[go: up one dir, main page]

DE60313501T2 - System und Verfahren zur Verwaltung passiver Netzwerkeinrichtungen unter Verwendung von Umsetzverbindungen - Google Patents

System und Verfahren zur Verwaltung passiver Netzwerkeinrichtungen unter Verwendung von Umsetzverbindungen Download PDF

Info

Publication number
DE60313501T2
DE60313501T2 DE60313501T DE60313501T DE60313501T2 DE 60313501 T2 DE60313501 T2 DE 60313501T2 DE 60313501 T DE60313501 T DE 60313501T DE 60313501 T DE60313501 T DE 60313501T DE 60313501 T2 DE60313501 T2 DE 60313501T2
Authority
DE
Germany
Prior art keywords
network
layer
management center
fabricated
managed element
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60313501T
Other languages
English (en)
Other versions
DE60313501D1 (de
Inventor
Philippe Evrard
Olivier Naveau
Stephane Nasdrovisky
Olivier Dubois
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ip Tap
Original Assignee
Ip Tap
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ip Tap filed Critical Ip Tap
Application granted granted Critical
Publication of DE60313501D1 publication Critical patent/DE60313501D1/de
Publication of DE60313501T2 publication Critical patent/DE60313501T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/34Signalling channels for network management communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf das Gebiet der Datennetzsicherheit und insbesondere auf ein System und auf ein Verfahren zum versteckten Managen passiver Netzvorrichtungen von einem entfernten Ort aus.
  • Beschreibung des Standes der Technik
  • Die Entstehung des Internethandels hat große Organisationen gezwungen, ihre internen Netze mit öffentlichen Netzen zu verbinden, wobei die resultierende Zunahme des Risikos unvermeidlich ist. Die Sicherheitsindustrie liefert fortschreitend die Prozeduren, Hilfsmittel und Gegenmaßnahmen, um auf dieses erhöhte Risiko zu reagieren. Sicherheitslösungen können im Allgemeinen als aktiv oder passiv klassifiziert werden.
  • Netzvorrichtungen sind aktiv, falls sie eine Funktionsinfrastruktur aufbauen müssen, wobei sie unter anderem eine Zugangskontrolle (Firewalls), eine Inhaltsfilterung (Antivirus) und eine starke Authentisierung (Radius) enthalten können. Umgekehrt sind Netzvorrichtungen, die keine Funktionsinfrastruktur aufzubauen brauchen, passiv und werden üblicherweise für den Aufbau einer zweiten Verteidigungslinie verwendet. Passive Vorrichtungen enthalten z. B. die Eindring-Erfassung und die Netzabtastung.
  • Zwei Hilfsmittel, die von Organisationen üblicherweise verwendet werden, um Netzsicherheit zu erhalten, enthalten die Firewall als eine aktive Komponente und die Eindring-Erfassung als eine passive Komponente.
  • Die Firewall ist dahingehend eine aktive Komponente, dass sie für jedes kommende oder gehende Paket positiv entscheidet, ob das Paket angenommen oder fallengelassen werden soll. Die Firewall befindet sich an einem Schlüsselpunkt des Netzes, d. h. an einem Punkt, an dem der gesamte Verkehr von/zu dem öffentlichen Netz kontrolliert werden kann. Obgleich die Firewall ein wichtiges Stück Netzsicherheit ist, bleibt sie aber wenigstens aus drei Gründen verletzbar. Zunächst sind Firewalls nicht immun gegen Netzangriffe, die in legitimen Paketen verborgen sind; ein Eingriff bei halb offener Verbindung, der sich aus einem Protokollfluss ergibt, oder Paketfragmentierungen sind zwei besser bekannte Beispiele. Zweitens sind Firewalls wie andere Software-Implementierungen nicht immun gegenüber Software-Fehlern. Drittens werden Firewalls durch Sicherheitsadministratoren administriert, die Fehler machen können oder die für die Erfüllung ihrer Funktion unangemessen ausgebildet worden sein können.
  • Wenigstens aus drei Gründen muss die Firewall selbst geschützt werden. Wie jede andere Schutzvorrichtung kann eine Firewall einem Überfall nicht unendlich lange widerstehen und ist somit verletzbar, falls nicht innerhalb einer definierten Zeitdauer eine Warnung ausgelöst wird. Somit werden Eindring-Erfassungssysteme verwendet, um solche Warnungen zu liefern.
  • Eindring-Erfassungssysteme können entweder Host-gestützt oder Netz-gestützt sein. Host-gestützte Eindring-Erfassungssysteme sind auf Servern installiert und überwachen wichtige Systembetriebsmittel wie Dateien, Prozesse und die Systemaktivität. Netz-gestützte Eindring-Erfassungssysteme sind an Schlüsselpunkte des Netzes angeschlossen und überwachen den Verkehr von/zu öffentlichen Netzen.
  • Einige passive Netzvorrichtungen müssen verborgen bleiben, um sich selbst vor potenziellen Eindringlingen zu schützen. Das heißt, dass sie, obgleich sie physikalisch an das Netz angeschlossen sind und irgendwelchen Netzverkehr anzapfen können, auf irgendeine Art Anforderung nicht antworten. Netz-gestützte Eindring-Erfassungssysteme sind häufig unsichtbar, d. h., dass der Kommunikationsstapel der Netzschnittstellenkarte (NIC), an der sie den Netzverkehr erfassen, gesperrt ist. Das Sperren des Kommunikationsstapels ist die absolute Schutzgarantie vor Angriffen, die von dem Netz kommen, und sollte eine Anforderung für eine passive Vorrichtung sein, die kompromisslos eingehalten werden sollte.
  • Probleme entstehen, wenn verborgene passive Netzvorrichtungen von einem entfernten Ort aus gemanagt werden müssen. Die meisten Netz-gestützten Vorrichtungen müssen von einem Managementzentrum administriert werden oder mit ihm kommunizieren. Hierfür verwendet die Vorrichtung entweder gefälschte Pakete, die in das lokale Netz geschoben werden, oder eine zusätzliche NIC, die an das interne Netz angeschlossen ist, wobei zur Kommunikation mit dem Managementserver Standard-IP-gestützter Verkehr verwendet wird. Diese beiden Verfahren machen die durch eine passive Vorrichtung gebotene Schutzgarantie zunichte; in dem ersten Fall könnte das Managementzentrum gefährdet werden, wobei die sich daraus ergebenden Wirkungen in diesem Fall unvorhersehbar sind, und im zweiten Fall ist das interne Netz eine ideale Hintertür.
  • Das Fernmanagement von Vorrichtungen ist in "Distributed Network Management by HTTP-based Remote Invocation", Globecom 99, offenbart.
