benutzen beispielsweise Organisationen aufgrund der begrenzten Zahl
von IP-Adressen
und bei der dem Internet eigenen Sicherheit oftmals eine begrenzte
Anzahl öffentlicher
IP-Adressen und verstecken die IP-Adressen ihrer internen Netze
hinter diesen öffentlichen
Adressen mit Hilfe einer Netz-Adressen-Übersetzung (NAT). Bei dieser
Art der Anordnung können
die in den zahlreichen unterschiedlichen internen Netzen (interne
Adressen) benutzten IP-Adressen gleich sein. Gewöhnlich entstehen dadurch keinerlei
Probleme, da oftmals eine Einrichtung, die an der Grenze des Internet-Netzes
sitzt, die Übersetzung
der internen Adressen in öffentliche Adressen
und umgekehrt übernimmt
und die Datenpakete an die richtigen Bestimmungsorte leitet.
-
Es
gibt jedoch einige Situationen, in denen die Vermittlung der Datenpakete
nur auf der Basis der Bestimmungsadresse nicht funktioniert. Eine
Lösung
zur Auffindung der richtigen Bestimmung besteht darin, Quellen-IP-Adressen
und/oder Quellen-Bestimmungsportale zu benutzten als Basis der Übermittlungsentscheidung,
die auch in einem Datenpaket aufgefunden werden können. Selbst
diese Möglichkeit
jedoch hilft nicht in allen Fällen,
so daß Bedarf
für eine
neue Vermittlungslösung
besteht.
-
Die
US-A-6 154 839 beschreibt eine NAT, basierend auf Adressenübersetzung,
wobei eine temporäre
bevorzugte Adresse einem Fernteilnehmer zur Kommunikation innerhalb
eines Firewalls zugeordnet wird. Die bevorzugte Adresse in den Antwortpaketen
wird als Index für
eine Nachschlagtabelle benutzt, die die Adressen des Fernteilnehmers
enthält.
-
Zusammenfassung
der Erfindung
-
Eine
Aufgabe der Erfindung besteht darin, ein neues Verfahren, ein Computer-Programmprodukt und
ein Netzelement zur Vermittlung der Datenpakete zu schaffen.
-
Diese
Aufgabe wird erfindungsgemäß gemäß den beigefügten unabhängigen Ansprüchen gelöst. Bevorzugte
Ausführungsbeispiele
der Erfindung sind in den Unteransprüchen gekennzeichnet. Die Merkmale
eines abhängigen
Anspruchs lassen sich mit den Merkmalen kombinieren, die in einem
anderen abhängigen
Anspruch enthalten sind, um weitere vorteilhafte Ausführungsformen
der Erfindung zu schaffen.
-
Die
der Erfindung zugrunde liegende Idee beruht auf der Vermittlung
von Datenpaketen auf der Basis von Informationen, die in den zu
vermittelnden Datenpaketen nicht enthalten sind und damit zur Verfügung stehen.
D. h., erfindungsgemäß wird ein
Informationsstück,
das indirekt dem Datenpaket zugeordnet ist, zunächst bestimmt, und das Datenpaket
wird dann mindestens teilweise auf der Basis dieses Informationsstückes vermittelt.
Diese Information kann beispielsweise ein Benutzerkennwort sein,
das den Datenpaketen zugeordnet ist, oder eine Tageszeit oder ein
Datum. Indirekt zugeordnet zu dem Datenpaket bedeutet hier, daß die Information,
die zum Fällen
der Vermittlungsentscheidung verwendet wird, nicht direkt von dem
Datenpaket erhalten werden kann, sondern daß eine zusätzliche Handlung erforderlich
ist. So wird beispielsweise, um ein Benutzerkennwort zu erhalten,
die Beurkundung benötigt
und von dem System, das die Erfindung umsetzt, beispielsweise der
Tag oder das Datum erhalten.
-
Gemäß einem
Erfindungsmerkmal wird zunächst
ein Benutzerkennwort, das mit einem Datenpaket verbunden ist, bestimmt
und das Datenpaket zumindest teilweise auf der Basis dieses Benutzerkennwortes
vermittelt.
-
Gemäß einem
anderen Erfindungsmerkmal ist die Vermittlung von Informationen
Bestandteil eines Firewalls oder einer VPN-Regel, und zu der Vermittlung
des Datenpaketes gehört
das Auffinden einer Filterregel, die wenigstens zu dem besagten
Benutzerkennwort paßt,
sowie die Entnahme von Übermittlungsinformationen
aus dieser Filterregel und die Vermittlung des Datenpaketes auf
der Basis der Vermittlungsinformationen.