  • Dementsprechend besteht ein Bedarf an einem Verfahren, das ermöglicht, dass passive Netzvorrichtungen von einem entfernten Ort aus versteckt gemanagt werden.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Angesichts des Vorstehenden ist eine Aufgabe der vorliegenden Erfindung die Überwindung der Schwierigkeiten des Managements passiver Netzvorrichtungen von einem entfernten Ort aus, ohne das Managementzentrum durch die Verwendung von Partnervorrichtungen für passive Netzvorrichtungen zu gefährden.
  • Die Erfindung ist durch die unabhängigen Ansprüche definiert.
  • Eine weitere Aufgabe der vorliegenden Erfindung ist die Schaffung einer Standard-IP-gestützten Konversation zwischen zwei oder mehr Partnervorrichtungen als ein erster Kommunikationskanal, der von passiven Netzvorrichtungen verwendet werden kann, um einen zweiten Kommunikationskanal zu erzeugen, der ermöglicht, dass diese Vorrichtungen kommunizieren.
  • Eine weitere Aufgabe der Erfindung ist die Schaffung eines Systems, in dem eine passive Netzvorrichtung für einen anderen Empfänger bestimmten Netzverkehr abhört und aus diesem Verkehr notwendige Managementinformationen entnimmt.
  • Eine nochmals weitere Aufgabe der Erfindung ist es zu ermöglichen, dass eine passive Netzvorrichtung Protokolldateneinheiten (PDUs) erzeugt, die jene imitieren, die durch einen kooperierenden Knoten gesendet werden, um die Gegenrichtung des Managementverkehrs zu implementieren.
  • Eine weitere Aufgabe der Erfindung ist die Schaffung eines Systems und eines Verfahrens, in denen weder das Managementzentrum noch die passiven Netzvorrichtungen in dem Netz direkt adressierbar sind, sondern stattdessen einen Dritten benötigen, um miteinander zu kommunizieren.
  • Eine abermals weitere Aufgabe der Erfindung ist die Schaffung eines versteckten Managementkanals zwischen einem Managementzentrum und einer passiven Netzvorrichtung unter Verwendung eines zwischen zwei Dritten aufgebauten Standardkommunikationskanals.
  • In Übereinstimmung mit diesen und weiteren Aufgaben ist die vorliegende Erfindung auf ein System und auf ein Verfahren für das versteckte Management passiver Netzvorrichtungen von einem lokalen oder entfernten Managementzentrum aus gerichtet. In einem ersten Kommunikationskanal findet eine Standard-IP-gestützte Konversation statt, die über ein Datennetz zwischen zwei oder mehr Partnervorrichtungen aufgebaut wird. Die passiven Netzvorrichtungen hören den Netzverkehr, der in das Datennetz geschickt wird, an das sie angeschlossen sind, ab. Obgleich der Verkehr nicht für die passiven Netzvorrichtungen bestimmt ist, sondern eher zwischen den Partner- und kooperierenden Vorrichtungen geschickt wird, können die passiven Netzvorrichtungen ihre Managementinformationen aus diesem Verkehr entnehmen und durch die Erzeugung von Protokolldateneinheiten (PDUs) jene imitieren, die durch die vorgesehenen Knoten gesendet werden, die die Gegenrichtung des Managementverkehrs implementieren. Weder das Managementzentrum noch die passiven Netzvorrichtungen in dem Netz sind unter Verwendung eines Kommunikationskanals, der zwischen Dritten aufgebaut wird, um die Kommunikation zu ermöglichen, direkt adressierbar, sondern stattdessen für das Netz "transparent". Die Netzaustausche werden signiert und verschlüsselt, um Standardauthentisierung, Privatsphäre und Integrität sicherzustellen.
  • Diese zusammen mit weiteren Aufgaben und Vorteilen, die nachfolgend sichtbar werden, liegen in den Einzelheiten der Konstruktion und des Betriebs, wie sie im Folgenden umfassender beschrieben und beansprucht werden, wobei auf die beigefügte Zeichnung Bezug genommen wird, die einen Teil davon bildet, wobei sich gleiche Bezugszeichen überall auf gleiche Teile beziehen.
  • KURZBESCHREIBUNG DER ZEICHNUNG
  • 1 veranschaulicht eine typische Netztopologie gemäß dem Stand der Technik;
  • 2 veranschaulicht die zwei verschiedenen Kommunikationskanäle in Übereinstimmung mit der vorliegenden Erfindung;
  • 3 ist eine ausführlichere Ausführungsform eines Protokollstapels für den zweiten Kommunikationskanal aus 2;
  • 4 zeigt die Minimalgruppe von Grundelementen der Dienstschnittstelle für den zweiten Kommunikationskanal aus 3;
  • 5 stellt einen Zeitablaufplan der Dienstgrundelemente aus 4 dar;
  • 6 veranschaulicht die APDU-Schichtung und -Kapselung innerhalb der Kommunikationsstapel des zweiten Kommunikationskanals gemäß der vorliegenden Erfindung;
  • 7a stellt die Kopplung zwischen Sende- und Host-Schichten (Emission) innerhalb der Kommunikationsstapel des zweiten Kommunikationskanals gemäß der vorliegenden Erfindung dar; und
  • 7b veranschaulicht die Kopplung zwischen Sende- und Host-Schichten (Empfang) innerhalb der Kommunikationsstapel des zweiten Kommunikationskanals gemäß der vorliegenden Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Aus Klarheitsgründen wird bei der Beschreibung einer bevorzugten Ausführungsform der Erfindung, die in der Zeichnung veranschaulicht ist, auf eine spezifische Terminologie zurückgegriffen. Allerdings soll die Erfindung nicht auf die so gewählten spezifischen Begriffe beschränkt sein, wobei jeder spezifische Begriff selbstverständlich alle technischen Äquivalente enthält, die auf ähnliche Weise arbeiten, um einen ähnlichen Zweck zu erfüllen.
  • In 1 ist eine typische Netztopologie gemäß dem Stand der Technik gezeigt. Die an dem versteckten Managementverfahren beteiligten Vorrichtungen sind alle über ein lokales Netz (LAN) 110, 111 an das unsichere Netz 13 angeschlossen. Wie es hier verwendet wird, wird "Vorrichtung" zur Bezugnahme auf eine Standard-Computer-Hardware-Anordnung verwendet, auf der ein Betriebssystem (BS) und eine Gruppe von Anwendungen ablaufen, wobei sie eine von dem Netzanschluss geforderte Netzschnittstellenkarte (NIC) enthält. Das unsichere Netz 13 kann das Internet sein, über das ein Eindringling 12 Zugriff auf die LANs 110, 111 erlangt.
  • Wie gezeigt ist, können die Vorrichtungen einen Partner 10, ein Managementzentrum 11, ein gemanagtes Element 15 und ein kooperierendes System 16 enthalten. Damit das gemanagte Element 15 durch das Managementzentrum 11 entfernt gemanagt wird, enthält es passive Netzvorrichtungen. Der Partner 10 und das kooperierende System 16 repräsentieren Kommunikationsknoten in dem Netz, zwischen denen Informationen geschickt werden. Diese zwei Vorrichtungen bauen eine IP-gestützte Kommunikation miteinander auf. Gemäß dem Transport- und Anwendungspaar, das für diese besondere Kommunikation ausgewählt wird, sind verschiedene Szenarien möglich. Zum Beispiel kann der Partner 10 ein zustandsloses Paket (UDP-, ICMP-Paket) an das kooperierende System 16 senden; kann der Partner 10 eine zustandsbehaftete Verbindung (TCP-Verbindung) zu dem kooperierenden System 16 aufbauen; kann das kooperierende System 16 ein zustandsloses Paket (UDP-, ICMP-Paket) an den Partner 10 senden; oder kann das kooperierende System 16 eine zustandsbehaftete Verbindung (TCP-Verbindung) zum Partner 10 aufbauen.
  • Das Managementzentrum 11 und das gemanagte Element 15 sind unsichtbar, um sich vor externen Angriffen zu schützen, die durch den potenziellen Eindringling 12 ausgeführt werden könnten. Dies bedeutet, dass die Netzschnittstellenkarten (NIC) des Managementzentrums 11 und des gemanagten Elements 15, die an das LAN 110 bzw. an das LAN 111 angeschlossen sind, in die Promiscuous-Betriebsart versetzt werden, um irgendwelchen Verkehr zu erfassen, der in ihren jeweiligen Netzen zirkuliert. Allerdings sind ihre Daten-, Netz- und Transportschichten in der Weise konfiguriert worden, dass sie keine Informationen, z. B. eine ARP-Antwort, eine Rundsendung usw., verraten, die ihre Anwesenheit aufdecken könnten. Andererseits gibt es a priori keine Möglichkeit, dass das Managementzentrum 11 und das gemanagte Element 15 Managementinformationen zueinander übermitteln können.
  • Um dieses Problem zu behandeln und gemäß einer in 2 veranschaulichten bevorzugten Ausführungsform der vorliegenden Erfindung wird zwischen dem Managementzentrum 101 und dem gemanagten Element 105 unter Verwendung eines zwischen dem Partner 100 und dem kooperierenden System 106 aufgebauten Standardkommunikationskanals oder ersten Kommunikationskanals 225 ein versteckter Managementkanal oder zweiter Kommunikationskanal 325 aufgebaut. Wie früher bemerkt wurde, enthält das gemanagte Element 15 eine passive Netzvorrichtung, damit es durch das Managementzentrum 11 entfernt gemanagt werden kann. Der Partner 100 und das kooperierende System 106 repräsentieren Kommunikationsknoten in dem Netz, zwischen denen Informationen geschickt werden. Diese zwei Vorrichtungen bauen unter Verwendung des Standardkommunikationskanals eine IP-gestützte Kommunikation miteinander auf.
  • Der Standardkommunikationskanal repräsentiert den ersten Kommunikationskanal 225, der eine Standard-IP-Peer-to-Peer-Kommunikation ist. Der Partner 100 und das kooperierende System 106 kommunizieren über eine Gruppe von Zwischensystemen. In 2 sind zwei Typen von Zwischensystemen, d. h. das Zwischensystem 200 und das Zwischensystem 201, veranschaulicht.
  • In dem Partner 100 und in dem kooperierenden System 106 laufen vollständige Kommunikationsstapel ab, die von 0 bis 3 nummeriert sind. Üblicherweise könnten diese Schichten in einem TCP/IP-Modell auch wie folgt abgebildet werden: auf 0: die Netzschnittstellenkarten-Schicht (NIC-Schicht) 300 und der Vorrichtungstreiber; auf 1: die Netzschicht 301 (IP); auf 2: die Transportschicht 302 (TOP, UDP oder ein anderes ähnliches ICMP); und auf 3: die Anwendungsschicht (HTTP, FTP) 303.
  • In dem Zwischensystem 200 läuft eine Untergruppe des vollständigen Stapels bis zu der Transportschicht 302 ab, wobei es üblicherweise Netzausrüstung wie Router enthält. In dem Zwischensystem 201 läuft eine nochmals kleinere Untergruppe des Kommunikationsstapels ab, die die NIC-Schicht 300 enthält und eine Backbone-Ausrüstung enthalten kann.
  • Gemäß der vorliegenden Erfindung ist der von dem Managementzentrum 101 und von dem gemanagten Element 105 genutzte zweite Kommunikationskanal 325 mit dem ersten Kommunikationskanal 225 integriert. Obgleich das Managementzentrum 101 und das gemanagte Element 105 keine Möglichkeit haben, direkt miteinander zu kommunizieren, da keines direkt adressierbar ist, können sie durch "Abhören" der legitimen Konversation zwischen dem Partner 100 und dem kooperierenden System 101 über den ersten Kommunikationskanal 225 die Managementinformationen, die sie austauschen müssen, empfangen und senden.
  • Ein Beispiel veranschaulicht den Betrieb des dualen Kommunikationskanals gemäß der vorliegenden Erfindung. Es wird angenommen, dass der Partner 100 Teil einer Netzleitzentrale (NOC) ist. Das Ziel des Partners 100 ist es, den Zustand einer Gruppe von Web-Servern zu überwachen, von denen einer das kooperierende System 106 ist. Der Partner 100 gibt an das kooperierende System 106 eine Anforderung wie etwa eine SNMP-Anforderung aus, um Informationen zu erhalten. Das Managementzentrum 101 und das gemanagte Element 105 kennen diese legitime Anforderung, da sie an lokale Netze wie etwa an das LAN 110 und an das LAN 111 angeschlossen sind und da sie, indem sie ihre NIC in die Promiscuous-Betriebsart eingestellt haben, die Anforderung "sehen" können. Somit wissen das Managementzentrum 101 und das gemanagte Element 105, dass von dem kooperierenden System 106 eine Antwort erwartet wird.
  • Das Managementzentrum 101 kann unabhängig von der durch den Partner 100 gesendeten Anforderung eine Anforderung (eine "fabrizierte" Anforderung") fabrizieren, deren Quell-IP-Adresse der Partner 100 ist und deren Zieladresse das kooperierende System 106 ist, und kann diese "fabrizierte" Anforderung in das Netz schieben. Eine solche "fabrizierte" Anforderung, die so bezeichnet wird, um sie von der bereits durch den Partner 100 gesendeten legitimen Anforderung zu unterscheiden, enthält eine Markierung (MK), die eine Beziehung zu dem Managementzentrum 101 angibt. Die "fabrizierte" Anforderung des Managementzentrums 101 wird als ein legitimes Paket zu dem kooperierenden System 106 geleitet. Das gemanagte Element 105, das das Netz abhört, erfasst die Markierung (MK) des Managementzentrums 101 und erhält durch Abfangen des Pakets die Anforderung.