-
Zusätzlich zu
dem Benutzerkennwort können
beispielsweise Tageszeit und/oder Datum zum Auffinden der passenden
Regel verwendet werden und demzufolge zur Informationsvermittlung
für das Datenpaket.
-
Die
Erfindung eignet sich insbesondere für virtuelle private Netze.
Virtuelle private Netze bedeutet private Kommunikation über öffentliche
Netze. So kann beispielsweise ein Laptop, der mit dem Internet verbunden
ist, sicher mit einem Server kommunizieren, der in dem internen
Netzwerk einer Organisation angesiedelt ist. Die interne Adressierung
des Servers wird für
aktuelle Datenpakete benutzt, für
die Verwendung über
das Internet werden jedoch die vom Laptop stammenden aktuellen Datenpakete
verschlüsselt
und in ein äußeres Datenpaket
eingehäust,
das an einen VPN-Zugang adressiert ist, der an der Grenze des inneren
Netzwerkes sitzt. Der VPN-Zugang legt dann das Datenpaket frei und schickt
es an das ursprüngliche
Ziel, und zwar auf der Basis der in dem internen Datenpaket gefundenen Adresse.
VPNs werden auch zwischen zwei VPN-Zugängen gebildet. Spezielle Details
einer VPN-Verwendung sind jedoch für die vorliegende Erfindung nicht
relevant und werden deshalb hier nicht weiter diskutiert.
-
Ein
potentielles Problem bei der Vermittlung von Datenpaketen in Verbindung
mit VPNs besteht beispielsweise dann, wenn ein Provider-Dienstleister (MSP)
einer Vielzahl von Kunden VPN-Zugangservice anbietet. Nimmt man
beispielsweise an, daß ein MSP
einen VPN-Zugang benutzt, um VPN-Verbindungen für eine Vielzahl von Kunden
zu betreiben, wobei jeder Kunde eine eigene Schnittstelle zu dem VPN-Zugang
hat, und gleichzeitig den Kunden ermöglicht wird, sich überlappende
interne Adressen zu benutzen. Wenn nun ein Datenpaket des VPN-Anschlusses
von einer gegebenen externen Quelle an einer internen Adresse X
an dem VPN- Zugang
ankommt und die interne Adresse X für mehr als ein internes Netz
verwendet wird, das an den VPN-Zugang angeschlossen ist, so ist
es unmöglich,
auf der Basis der Bestimmungsadresse herauszufinden, welches X die
korrekte Bestimmung ist. Selbst die Benutzung einer Quelladresse
hilft nicht, da die mobilen Terminals typischerweise dynamische
IP-Adressen verwenden und somit die Quellenadresse keinerlei zusätzliche
Information liefert. Das erfindungsgemäße Verfahren löst jedoch
dieses Problem, da die Benutzerkennung für die Vermittlung verwendet
wird. Erfindungsgemäß registrieren
bei dem MSP unterschiedliche Kunden die Benutzerkennworte, die die
Verwendung ihres VPN ermöglichen.
Der VPN-Zugang des MSP kann dann leicht das korrekte Netz für ein gegebenes
Datenpaket finden, indem das interne Netz bezogen auf die Benutzerkennung
gefunden wird, die mit dem Datenpaket verbunden ist.
-
Ein
weiteres Problem, das mit der Erfindung gelöst werden kann, besteht darin,
daß, obgleich
alle Kundennetze, die mit einem MSP-VPN-Zugang verbunden sind, verschiedene
interne Adressenräume benutzen,
ein Kunde verlangen kann, daß der
ganze Verkehr, der von den Laptops der Kunden herrührt, durch
sein internes Netz geleitet wird. D. h., selbst derjenige Verkehr,
dessen Bestimmung im Internet liegt, soll zu dem internen Netz des
Kunden gelenkt werden und von dort aus in das Internet. Auf diese Weise
kann der Kunde seine eigene Sicherheitspolitik für den Verkehr bewerkstelligen,
bevor diese weitergeleitet wird. Für diesen Fall bieten bekannte
Lösungen
keinerlei Möglichkeit
für den
VPN-Zugang, um herauszufinden, welches interne Netz die korrekte
Bestimmung für
ein verschlüsseltes
Datenpaket ist, in dem die Bestimmungsadresse auf das Internet weist.