  • In der anderen Richtung kann das gemanagte Element 105 unabhängig von der durch das kooperierende System 106 gelieferten Antwort eine Antwort (eine "fabri zierte" Antwort) fabrizieren, deren Quell-IP-Adresse das kooperierende System 106 ist und deren Zieladresse der Partner 100 ist, und diese "fabrizierte" Antwort in das Netz schieben. Eine solche "fabrizierte" Antwort, die so bezeichnet wird, um sie von der durch das kooperierende System 106 gesendeten legitimen Antwort zu unterschieden, enthält eine Markierung (MK), die eine Beziehung zu dem gemanagten Element 105 angibt. Die "fabrizierte" Antwort des gemanagten Elements 105 wird als ein legitimes Paket zu dem Partner 100 zurückgeleitet. Das Managementzentrum, das das Netz abhört, erkennt die Markierung (MK) des gemanagten Elements 105 und erhält durch Einfangen des Pakets die Informationen, die es benötigt.
  • Die Markierung (MK) ist eine Einrichtung, die ermöglicht, dass das Managementzentrum 101 und das gemanagte Element 105 aus dem legitimen Verkehr des ersten Kommunikationskanals 225 die wenigen Netzpakete herausfiltern, die für den Transport der versteckten Managementinformationen des zweiten Kommunikationskanals 325 verwendet werden. Als eine Veranschaulichung kann der Partner 100 das kooperierende System 106 über das NTP-Protokoll synchronisieren. In diesem Fall werden das Managementzentrum 101 und das gemanagte Element 105 so konfiguriert, dass sie diese legitime Konversation für den Aufbau des versteckten Managementkanals verwenden, wobei die Markierung (MK) ein Muster ist, das allen NTP-Netzverkehr (UDP-Port 123, TCP-Port 123) wiedergewinnt. Der Verkehr ist legitim, falls er zu dem ersten Kommunikationskanal 225 gehört, und "fabriziert", falls er zu dem zweiten Kommunikationskanal 325 gehört. Da das Volumen des Netzverkehrs des ersten Kommunikationskanals 225 potenziell gewaltig sein, muss die Markierung (MK) in der Weise abgestimmt werden, dass sie für das Managementzentrum 101 und für das gemanagte Element 105 einen Verkehr mit niedrigem Volumen liefert, der aber konstant ist.
  • Da die Netz- und die Transportschichten des Managementzentrums 101 und des gemanagten Elements 105 nicht freigegeben sind, muss die Anwendungsschicht des Managementzentrums 101 und des gemanagten Elements 105 sowohl zum Senden als auch zum Empfangen von Netzpaketen einen Kommunikationsstapel emulieren. Bezüglich des Paketempfangs kann eine solche Ausführungsform durch ein Berkeley-Paketfilter (BPF) implementiert werden. In diesem letzteren Fall kann die zum Herausfiltern der Netzpakete am Ziel des gemanagten Elements 105 definierte Markierung (MK) irgendein durch das BPF unterstütztes Filter sein: IP-Adressen, Ziel-Ports und ein definiertes Muster, das in den Netzpaket-Nutzin formationen verwendet wird. Die Markierung (MK) wird zur Installationszeit initialisiert.
  • Wie in 2 gezeigt ist, haben beide Kommunikationskanäle ihre unabhängigen Kommunikationsstapel. Der von dem Partner 100 und von dem kooperierenden System 106 verwendete erste Kommunikationskanal 225 beruht auf einem Standard-TCP/IP-Modell, das Netz-, Transport- und Anwendungsschichten und -funktionen verwendet. Der zweite Kommunikationskanal 325 besitzt seinen unabhängigen Kommunikationsstapel, der durch fünf verschiedene Kommunikationsschichten: 0, A, B, C und D, bezeichnet ist und stützt sich auf die Netzschicht 301 und schließlich auf die Transportschicht 302 des ersten Kommunikationskanals, um die Informationen zu transportieren, die er übermitteln muss.
  • Dem Wesen nach soll die vorliegende Erfindung in einem verbindungslosen Datagramm-Kommunikationstyp kleine Protokolldateneinheiten (PDUs) zwischen dem Managementzentrum 101 und dem gemanagten Element 105 übertragen. Wenn sich der zweite Kommunikationskanal auf den ersten Kommunikationskanal stützt, um als ein Mittel zum Bewegen der PDU zwischen Peer-Entitäten zu dienen, kann dies tatsächlich nur durch ein einziges Datagrammpaket oder durch eine beschränkte Anzahl von Datagrammpaketen erfolgen. Da es eine Hauptaufgabe der wie durch den zweiten Kommunikationskanal implementierten Erfindung ist, eine Gruppe passiver Netzvorrichtungen auf sichere Weise versteckt zu managen, ohne ihre Integrität durch die Aktivierung eines Kommunikationsstapels zu gefährden, soll der versteckte Kanal anfangs einen Steuerbefehl unterstützen. Die zugrundeliegende Hardware und der zugrundeliegende Netztyp definieren die maximale Größe eines Pakets einschließlich aller Kopfabschnitte, die als die größte Übertragungseinheit (MTU) bezeichnet wird. Üblicherweise reicht zur Implementierung der vorliegenden Erfindung eine Paketgröße von einigen einhundert Bytes aus.
  • Eine weitere Empfehlung der vorliegenden Erfindung ist die Nutzung üblicherweise verwendeter Internetprotokolle wie NTP oder HTTP für das Hosting des versteckten Managementverkehrs. Auf diese Weise wird der versteckte Managementverkehr in dem normalen Verkehr verdünnt, was den Nutzen hat, dass es eine hohe Wahrscheinlichkeit gibt, dass die passive Vorrichtung unentdeckt bleibt und weiter ungefährdet bleibt.
  • In 3 ist eine Ausführungsform des Protokollstapels für den zweiten Kommunikationskanal in Übereinstimmung mit der vorliegenden Erfindung gezeigt. Dieser Stapel oder dieses Kommunikationsmodell, der/das konzeptionell als ein Dienstanbieter 400 bezeichnet wird, enthält mehrere Kommunikationsschichten einschließlich einer Host-Schicht A, einer Übertragungsschicht B, einer Validierungsschicht C und einer Managementdienst-Schicht D. Während die Anzahl und das Wesen der verschiedenen Schichten variieren können, wird empfohlen, bestimmte Entwurfsprinzipien zu befolgen. Beispielsweise sollte die Anzahl der Schichten der Einfachheit halber so klein wie möglich gehalten werden. Jede Schicht sollte ihre eigenen Funktionen haben und innerhalb derselben Schicht sollten ähnliche Funktionen angeordnet sein; spezifische Funktionen sollten sich nicht über Schichten überlappen. Jede Schicht sollte eine Gruppe von Schnittstellen nur mit angrenzenden Schichten haben und es sollte möglich sein, eine Schicht neu zu gestalten, ohne angrenzende Schichten zu beeinflussen. Schließlich kann die Implementierung der gleichen Schichtspezifikationen gemäß der Hardware, dem Vorrichtungstreiber und dem Betriebssystem, die verwendet werden, variieren.
  • Gemäß den gerade zusammengefassten Entwurfsprinzipien können die Funktionen der verschiedenen in 3 gezeigten Kommunikationsschichten wie folgt definiert werden.
  • Die Funktion der Managementdienst-Schicht D ist es, durch Unterhalten einer Laufzahl einen allgemeinen versteckten Managementkontext zwischen dem Managementzentrum 101 und dem gemanagten Element 105 zu unterhalten. Außerdem liefert die Managementdienst-Schicht D Managementdienst-Kopfabschnittinformationen wie die Version, die Quell- und die Zieladresse.
  • Die Funktion der Validierungsschicht C ist es, Authentisierung, Integrität und Privatsphäre sicherzustellen. Die Validierungsschicht C berechnet auf der Grundlage von Standardalgorithmen einen Nachrichtenauthentisierungscode (MAC) und einen Paketschlüssel (PK) und verschlüsselt/entschlüsselt die von den angrenzenden oberen/unteren Schichten empfangenen Nutzinformationen.
  • Die Funktion der Übertragungsschicht B ist es, Funktionen zum Umsetzen der verschlüsselten Nutzinformationen von binär in ASCII und zurück sowie allgemeine Funktionen zum Aufbau des Pakets, das zu dem Peer-Host gesendet werden muss, bereitzustellen. Die Übertragungsschicht B kann außerdem in zwei angrenzende Unterschichten, d. h. in die Übertragungs- und in die Transportunterschicht, geteilt sein. Eine Transportschichtspezifikation kann notwendig sein, falls die zwischen Peer-Entitäten zu übertragende Datenmenge groß ist oder die Qualität der Dienste garantiert werden sollte.
  • Die Funktion der Host-Schicht A ist es, eine Schnittstelle zu dem Vorrichtungstreiber und zur Hardware des lokalen Hosts zum Senden und Empfangen von Netzpaketen bereitzustellen. In den meisten Implementierungen läuft die Host-Schicht A im Kern-Raum ab, während die anderen Kommunikationsschichten im Anwenderraum ablaufen. Die Host-Schicht kann unter Verwendung eines Berkeley-UNIX-BPF-Filters implementiert werden.
  • In 4 ist eine minimale Implementierung der vorliegenden Erfindung veranschaulicht. Damit das Managementzentrum 101 und das gemanagte Element 105 kommunizieren, läuft im Managementzentrum 101 ein als die Managementanwendung 410 bezeichneter Anwendungsprozess ab und läuft im gemanagten Element 105 ein als der Managementagent 420 bezeichneter Anwendungsprozess ab. Die von der Managementanwendung 410 und von dem Managementagenten 420 verwendete Dienstschnittstelle definiert sechs Grundelemente, d. h. das Befehl-Senden 411, das Antwort-Empfangen 412, das Einfang-Empfangen 413, das Befehl-Empfangen 421, das Antwort-Senden 422 und das Einfang-Senden 423.
  • Wie in irgendeinem Kommunikationsmodell gibt es eine logische Übertragung zwischen den Peer-Schichten des Kommunikationsstapels, während die physikalische Kommunikation auf der untersten Ebene des Kommunikationsstapels oder Dienstanbieters 400, d. h. in der Host-Schicht A, stattfindet.
  • Die Zeitablaufpläne aus 5 stellen die Folge von Ereignissen dar, die in der Reihenfolge ihrer relativen Positionen auf den vertikalen Zeitlinien stattfinden. Die Managementanwendung 410 sendet über die Dienstschnittstelle eine Befehl-Senden-Anforderung 411 an den Dienstanbieter 400. Der Dienstanbieter 400 sendet die Befehl-Senden-Anforderung 411 an den Managementagenten 420, der wiederum das Antwort-Senden 422 vorbereitet und es über die Dienstschnittstelle an den Dienstanbieter 400 übergibt. Die Managementanwendung 410 empfängt von dem Dienstanbieter 400 das Antwort-Empfangen 412. Falls der Managementagent 420 einige freilaufende Informationen an die Managementanwendung 410 übermitteln möchte, gibt der Agent 420 an den Dienstanbieter 400 ein Einfang-Senden 423 aus, das die Managementanwendung 410 über das Einfang-Empfangen-413-Grundelement empfängt.
  • 6 gibt eine ausführliche Ansicht dessen, wie jede Kommunikationsschicht die Anwendungsprotokoll-Dateneinheit (APDU) umwandelt, wenn jede Kommunikationsschicht ihre Funktion erfüllt.
  • Die Managementdienst-Schicht D empfängt eine APDU und verknüpft den Managementkopfabschnitt mit der APDU. Der Managementkopfabschnitt enthält einen Zeitstempel (TS), die Version (VER) der Managementdienst-Schicht, die Quelladresse (SRC) und die Zieladresse (DST) und eine Laufzahl (SEQ).
  • Der Zeitstempel ist wesentlich für das Management passiver Netzvorrichtungen, da er wenigstens erforderlich ist, um Ereignisse zu korrelieren; außerdem kann er zum Berechnen eines Paketschlüssels verwendet werden. Somit wird irgendeine Übermittlung zwischen dem Managementzentrum 101 und dem gemanagten Element 105 mit einem Zeitstempel versehen.
  • Die Version der Managementdienst-Schicht ist erforderlich, um die Aufwärtskompatibilität zu garantieren. Vorzugsweise wird die Version in einem Byte dargestellt. Die vier ersten Bits sind der Hauptversionsnummer und die vier letzten Bits der Nebenversionsnummer gewidmet.
  • Jede passive Netzvorrichtung, gleich, ob sie Teil des Managementzentrums 101 oder des gemanagten Elements 105 ist, empfängt eine eindeutige Adresse. Genauer ist die Adresse in Analogie zu einer IP-Adresse, die eine eindeutige Eigenschaft des ersten Kommunikationskanals 225 ist, eine eindeutige Eigenschaft der Managementdienst-Schicht einer bestimmten Vorrichtung. Die Adressen beider Kommunikationskanäle werden unabhängig zugewiesen.
  • Die Zuweisung von IP-Adressen zu den Vorrichtungen des ersten Kommunikationskanals 225 (d. h. zu dem Partner 100 und zu dem kooperierenden System 106) ist eine Vorbedingung des zweiten Kommunikationskanals 325. Diese Zuweisung entspricht den Standard-Internet-Konnektivitätspraktiken, d. h., dass zwei Vorrichtungen eine Standard-TCP/IP-Konversation an den geforderten Host unab hängig davon aufbauen können, welche Firewall, welcher Router usw., welche Rekonfiguration(en) impliziert sind.