Indem jedoch erfindungsgemäß die Vermittlungsentscheidung
auf der Benutzerkennung basiert, läßt sich die korrekte Bestimmung
auffinden.
-
Kurze Beschreibung
der Zeichnungen
-
Verschiedene
Merkmale der Erfindungen sowie Vorteile, die von ihr geboten werden,
werden im folgenden im Detail unter Bezug auf die in der Zeichnung
dargestellten Ausführungsbeispiele
beschrieben. In der Zeichnung zeigen:
-
1 eine
beispielhafte Netzkonfiguration;
-
2A ein
Fließbild,
das einen Gesichtspunkt des erfindungsgemäßen Verfahrens zeigt; und
-
2B ein
Fließbild,
das einen anderen Gesichtspunkt des Verfahrens zeigt.
-
Bevorzugte
Ausführungsformen
der Erfindung
-
1 zeigt
ein Beispiel für
eine Netzkonfiguration, bei der die Erfindung verwendet werden kann. Interne
Netze von Kunden A, B und C 101–103 sind mit dem
Internet 104 über
einen Firewall 100 verbunden, der durch eine MSP (in der
Figur nicht gezeigt) verwaltet wird. Der Firewall arbeitet auch
wie ein VPN-Zugang für
das interne Netz und ermöglicht
sichere Fernverbindungen von an das Internet angeschlossene Vorrichtungen,
beispielsweise einem Laptop 105, mit dem internen Netz.
Sobald ein Datenpaket vom Laptop 105 an dem Firewall 100 ankommt,
wird erfindungsgemäß über den
nächsten Sprung
von dem Firewall bezüglich
des Datenpakets entschieden, und zwar wenigstens teilweise auf der Basis
der Benutzerkennung, die dem Datenpaket oder dem Laptop zugeordnet
ist.
-
Die
Erfindung kann in jedem beliebigen Netzelement verwendet werden,
das Datenpakete an Kommunikationsnetze vermittelt. Das Netz kann
ein Firewall sein, beispielsweise der Firewall 100 in 1,
ein VPN-Zugang, ein Vermittler, ein Computer (PC) oder was auch
immer für
derartige Zwecke verwendet werden kann. Physikalisch gesehen ist
das Netzelement eine Computerhardwareeinrichtung in Verbindung mit
geeigneter Software, um Aufgaben zu erfüllen, denen sie zugeordnet
ist.
-
Die
Erfindung läßt sich
beispielsweise in Firewall-Regeln verwirklichen. Firewall-Regeln werden zur
Konfiguration des Firewalls benutzt. Regeln (bildend eine Richtschnur)
bestimmen, welche Datenpakete den Firewall überqueren dürfen und welche nicht. Eine
Regel enthält
eine Information zur Identifizierung eines Datenpakets, beispielsweise Quellen-
und Bestimmungsadressen und Anschlüsse, Benutzerkennung) und ein
zugehöriger
Vorgang, der beispielsweise das Paket zuläßt oder nicht zuläßt. Gewöhnlich wird
alles, was nicht explizit in den Regeln erlaubt ist, verneint. Der
Vorgang kann auch etwas anderes sein als bloßes Erlauben oder Nichterlauben.
So kann beispielsweise der Vorgang in der Regel anzeigen, daß ein gewisser
weiterer Vorgang stattfinden muß,
bevor ein Datenpaket freigegeben wird, das prinzipiell akzeptiert
wird. Ein solcher weiterer Vorgang kann beispielsweise eine Netzadressenübertragung
(NAT), Verschlüsselung,
Entschlüsselung
oder eine Virusprüfung
sein. Auch ein Zurückweisungsvorgang
kann weitere Be arbeitung bedeuten. Gemäß einem Gesichtspunkt der Erfindung
ist in der Regel eine Vermittlungsinformation enthalten, und alle
anderen Vermittlungsregeln werden von den Datenpaketen überlaufen,
die zu einer Regel passen, welche die Vermittlungsinformation enthält. Indem die
Vermittlungsentscheidung von Firewall-Regeln abhängig gemacht wird, kann jede
Information, die zum Aussieben von Datenpaketen in dem Firewall benutzt
wird, für
Vermittlungsentscheidungen Verwendung finden. Somit kann eine Vermittlungsentscheidung
sowohl auf Bestimmungsadressen als auch auf Quellenadressen oder
Orte oder Bestimmungsorte, aber auch auf jeder beliebig anderen
Information innerhalb bestehender Regeln beruhen, so beispielsweise
der Benutzerkennung, die von einem anderen Beglaubigungsvorgang
oder der Tageszeit oder dem Datum erhalten wird.