  • Die Zuweisung von Adressen zu den passiven Vorrichtungen des zweiten Kommunikationskanals 325 kann in der vorliegenden Erfindung nicht vollständig definiert werden, da sie von dem Managementmodell der passiven Vorrichtungen abhängt. Im Allgemeinen kann die eindeutige Adresse auf eine von zwei Arten initialisiert werden. Falls das gemanagte Element 105 ein Gerät ist, das durch einen einzelnen Lieferanten vollständig vorinstalliert und konfiguriert wird, konfiguriert der Lieferant, der die Kontrolle über den vollständigen Adressenbereich hat, die eindeutige Adresse vor. In einigen Fällen kann der Lieferant ebenfalls die eindeutige Adresse des Managementzentrums bzw. der Managementzentren 101 vorkonfigurieren. Falls das gemanagte Element 105 ein Gerät ist, das von mehreren Lieferanten geliefert wird, wird die eindeutige Adresse dagegen üblicherweise zur Konfigurationszeit initialisiert und durch die Behörde geliefert, die den vollständigen Adressenbereich unter ihrer Kontrolle hat. Die Initialisierung der passiven Vorrichtung muss diese zwei Szenarien berücksichtigen.
  • Die Laufzahl ist ein globaler Zähler, der durch die Managementdienst-Schicht des Managementzentrums 101 und des gemanagten Elements 105 unterhalten wird. Wie früher festgestellt wurde, ist es eine Hauptaufgabe dieser Erfindung, kleine Steuerbefehle/-antworten zu übermitteln. Somit wird die Laufzahl hauptsächlich dazu verwendet zu verfolgen und zu prüfen, ob Befehle, Antworten oder Einfänge verlorengegangen sind.
  • Die vorliegende Erfindung schlägt ein Kommunikationsmodell vor, bei dem Befehle, Antworten und Einfänge unvermeidlich verlorengehen, da es keine mögliche Garantie an die Dienstqualität (QoS) gibt, was eine Eigenschaft des ersten Kommunikationskanals ist. Somit ist die Managementdienst-Schicht dafür verantwortlich, die Befehle zu wiederholen, bis sie eine Quittierung empfängt. Eine Quittierung eines Befehl-Sendens 411 besteht aus einem Antwort-Empfangen 412. Eine Quittierung eines Einfang-Sendens 423 kann in der vorliegenden Erfindung nicht vollständig spezifiziert werden, da sie vom Wesen der passiven Vorrichtung abhängt. Sie kann ein Befehl-Senden 411, eine Rekonfiguration einer aktiven Vorrichtung oder einen manuellen Eingriff eines Betreibers an der passiven Vorrichtung, dessen Wirkung es ist, die Bedingung des Einfang-Sendens 423 zurück zusetzen, enthalten. Die Managementdienst-Schicht D schickt den Managementkopfabschnitt und die APDU an die Validierungsschicht C.
  • Die Validierungsschicht C bietet je nachdem, ob sie ein Paket sendet oder empfängt, komplementäre Funktionen. Falls sie ein Paket sendet, hängt sie einen Nachrichtenauthentisierungscode (MAC) an, berechnet sie einen Paketschlüssel und verschlüsselt sie das Paket. Falls sie ein Paket empfängt, berechnet sie einen Paketschlüssel, entschlüsselt sie die Nachricht unter Verwendung des MAC und prüft sie die Gültigkeit.
  • Es liegt in der Verantwortung des Lieferers der passiven Netzvorrichtungen, die Verschlüsselungsschemata zu definieren, die durch diese Vorrichtungen unterstützt werden. Wegen der Eigenschaften des zweiten Kommunikationskanals ist die manuelle IPSEC eine Grundanforderung.
  • Die Validierungsschicht C schickt einen verschlüsselten Puffer im binären Format an die Übertragungsschicht B. Die Übertragungsschicht B bietet wie die Validierungsschicht C je nachdem, ob sie ein Paket sendet oder empfängt, komplementäre Funktionen. Falls ein Paket gesendet wird, wandelt die Übertragungsschicht B zunächst den binären Puffer in ein maschinenunabhängiges ASCII-Format um. Daraufhin baut sie ein Netzpaket auf, das den ASCII-Puffer enthält und das in einem geeigneten Format für die Host-Schicht A ist; diese Umwandlung ist ausführlich in 7a gezeigt. Das Netzpaket wird zu der Host-Schicht A geschickt. Falls die Übertragungsschicht B ein Netzpaket von der Host-Schicht A empfängt, entnimmt die Übertragungsschicht, wie in 7b ausführlich gezeigt ist, zunächst aus dem Netzpaket die ASCII-Nutzinformationen, setzt den ASCII-Puffer in einen binären Puffer um und überträgt ihn an die Validierungsschicht. Die Host-Schicht führt keine Datenumwandlung aus. Die mit einem Sender 20 und mit einem Empfänger 30 ausgestattete Host-Schicht A stellt eine Schnittstelle zwischen den anderen Kommunikationsschichten des Dienstanbieters 400 und dem lokalen Vorrichtungstreiber und der lokalen Hardware bereit.
  • 7a stellt ausführlicher dar, wie die Übertragungs- und die Host-Schicht integriert werden, um eine PDU an eine passive Netzvorrichtung zu senden. Zur Veranschaulichung wird ein Beispiel verwendet. Falls die Übertragungsschicht ein zu übertragendes Paket empfängt, wandelt die Übertragungsschicht den binären Puffer in ASCII um und kopiert diese PDU in die Übertragungswarteschlange, wo die PDU auf die Übertragung wartet.
  • 7b stellt ausführlicher dar, wie die Übertragungs- und die Host-Schicht zum Empfangen einer PDU von der passiven Netzvorrichtung integriert werden. Der Empfänger 30 der Host-Schicht A überwacht ständig das Netz 50 und filtert Pakete heraus, die mit einer Gruppe im Voraus definierter Muster, die die Markierung (MK) definieren, übereinstimmen; die Muster können in einer Musterdatei 35 gespeichert sein. Wenn der Empfänger 30 der Host-Schicht ein Paket herausfiltert, sendet er es an die PDU-Fabrik 40 der Übertragungsschicht B. Die PDU-Fabrik 40 entscheidet, ob das Paket ein Sendesignal oder eine empfangene PDU ist. Falls die Übertragungswarteschlange im ersten Fall nicht leer ist, baut die PDU-Fabrik 40 ein Netzpaket auf und sendet es an den Sender 20 der Host-Schicht A. Im zweiten Fall wird die empfangene PDU zu der allgemeinen ASCII-Binär-Funktion geschickt, in BIN umgewandelt und in die Empfangswarteschlange eingefügt, wo sie daraufhin zu der Validierungsschicht C geschickt wird.
  • Die vorstehenden Beschreibungen und die vorstehende Zeichnung sollten lediglich als Veranschaulichung der Prinzipien der Erfindung betrachtet werden. Die Erfindung kann in einer Vielzahl von Formen und Größen konfiguriert werden und ist nicht durch die Abmessungen der bevorzugten Ausführungsform beschränkt. Für den Fachmann auf dem Gebiet gehen leicht zahlreiche Anwendungen der vorliegenden Erfindung hervor. Somit soll die Erfindung nicht auf die spezifischen offenbarten Beispiele oder auf die genaue Konstruktion und auf den genauen Betrieb, die gezeigt und beschrieben worden sind, beschränkt sein.

Claims (17)

  1. System für das Management einer passiven Netzvorrichtung von einem entfernten Ort aus über ein verteiltes Computernetz, wobei das System umfasst: eine Partnervorrichtung, die mit einer kooperierenden Vorrichtung über ein Datennetz kommuniziert, wobei die Partnervorrichtung Anforderungen an die kooperierende Vorrichtung sendet und die kooperierende Vorrichtung in Reaktion darauf Antworten an die Partnervorrichtung sendet; ein gemanagtes Element, das an das Datennetz zwischen der Partnervorrichtung und der kooperierenden Vorrichtung angeschlossen ist und den Datenverkehr auf dem Datennetz abhört, wobei das gemanagte Element für das Datennetz transparent ist; ein Management-Zentrum, das an das Datennetz zwischen der Partnervorrichtung und der kooperierenden Vorrichtung angeschlossen ist und den Datenverkehr auf dem Datennetz abhört, wobei das Management-Zentrum für das Datennetz transparent ist; wobei das Management-Zentrum eine fabrizierte Anforderung erzeugt und die fabrizierte Anforderung in das Datennetz schiebt, wobei die fabrizierte Anforderung eine der Partnervorrichtung entsprechende Quelladresse und eine der kooperierenden Vorrichtung entsprechende Zieladresse hat, derart, dass die fabrizierte Anforderung zu der kooperierenden Vorrichtung auf dem Datennetz als ein legitimes Paket geleitet wird, wobei die fabrizierte Anforderung ferner eine Markierung besitzt, die eine Beziehung zu dem Management-Zentrum angibt; wobei das gemanagte Element eine fabrizierte Antwort erzeugt und die fabrizierte Antwort in das Datennetz schiebt, wobei die fabrizierte Antwort eine der kooperierenden Vorrichtung entsprechende Quelladresse und eine der Partnervorrichtung entsprechende Zieladresse besitzt, derart, dass die fabrizierte Antwort zu der Partnervorrichtung auf dem Datennetz als ein legitimes Paket geleitet wird, wobei die fabrizierte Antwort ferner eine Markierung besitzt, die eine Beziehung zu dem gemanagten Element angibt; und wobei das Management-Zentrum und das gemanagte Element jeweils das Datennetz abhören, die Markierungen in der fabrizierten Anforderung bzw. der fabrizierten Antwort erkennen und das Paket der fabrizierten Anforderung bzw. der fabrizierten Antwort einfangen, um dadurch indirekt Informationen über das Datennetz auszutauschen.
  2. System nach Anspruch 1, bei dem die Partnervorrichtung mit der kooperierenden Vorrichtung über mehrere Zwischensysteme kommuniziert.
  3. System nach Anspruch 2, bei dem die Partnervorrichtung und die kooperierende Vorrichtung vollständige Kommunikationsstapel abarbeiten und jedes der mehreren Zwischensysteme eine Untergruppe der vollständigen Kommunikationsstapel abarbeitet.
  4. System nach Anspruch 3, bei dem die vollständigen Kommunikationsstapel eine Netzschnittstellenkarte, eine Netzschicht, eine Transportschicht und eine Anwendungsschicht umfassen.
  5. System nach Anspruch 4, bei dem die Untergruppe der Zwischensysteme eine Netzschnittstellenkarte und eine Netzschicht umfassen.
  6. System nach Anspruch 4, bei dem die Untergruppe der Zwischensysteme eine Netzschnittstellenkarte, eine Netzschicht und eine Transportschicht umfassen.
  7. System nach Anspruch 3, bei dem das gemanagte Element und das Management-Zentrum jeweils einen Dienstanbieter mit einer Host-Schicht, einer Übertragungsschicht, einer Validierungsschicht und einer Managementdienst-Schicht umfassen.
  8. System nach Anspruch 7, bei dem die Managementdienst-Schicht einen Management-Kopfabschnitt mit einer empfangenen Dateneinheit verknüpft, wobei der Kopfabschnitt einen Zeitstempel und/oder eine Quelladresse und/oder eine Zieladresse enthält.
  9. System nach Anspruch 7, bei dem jeweilige Anwendungsprozesse, die in dem gemanagten Element bzw. in dem Management-Zentrum ablaufen, miteinander über eine Dienstschnittstelle kommunizieren, die mehrere Grundelemente definiert.
  10. System nach Anspruch 9, bei dem das gemanagte Element in Reaktion auf das Abfangen eines Befehl-Senden-Grundelements von dem Management- Zentrum mit einem Antwort-Senden-Grundelement antwortet, das durch das Management-Zentrum eingefangen wird.
  11. System nach Anspruch 9, bei dem das gemanagte Element freilaufende Informationen an das Management-Zentrum übermitteln kann, indem Daten, die entweder zu der Partnervorrichtung oder zu der kooperierenden Vorrichtung gerichtet sind, unter Verwendung eines Einfang-Senden-Grundelements, das durch das Management-Zentrum unter Verwendung eines Einfang-Empfangen-Grundelements abgefangen wird, befördert werden.
  12. System nach Anspruch 1, bei dem das gemanagte Element eine passive Netzvorrichtung ist.
  13. Verfahren für das Management einer passiven Netzvorrichtung von einem entfernten Ort aus über ein verteiltes Computernetz, das die folgenden Schritte umfasst: Aufbauen eines Kommunikationskanals zwischen einer Partnervorrichtung und einer kooperierenden Vorrichtung in einem Datennetz, wobei die Partnervorrichtung Anforderungen zu der kooperierenden Vorrichtung sendet und die kooperierende Vorrichtung in Reaktion darauf Antworten an die Partnervorrichtung sendet; Anschließen eines gemanagten Elements an das Datennetz zwischen der Partnervorrichtung und der kooperierenden Vorrichtung, derart, dass das gemanagte Element Datenverkehr auf dem Kommunikationskanal abhören kann, wobei das gemanagte Element für das Datennetz transparent ist; Anschließen eines Management-Zentrums an das Datennetz zwischen der Partnervorrichtung und der kooperierenden Vorrichtung, derart, dass das Management-Zentrum Datenverkehr auf dem Kommunikationskanal abhören kann, wobei das Management-Zentrum für das Datennetz transparent ist; Initiieren einer Anforderung durch die Partnervorrichtung und Richten der Anforderung zu der kooperierenden Vorrichtung über den Kommunikationskanal; Erfassen der Anforderung durch das Management-Zentrum und das gemanagte Element; Erzeugen einer fabrizierten Anforderung, die zu der kooperierenden Vorrichtung gerichtet ist und eine Quelladresse der Partnervorrichtung besitzt, durch das Management-Zentrum, wobei die fabrizierte Anforderung außerdem eine Markierung besitzt, die eine Beziehung zu dem Management-Zentrum angibt; Erzeugen einer fabrizierten Antwort auf die fabrizierte Anforderung durch das gemanagte Element, wobei die fabrizierte Antwort zu der Partnervorrichtung gerichtet ist und eine Quelladresse der kooperierenden Vorrichtung besitzt, wobei die fabrizierte Antwort außerdem eine Markierung besitzt, die eine Beziehung zu dem gemanagten Element angibt; und Schieben der fabrizierten Antwort in das Datennetz durch das gemanagte Element, um sie über den Kommunikationskanal zu der Partnervorrichtung zu leiten; wobei das Management-Zentrum, das den Kommunikationskanal abhört und die Markierung erfasst, die fabrizierte Antwort einfängt.
  14. Verfahren nach Anspruch 13, das ferner die folgenden Schritte umfasst: Abfangen eines Befehl-Senden-Grundelements von dem Management-Zentrum durch das gemanagte Element; und Schieben einer Antwort in das Netz durch das gemanagte Element, wobei die Antwort ein Antwort-Senden-Grundelement besitzt, das durch das Management-Zentrum eingefangen wird.
  15. Verfahren nach Anspruch 13, das ferner die folgenden Schritte umfasst: Befördern freilaufender Informationen zu dem Management-Zentrum durch das gemanagte Element, indem Daten, die zu der Partnervorrichtung oder zu der kooperierenden Vorrichtung gerichtet sind, unter Verwendung eines Einfang-Senden-Grundelements befördert werden; und Abfangen der Informationen mittels eines Einfang-Empfangen-Grundelements durch das Management-Zentrum.
  16. Verfahren nach Anspruch 13, bei dem sowohl das Management-Zentrum als auch das gemanagte Element eine Host-Schicht, eine Übertragungsschicht, eine Validierungsschicht und eine Managementdienst-Schicht enthalten, wobei das Verfahren beim Senden eines Pakets ferner die folgenden Schritte umfasst: Verknüpfen eines Kopfabschnitts mit einer Dateneinheit durch die Managementdienst-Schicht, wobei der Kopfabschnitt einen Zeitstempel und/oder eine Zieladresse und/oder eine Quelladresse enthält; Weiterleiten des Kopfabschnitts und der Dateneinheit zu der Validierungsschicht; Anhängen eines Authentifizierungscodes und Verschlüsseln des Pakets; Schicken des verschlüsselten Pakets in einem binären Format zu der Übertragungsschicht; Umwandeln des binären Formats in ASCII und Bilden eines Netzpakets, das für die Host-Schicht geeignet ist; Schicken des Netzpakets zu der Host-Schicht; und Einfügen des Netzpakets in eine Übertragungswarteschlange.
  17. Verfahren nach Anspruch 13, bei dem sowohl das gemanagte Element als auch das Management-Zentrum eine Host-Schicht, eine Übertragungsschicht, eine Validierungsschicht und eine Managementdienst-Schicht enthält, wobei das Verfahren ferner beim Empfang eines Pakets die folgenden Schritte umfasst: Überwachen des Netzes auf ein Paket, das mit einem im Voraus definierten Muster übereinstimmt, durch die Host-Schicht; Herausfiltern eines geeigneten Pakets; Weiterleiten des Pakets zu der Übertragungsschicht; Einfügen der Dateneinheit in eine Empfangswarteschlange in Reaktion auf die Feststellung, dass das Paket eine Dateneinheit ist; Umsetzen der Dateneinheit in ein binäres Format; Weiterleiten der binären Dateneinheit zu der Validierungsschicht; und Berechnen eines Paketschlüssels und Entschlüsseln der Dateneinheit durch die Validierungsschicht.
DE60313501T 2002-01-18 2003-01-21 System und Verfahren zur Verwaltung passiver Netzwerkeinrichtungen unter Verwendung von Umsetzverbindungen Expired - Lifetime DE60313501T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/050,779 US6944656B2 (en) 2002-01-18 2002-01-18 System and method for covert management of passive network devices
PCT/IB2003/000347 WO2003061239A1 (en) 2002-01-18 2003-01-21 System and method for management of passive network devices usingconvert connections