-
Die übermittelte
Information, die in einer Regel enthalten ist, kann beispielsweise
ein Zugang sein, auf den das Datenpaket gerichtet ist, oder eine Netzschnittstellenkarte
(NIC) oder ein Netzverbindungselement, das zur Übertragung des Datenpakets
verwendet wird.
-
2A ist
ein Fließbild,
das ein Merkmal des erfindungsgemäßen Verfahren erläutert. Im
Schritt 200 wird zunächst
ein Datenpaket der Vorrichtung, mit der die Erfindung ausgeführt wird,
empfangen. Dann wird ein Informationsstück, das indirekt zu dem Datenpaket
gehört,
d. h. die Information, die in dem Datenpaket nicht direkt zur Verfügung steht,
im Schritt 201 bestimmt. Die genaue Bestimmung wird für das Datenpaket
wenigstens teilweise auf der Basis des Informationsstückes im
Schritt 202 ausgewählt.
Das Auswählen
der Bestimmung bedeutet nicht notwendigerweise das Auswählen der
endgültigen
Bestimmung für
das Datenpaket, sondern des nächsten
Weges, den das Datenpaket nimmt. So wird beispielsweise ein zu der
Benutzerkennung gehörender
Zugang aus der Liste ausgewählt.
Die klare Wahl der Bestimmung braucht nicht nur auf der Basis des
Informationsstückes
zu erfolgen, das indirekt zu dem Datenpaket gehört, sondern es kann auch die Information
Verwendung finden, die fertig in dem Datenpaket zur Verfügung steht.
So können
beispielsweise dort, wo dies geeignet erscheint, Quellen- und Bestimmungsadressen
Berücksichtigung
finden. Im Schritt 203 wird dann das Datenpaket der Bestimmung
zugeführt
(beispielsweise der richtigen NIC oder dem nächsten Zugang). Informationsübermittlung
(Information hinsichtlich des nächsten
Schrittes) ist vorzugsweise Bestandteil eines Firewalls oder einer
VPN-Regel, und das Datenpaket wird automatisch auf der Basis der
Informationsübertragung übertragen,
die in einer Regel enthalten ist, welche zu dem Datenpaket paßt.
-
2B zeigt
ein Fließbild,
das einen anderen Aspekt des erfindungsgemäßen Verfahrens darstellt. Im
Schritt 200 wird zunächst
ein Datenpaket in der Vorrichtung, mit der die Erfindung ausgeführt wird,
empfangen. Daraufhin wird eine Benutzerkennung, die zu dem Datenpaket
gehört,
im Schritt 204 festgestellt, beispielsweise mit Hilfe einer
Beglaubigung. Die genaue Bestimmung wird für das Datenpaket wenigstens
teilweise auf der Grundlage der Benutzerkennung im Schritt 205 ausgewählt. Ähnlich dem
Schritt 202 in 2A bedeutet
die Auswahl der Bestimmung nicht notwendigerweise die Auswahl der
endgültigen
Bestimmung für
das Datenpaket, sondern den nächsten
Weg für
das Datenpaket. Auch bei diesem Verfahren wird für das Datenpaket eine zusätzliche
Information erhalten, beispielsweise als Quellen- oder Bestimmungsadresse,
oder eine zusätzliche
Information erfolgt von sonst woher, z. B. als Tageszeit und/oder
als Datum, die dort, wo dies geeignet erscheint, für die Wahl
der Bestimmung berücksichtigt
werden kann. Im Schritt 203 wird das Datenpaket zur Bestimmung
auf dieselbe Weise zugeführt
wie in 2A.
-
Es
versteht sich, daß die
Netzkonfiguration von 1 und die Nutzungsszenarien
der Erfindung, die oben beschrieben worden sind, nur Beispiele darstellen
sollen, die verdeutlichen sollen, wie die Erfindung auf verschiedene
Weise eingesetzt werden kann, und zwar innerhalb des Schutzumfangs
der Erfindung, der durch die beigefügten Ansprüche festgelegt ist.