Publications (2)

Publication Number Publication Date
DE60313501D1 DE60313501D1 (de) 2007-06-06
DE60313501T2 true DE60313501T2 (de) 2008-01-03

Family

ID=21967370

Family Applications (2)

Application Number Title Priority Date Filing Date
DE60313501T Expired - Lifetime DE60313501T2 (de) 2002-01-18 2003-01-21 System und Verfahren zur Verwaltung passiver Netzwerkeinrichtungen unter Verwendung von Umsetzverbindungen
DE60331112T Expired - Lifetime DE60331112D1 (de) 2002-01-18 2003-01-21 Verwaltung passiver Netzwerkgeräte über verdeckte Verbindungen

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE60331112T Expired - Lifetime DE60331112D1 (de) 2002-01-18 2003-01-21 Verwaltung passiver Netzwerkgeräte über verdeckte Verbindungen

Country Status (7)

Country Link
US (1) US6944656B2 (de)
EP (2) EP1586185B1 (de)
CN (2) CN1640094A (de)
AT (2) ATE360949T1 (de)
AU (1) AU2003235657A1 (de)
DE (2) DE60313501T2 (de)
WO (1) WO2003061239A1 (de)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7783739B1 (en) * 2003-03-21 2010-08-24 The United States Of America As Represented By The United States Department Of Energy High-speed and high-fidelity system and method for collecting network traffic
US7308705B2 (en) * 2003-08-29 2007-12-11 Finisar Corporation Multi-port network tap
WO2005048470A2 (en) 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Ofnew York Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
US8856311B2 (en) 2005-06-30 2014-10-07 Nokia Corporation System coordinated WLAN scanning
US7840710B2 (en) * 2005-08-31 2010-11-23 Research In Motion Limited Method, system and apparatus for selective application access and synchronization
US9419981B2 (en) 2005-10-31 2016-08-16 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for securing communications between a first node and a second node
JP4954328B2 (ja) * 2007-07-02 2012-06-13 テレコム・イタリア・エッセ・ピー・アー 通信ネットワークにおけるデータ管理のための方法およびシステム
US20120218896A1 (en) * 2009-11-04 2012-08-30 Saab Ab Centralized supervision of network traffic
US8769084B2 (en) 2010-06-07 2014-07-01 Novell, Inc. System and method for modeling interdependencies in a network datacenter
US9894692B2 (en) 2011-10-06 2018-02-13 Telefonaktiebolaget Lm Ericsson (Publ) Transmission of data to or from a node of a mobile network
US9680798B2 (en) 2014-04-11 2017-06-13 Nant Holdings Ip, Llc Fabric-based anonymity management, systems and methods
CN107111649B (zh) * 2015-03-02 2021-04-27 微软技术许可有限责任公司 将用户和系统数据从源位置上传到目的地位置
US9537884B1 (en) 2016-06-01 2017-01-03 Cyberpoint International Llc Assessment of cyber threats
CN106453225B (zh) * 2016-07-18 2019-07-05 北龙中网(北京)科技有限责任公司 实现隐秘通信的方法及客户端、服务器

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5444782A (en) * 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US5742762A (en) * 1995-05-19 1998-04-21 Telogy Networks, Inc. Network management gateway
US6266704B1 (en) 1997-05-30 2001-07-24 The United States Of America As Represented By The Secretary Of The Navy Onion routing network for securely moving data through communication networks
US6377690B1 (en) * 1998-09-14 2002-04-23 Lucent Technologies Inc. Safe transmission of broadband data messages

Also Published As

Publication number Publication date
EP1826986A1 (de) 2007-08-29
CN1640094A (zh) 2005-07-13
EP1586185B1 (de) 2007-04-25
EP1586185A1 (de) 2005-10-19
EP1826986B1 (de) 2010-01-20
WO2003061239A9 (en) 2004-03-04
US20030140130A1 (en) 2003-07-24
WO2003061239A1 (en) 2003-07-24
AU2003235657A1 (en) 2003-07-30
HK1076956A1 (en) 2006-01-27
ATE360949T1 (de) 2007-05-15
DE60331112D1 (de) 2010-03-11
HK1108247A1 (en) 2008-05-02
DE60313501D1 (de) 2007-06-06
ATE456240T1 (de) 2010-02-15
CN101599864B (zh) 2011-08-03
EP1826986B8 (de) 2010-03-10
US6944656B2 (en) 2005-09-13
CN101599864A (zh) 2009-12-09

Similar Documents

Publication Publication Date Title
DE60224917T2 (de) Verfahren und Vorrichtung zur Fragmentierung und Wiederzusammensetzung von Internet Key Exchange Paketen
DE60313501T2 (de) System und Verfahren zur Verwaltung passiver Netzwerkeinrichtungen unter Verwendung von Umsetzverbindungen
DE60116610T2 (de) Netzwerkadressenübersetzungsgateway für lokale netzwerke unter verwendung lokaler ip-adressen und nicht übersetzbarer portadressen
DE69727447T2 (de) Übertragungstrennung und Ebene-3-Netzwerk-Vermittlung
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE602004007301T2 (de) Adressierungs-verfahren und -vorrichtung zum aufbau von hip-verbindungen zwischen gewöhnlichen und hip-fähigen netzknoten
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE112013002272T5 (de) ARP/ND-Cache vor Denial-Of-Service-Angriffen schützen
DE60004707T2 (de) Schema zur bestimmung von transportschichtinformation in gegenwart von ip-sicherkeitsverschlüsselung
DE10052311A1 (de) Manuelles Verhindern des unerlaubten Mithörens in einem virtuellen privaten Netzwerk über das Internet
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
DE60116754T2 (de) Sicherere registrierung von domänennamen
EP1464150B1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
EP2890072B1 (de) Verfahren zum Erkennen eines Denial-of-Service Angriffs in einem Kommunikationsnetzwerk
US20070033641A1 (en) Distributed Network Security System
DE102016100692A1 (de) Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten
EP1496666A1 (de) Vorrichtung und Koppelgerät, so genannter transparenter Tunnel-Proxy, zur Sicherung eines Datenzugriffs
EP4080830B1 (de) Verfahren zum überprüfen und steuern eines von einem ip-fähigen heimnetz-endgerät ausgehenden datenverkehrs und kommunikationssystem
EP1496665B1 (de) Verfahren zur Festlegung von Sicherheitseinstellungen in einem Automatisierungsnetz
DE60225875T2 (de) Zugangskontrollegateway zu einem Aktiven Netzwerk
HK1076956B (en) System and method for management for passive network devices using convert connections
EP4096170A1 (de) Verfahren zur datenübertragung in einem netzwerksystem sowie netzwerksystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition