[go: up one dir, main page]

WO2006074853A1 - Method and arrangement for the rejection of incoming messages with non-conforming identification information in the connection to port-specific access control - Google Patents

Method and arrangement for the rejection of incoming messages with non-conforming identification information in the connection to port-specific access control Download PDF

Info

Publication number
WO2006074853A1
WO2006074853A1 PCT/EP2005/056963 EP2005056963W WO2006074853A1 WO 2006074853 A1 WO2006074853 A1 WO 2006074853A1 EP 2005056963 W EP2005056963 W EP 2005056963W WO 2006074853 A1 WO2006074853 A1 WO 2006074853A1
Authority
WO
WIPO (PCT)
Prior art keywords
port
identification information
network element
access
network
Prior art date
Application number
PCT/EP2005/056963
Other languages
German (de)
French (fr)
Inventor
Oliver Veits
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Publication of WO2006074853A1 publication Critical patent/WO2006074853A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Definitions

  • the invention relates to a method and arrangement for port-related access control of a network element at a multiple connection ports having access element, preferably a switch.
  • a network element or. Client receives access to a data network by transmitting identification and authentication information to an authentication server via an access element.
  • the authentication server checks the information of the network element and decides on access of the network element.
  • the access element is usually designed as a so-called "switch" or more generally as an access point.
  • a common access control method is known from the IEEE 802. Ix standard.
  • the 802. Ix standard provides a general method for authentication and authorization in data networks.
  • a network access is defined, which corresponds to a physical connection resp. Port on a local area network (LAN) or logical port as per the specifications for a wireless LAN or LAN.
  • WLAN complies with the well-known standard IEEE 802.11.
  • Authentication is performed at this network access by a so-called authenticator, which, in cooperation with the authentication server, checks the authentication information transmitted by the network element ("supplicant") and, if appropriate, allows or denies access to the network access offered by the authenticator.
  • the authentication server is designed, for example, according to the known RADIUS server protocols (Remote Authentication Dial-In User Service).
  • RADIUS is a client-server protocol used to authenticate users to dial-in connections to a computer network. This protocol is used, among other things, for central authentication of dial-up connections via modem, ISDN, VPN or wireless LAN.
  • An associated server service, the RADIUS server is used to authenticate network elements using databases in which the identification information of the respective network element, e.g. B. a MAC address of the network element (Media Access Control) and authentication information, eg. B. a password, are stored.
  • the following is a port-related access control of a
  • - the network element resp. Client or even supplicant that is to authenticate in the network
  • the authenticator or even authenticator in the access element which performs the authentication process with the network element
  • - the Authentication Server which provides the authenticator with the information required for authentication.
  • the IEEE 802. IX standard stipulates that two logical ports are assigned to a physical port.
  • the physical connection always routes the received packets to the so-called free port (uncontrolled port). Further .
  • the controlled port can only be reached after an authentication, which can be done via the free port.
  • a major drawback is the fact that access is based on a port. This means that a successfully authenticated network element is assigned a controlled port, which is also open for further third network elements after the authentication of a first network element, without these third network elements having to log in in accordance with the methods described above.
  • a so-called "session hijacking" can be used to attack another network element sending a message (disassociate message) to the successfully authenticated network element requesting it to terminate the connection.
  • the access element still keeps the controlled port open so that the attacker can gain access to the network without valid credentials.
  • Another possible attack is based on the attacker giving incorrect identification information, e.g. B. assign a MAC address that has not been officially assigned to it to maliciously gain access.
  • This attack is also referred to in the art as "MAC Address Spoofing". If a multiplicity of access requests with different MAC addresses identifying the source are sent to an access element, this leads to the fact that the MAC addresses can no longer - as intended - be stored in a MAC address table of the access element, since their capacity is exceeded after a certain number of stored entries. In the case of an access element configured as a switch, this usually leads to the in response messages sent to a switch logic to the respective MAC address are now directed to all ports of the switch due to the capacity overrun. This circumstance can be exploited by the attacker to record communication with other network elements, with the recorded
  • communication provides a basis for accepting authorized MAC addresses and disrupting the communication of other network elements or taking over their communication sessions.
  • a known in the art under the term "LAN Management Policy Server” method which provides a network-wide assignment of MAC addresses on individual network segments, has the disadvantage that the authentication based solely on the MAC address of the operator and not after a authenticated server as in the IEEE 802. Ix protocol. As a result, any operator using a registered MAC address has access to the network. For a malicious operator or However, it is not difficult for an attacker to find out the MAC address of a network element assigned to him and then carry out the attack.
  • the object of the invention is to provide a method and an arrangement with which over the prior art safer access control with less restrictions is achieved.
  • a solution of the object is achieved with regard to its method aspect by a method having the features of patent claim 1 and with regard to its device aspect by a device having the features of patent claim 3.
  • an access element stores identification information of a network element which has already gained access.
  • a network element has then received access when it is released a connection port on the access element.
  • the stored identification information is then compared with the identification information of each message arriving at the released connection port, in particular the header of a data packet.
  • the MAC address of the network element can be used as identification information. If the identification information contained in the messages does not match the stored one, the incoming message is discarded.
  • An essential advantage of the method according to the invention and of the associated device results from the fact that only the network element previously registered with its identification information receives access to a shared connection port.
  • a change of the identification in the sense of a MAC address spoofing has the consequence that further messages of this network element are rejected and advantageously no load on the message traffic »behind « the access element, ie. H . within the network or in data exchange with the authentication server.
  • a previously described flooding of the MAC address table is prevented by the discarding of the message advantageously from the outset.
  • Another advantage of the method and the associated device according to the invention is that Only a relatively simple modification in the control logic of the access element requires. In particular, no modification of the authentication server is required.
  • a mobility of z. B. wirelessly supports data-exchanging network elements, as it does not require any restrictions with regard to a limited number of communication partners and their MAC addresses.
  • FIG. 1 shows a structure diagram for the schematic representation of a message exchange associated with an authentication of a network element CL to an authentication server SRV via an access element AP.
  • the following process steps associated with an exchange of messages are shown in the drawing with arrows and an associated numerical reference. With reference to these reference numerals, the method proceeds as follows:
  • the access element AP requests identification information from the network element CL.
  • the network element CL transmits its identification information to the access element AP in the form of a special IEEE 802. lx message in which the MAC address of the network element CL is entered as the source MAC address.
  • the open port information forwards the access element AP to the authentication server SRV.
  • Authentication of the network element CL is required by authentication server SRV. This requirement resp.
  • the authentication server SRV first sends »challenge « to the access element AP.
  • the network element CL forwards a response to the request to the access element AP.
  • This response contains the required authentication, for example a specific password or a correct encryption of a string contained in the request.
  • the response forwards the access element AP to the authentication server SRV.
  • the authentication server SRV checks the response. In the case of success, he sends a corresponding message to the access element AP. 9 The controlled port is released by the access element AP. In addition, he forwards the message to the network element CL.
  • the access element AP stores the identification information, for. B, the MAC address and / or the VLAN ID (Virtual LAN identification number) of the network element CL.
  • the access element AP stores the identification information, for. B, the MAC address and / or the VLAN ID (Virtual LAN identification number) of the network element CL.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a method for port-specific access control to a network element (CL) on an access element (AP), comprising several connection ports, whereby identification information and authentication information are requested for the network element (1, 5) and, in the case of valid identification and authentication information, a connector port is provided (9). According to the invention, identification information for the network element is stored in the access element (2), whereby messages incoming to the connection on the provided port are rejected when the identification information contained in the messages, in particular, MAC-addresses, do not conform to the stored identification information.

Description

Beschreibungdescription
VERFAHREN UND ANORDNUNG ZUM VERWERFEN EINTREFFENDER NACHRICHTEN MIT NICHT ÜBEREINSTIMMENDER IDENTIFIZIERUNGSINFORMATION IM ANSCHLUSS AN PORTBEZOGENE ZUGANGSKONTROLLEPROCEDURE AND ARRANGEMENT FOR REJECTING INTERCOMING MESSAGES WITH NON-MATCHING IDENTIFICATION INFORMATION ACCORDING TO PORT-RELATED ACCESS CONTROL
Die Erfindung betrifft ein Verfahren und Anordnung zur portbezogenen Zugangskontrolle eines Netzelements an einem mehrere Anschlussports aufweisenden Zugangselement, vorzugsweise einem Switch .The invention relates to a method and arrangement for port-related access control of a network element at a multiple connection ports having access element, preferably a switch.
Im Stand der Technik sind Verfahren zur Zugangskontrolle eines Netzelements bekannt . Ein Netzelement bzw . Client erhält Zugang zu einem Datennetz , indem Identifizierungs- und Au- thentifizierungsinformationen über ein Zugangselement an ei- nen Authentifizierungsserver übermittelt werden . Der Authen- tifizierungsserver überprüft die Informationen des Netzelements und entscheidet über einen Zugang des Netzelements . Das Zugangselement ist üblicherweise als so genannter »Switch« oder allgemeiner als Access Point ausgestaltet .In the prior art, methods for access control of a network element are known. A network element or. Client receives access to a data network by transmitting identification and authentication information to an authentication server via an access element. The authentication server checks the information of the network element and decides on access of the network element. The access element is usually designed as a so-called "switch" or more generally as an access point.
Ein verbreitetes Verfahren zur Zugangskontrolle ist aus dem IEEE-Standard 802. Ix bekannt . Der Standard 802. Ix stellt eine generelle Methode für die Authentifizierung und Autorisierung in Datennetzwerken zur Verfügung . Es wird ein Netzwerkzugang definiert, welcher einem physikalischen Anschluss bzw . »Port« in einem lokalen Netzwerk (Local Area Network, LAN) oder einem logischen Port gemäß der Spezifikationen für ein »Wire- less LAN« bzw . WLAN im bekannten Standard IEEE 802.11 entspricht . An diesem Netzwerkzugang erfolgt die Authentifizie- rung durch einen sogenannten Authenticator, der in Zusammenarbeit mit dem Authentifizierungsserver die durch das Netzelement (»Supplicant«) übermittelten Authentifizierungsinfor- mationen prüft und gegebenenfalls den Zugriff auf den durch den Authenticator angebotenen Netzzugang zulässt oder ab- weist . Der Authentifizierungsserver ist beispielsweise gemäß der bekannten RADIUS-Serverprotokolle (Remote Authentication Dial- In User Service) ausgestaltet . RADIUS ist ein Client-Server- Protokoll, das zur Authentifizierung von Benutzern bei Ein- Wahlverbindungen in ein Computernetzwerk dient . Dieses Protokoll wird unter anderem für eine zentrale Authentifizierung von Einwahlverbindungen über Modem, ISDN, VPN oder Wireless LAN verwendet . Ein zugehöriger Server-Dienst, der RADIUS- Server, dient der Authentifizierung von Netzelementen unter Verwendung von Datenbanken, in denen die Identifizierungsinformation der j eweiligen Netzelement, z . B . eine MAC-Adresse des Netzelements (Media Access Control) und Authentifizie- rungsinformationen, z . B . ein Passwort, gespeichert sind.A common access control method is known from the IEEE 802. Ix standard. The 802. Ix standard provides a general method for authentication and authorization in data networks. A network access is defined, which corresponds to a physical connection resp. Port on a local area network (LAN) or logical port as per the specifications for a wireless LAN or LAN. WLAN complies with the well-known standard IEEE 802.11. Authentication is performed at this network access by a so-called authenticator, which, in cooperation with the authentication server, checks the authentication information transmitted by the network element ("supplicant") and, if appropriate, allows or denies access to the network access offered by the authenticator. The authentication server is designed, for example, according to the known RADIUS server protocols (Remote Authentication Dial-In User Service). RADIUS is a client-server protocol used to authenticate users to dial-in connections to a computer network. This protocol is used, among other things, for central authentication of dial-up connections via modem, ISDN, VPN or wireless LAN. An associated server service, the RADIUS server, is used to authenticate network elements using databases in which the identification information of the respective network element, e.g. B. a MAC address of the network element (Media Access Control) and authentication information, eg. B. a password, are stored.
Im folgenden wird eine portbezogene Zugangskontrolle einesThe following is a port-related access control of a
Netzelements an ein Datennetzwerk (Port Based Network Access Control) betrachtet, die unter anderem verhindern soll, dass sich unautorisierte Netzelement durch z . B . öffentlich zugängliche Anschlussports eines Zugangselements mit einem Netzwerk verbinden . Das Zugangselement kann dabei in beliebiger Weise, z . B . als Switch, Access Point usw . ausgestaltet sein .Considered network element to a data network (Port Based Network Access Control), which is intended to prevent, inter alia, that unauthorized network element by z. B. connect publicly accessible connection ports of an access element to a network. The access element can in any way, for. B. as switch, access point, etc. be designed.
An einer solchen portbezogenen Authentifizierung sind drei Elemente beteiligt : - das Netzelement bzw . Client oder auch Supplicant, das sich in dem Netzwerk authentifizieren soll, der Authentifizierer oder auch Authenticator im Zugangselement, welcher den Authentifizierungsvorgang mit dem Netzelement durchführt, und - der Authentifizierungsserver (Authentication Server) , der dem Authentifizierer die zur Authentifizierung erforderlichen Informationen zur Verfügung stellt .There are three elements involved in such a port - related authentication: - the network element resp. Client or even supplicant that is to authenticate in the network, the authenticator or even authenticator in the access element, which performs the authentication process with the network element, and - the Authentication Server, which provides the authenticator with the information required for authentication.
Der Standard IEEE 802. IX sieht vor, dass einem physischen An- Schluss zwei logische Anschlüsse (Ports ) zugeordnet werden . Der physische Anschluss leitet die empfangenen Pakete grundsätzlich an den so genannten freien Port (Uncontrolled Port) weiter . Der kontrollierte Port (Controlled Port) kann nur nach einer Authentifizierung erreicht werden, die über den freien Port erfolgen kann .The IEEE 802. IX standard stipulates that two logical ports are assigned to a physical port. The physical connection always routes the received packets to the so-called free port (uncontrolled port). further . The controlled port can only be reached after an authentication, which can be done via the free port.
Die bisherigen Verfahren zur portbezogenen Zugangskontrolle haben mehrere Nachteile . Ein gewichtiger Nachteil ist die Tatsache, dass eine Zugangsfreigabe auf Basis eines Ports erfolgt . Dies bedeutet, dass einem erfolgreich authentifizierten Netzelement ein kontrollierter Port zugewiesen wird, wel- eher nach der Authentifizierung eines ersten Netzelements auch für weitere dritte Netzelemente offen ist, ohne dass sich diese dritten Netzelemente eigens gemäß der voraus beschriebenen Verfahren anmelden müssen .The previous methods for port-related access control have several disadvantages. A major drawback is the fact that access is based on a port. This means that a successfully authenticated network element is assigned a controlled port, which is also open for further third network elements after the authentication of a first network element, without these third network elements having to log in in accordance with the methods described above.
Eine solche Situation kann für eine böswillige Erlangung eines Zugangs durch andere Netzelemente ausgenutzt werden . Durch ein so genanntes »Session Hij acking« kann ein Angriff erfolgen, indem ein anderes Netzelement dem erfolgreich authentifizierten Netzelement eine Meldung (Disassociate- Meldung) sendet, die dieses zur Beendigung der Verbindung auffordert . Das Zugangselement indes behält den kontrollierten Port weiterhin offen, so dass der Angreifer ohne gültige Anmeldeinformationen einen Zugang zum Netzwerk erhalten kann .Such a situation can be exploited for a malicious acquisition of access by other network elements. A so-called "session hijacking" can be used to attack another network element sending a message (disassociate message) to the successfully authenticated network element requesting it to terminate the connection. However, the access element still keeps the controlled port open so that the attacker can gain access to the network without valid credentials.
Ein weiterer möglicher Angriff basiert darauf, dass der Angreifer falsche Identifizierungsinformationen, z . B . eine MAC- Adresse, die ihm nicht offiziell zugeteilt wurde, zur böswilligen Erlangung eines Zugangs vorgibt . Dieser Angriff wird in der Fachwelt auch als »MAC-Address-Spoofing« bezeichnet . Wer- den an ein Zugangselement dabei eine Vielzahl von Zugangsanforderungen mit unterschiedlichen, die Quelle identifizierenden MAC-Adressen gesendet, führt dies dazu, dass die MAC- Adressen nicht mehr - wie vorgesehen - in eine MAC-Adressen- Tabelle des Zugangselements gespeichert werden können, da de- ren Kapazität nach einer bestimmten Anzahl an gespeicherten Einträgen überschritten ist . Dies führt bei einem als Switch ausgestalteten Zugangselement üblicherweise dazu, dass die in einer Switch-Logik vorgesehenen Antwortnachrichten an die j eweilige MAC-Adresse wegen der Kapazitätsüberschreitung nun an sämtliche Ports des Switches gerichtet werden . Diesen Umstand kann der Angreifer ausnutzen, um eine Kommunikation mit ande- ren Netzelementen aufzuzeichnen, wobei die aufgezeichneteAnother possible attack is based on the attacker giving incorrect identification information, e.g. B. assign a MAC address that has not been officially assigned to it to maliciously gain access. This attack is also referred to in the art as "MAC Address Spoofing". If a multiplicity of access requests with different MAC addresses identifying the source are sent to an access element, this leads to the fact that the MAC addresses can no longer - as intended - be stored in a MAC address table of the access element, since their capacity is exceeded after a certain number of stored entries. In the case of an access element configured as a switch, this usually leads to the in response messages sent to a switch logic to the respective MAC address are now directed to all ports of the switch due to the capacity overrun. This circumstance can be exploited by the attacker to record communication with other network elements, with the recorded
Kommunikation wiederum eine Basis liefert, authorisierte MAC- Adressen zu übernehmen und die Kommunikation anderer Netzelemente zu stören oder deren Kommunikationssitzungen zu übernehmen .In turn, communication provides a basis for accepting authorized MAC addresses and disrupting the communication of other network elements or taking over their communication sessions.
Im Stand der Technik sind unter dem Gattungsbegriff »Port Se- curity« Verfahren bekannt, welche nur eine begrenzte, vorkon- figurierbare Anzahl von durch eine MAC-Adresse charakterisierten Netzelementen an einem freigegebenen Anschlussport zulässt . Dies schränkt allerdings eine Mobilität von Netzelementen ein, welche beispielsweise unter Anwendung des WLAN- Protokolls (Wireless LAN) häufiger einen Wechsel ihres Standorts erfahren .In the state of the art, methods are known by the generic term "port security", which only permits a limited, preconfigurable number of network elements characterized by a MAC address at a shared connection port. However, this restricts a mobility of network elements, which experience a change of their location more frequently, for example using the WLAN protocol (wireless LAN).
Auch ein im Stand der Technik unter dem Begriff »LAN Management Policy Server« bekanntes Verfahren, welches eine netzwerkweite Zuordnung von MAC-Adressen auf einzelne Netzwerksegmente vorsieht, hat den Nachteil, dass die Authentifizierung ausschließlich anhand der MAC-Adresse des Bedieners und nicht nach einem authentifizierten Bediener wie im Protokoll IEEE 802. Ix erfolgt . Dies hat zur Folge, dass j eder Bediener, der eine registrierte MAC-Adresse nutzt, Zugang zum Netzwerk hat . Für einen böswilligen Bediener bzw . Angreifer ist es j edoch nicht schwierig, die MAC-Adresse eines ihm zugewiesenen Netzelements herauszufinden, um danach den Angriff durchzuführen .A known in the art under the term "LAN Management Policy Server" method, which provides a network-wide assignment of MAC addresses on individual network segments, has the disadvantage that the authentication based solely on the MAC address of the operator and not after a authenticated server as in the IEEE 802. Ix protocol. As a result, any operator using a registered MAC address has access to the network. For a malicious operator or However, it is not difficult for an attacker to find out the MAC address of a network element assigned to him and then carry out the attack.
Aufgabe der Erfindung ist es , ein Verfahren und eine Anordnung anzugeben, mit denen eine gegenüber dem Stand der Tech- nik sicherere Zugangssteuerung mit weniger Restriktionen erreicht wird. Eine Lösung der Aufgabe erfolgt hinsichtlich ihres Verfahrensaspekts durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 und hinsichtlich ihres Vorrichtungsaspekts durch eine Vorrichtung mit den Merkmalen des Patentanspruchs 3.The object of the invention is to provide a method and an arrangement with which over the prior art safer access control with less restrictions is achieved. A solution of the object is achieved with regard to its method aspect by a method having the features of patent claim 1 and with regard to its device aspect by a device having the features of patent claim 3.
In Erweiterung eines bekannten Verfahrens zur Zugangskontrolle gemäß dem Oberbegriff des Anspruchs 1 ist ein erfindungsgemäßes Verfahren vorgesehen, bei dem ein Zugangselement eine Identifizierungsinformation eines Netzelements , welches be- reits Zugang erhalten hat, speichert . Ein Netzelement hat dann Zugang erhalten, wenn diesem ein Anschlussport am Zugangselement freigegeben wird. Die gespeicherte Identifizierungsinformation wird dann mit der Identifizierungsinformation j eder am freigegeben Anschlussport eintreffenden Nachricht - insbesondere dem Header eines Datenpakets - verglichen . Als Identifizierungsinformation ist insbesondere, j edoch nicht ausschließlich, die MAC-Adresse des Netzelements heranziehbar . Stimmt die in den Nachrichten enthaltene Identifizierungsinformation nicht mit der gespeicherten überein, wird die eintreffende Nachricht verworfen .As an extension of a known method for access control according to the preamble of claim 1, a method according to the invention is provided in which an access element stores identification information of a network element which has already gained access. A network element has then received access when it is released a connection port on the access element. The stored identification information is then compared with the identification information of each message arriving at the released connection port, in particular the header of a data packet. In particular, but not exclusively, the MAC address of the network element can be used as identification information. If the identification information contained in the messages does not match the stored one, the incoming message is discarded.
Ein wesentlicher Vorteil des erfindungsgemäßen Verfahrens und der zugehörigen Vorrichtung ergibt sich aus der Tatsache, dass nur das zuvor mit seiner Identifizierungsinformation re- gistrierte Netzelement Zugang zu einem freigegebenen Anschlussport erhält . Ein Wechsel der Identifizierung im Sinne eines MAC Address Spoofing hat dann zur Folge, dass weitere Nachrichten dieses Netzelements abgewiesen werden und in vorteilhafter Weise keine Belastung des Nachrichtenverkehrs »hinter« dem Zugangselement, d. h . innerhalb des Netzwerks o- der im Datenaustausch mit dem Authentifizierungsserver zur Folge haben . Eine zuvor beschriebene Überflutung der MAC- Adressen-Tabelle wird durch das Verwerfen der Nachricht in vorteilhafter Weise von vorneherein unterbunden .An essential advantage of the method according to the invention and of the associated device results from the fact that only the network element previously registered with its identification information receives access to a shared connection port. A change of the identification in the sense of a MAC address spoofing has the consequence that further messages of this network element are rejected and advantageously no load on the message traffic »behind« the access element, ie. H . within the network or in data exchange with the authentication server. A previously described flooding of the MAC address table is prevented by the discarding of the message advantageously from the outset.
Ein weiterer Vorteil des erfindungsgemäßen Verfahrens und der zugehörigen Vorrichtung ist darin zu sehen, dass eine Ver- wirklichung lediglich eine vergleichsweise einfache Modifikation in der Steuerlogik des Zugangselements erfordert . Insbesondere ist keinerlei Modifikation des Authentifizierungsser- vers erforderlich .Another advantage of the method and the associated device according to the invention is that Only a relatively simple modification in the control logic of the access element requires. In particular, no modification of the authentication server is required.
Mit dem erfindungsgemäßen Verfahren und der zugehörigen Vorrichtung wird in vorteilhafter Weise eine Mobilität von z . B . drahtlos Daten austauschenden Netzelementen unterstützt, da keine Vorgaben hinsichtlich einer beschränkten Anzahl von Kommunikationspartnern und deren MAC-Adressen gefordert wird.With the method and the associated device according to the invention a mobility of z. B. wirelessly supports data-exchanging network elements, as it does not require any restrictions with regard to a limited number of communication partners and their MAC addresses.
Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen angegeben .Advantageous developments of the invention are specified in the subclaims.
Ein Ausführungsbeispiel mit weiteren Vorteilen und Ausgestaltungen der Erfindung wird im folgenden anhand der Zeichnung näher erläutert .An embodiment with further advantages and embodiments of the invention will be explained in more detail below with reference to the drawing.
Dabei zeigt die einzige FIG ein Strukturbild zur schemati- sehen Darstellung eines mit einer Authentifizierung eines Netzelements CL an einem Authentifizierungsserver SRV über ein Zugangselement AP einhergehenden Nachrichtenaustausch . Die nachfolgenden mit einem Austausch von Nachrichten einhergehenden Verfahrensschritte sind in der Zeichnung mit Pfeilen und einem zugehörigen numerischen Bezugszeichen dargestellt . Mit Bezugnahme auf diese Bezugszeichen läuft das Verfahren dabei wie folgt ab :The sole FIGURE shows a structure diagram for the schematic representation of a message exchange associated with an authentication of a network element CL to an authentication server SRV via an access element AP. The following process steps associated with an exchange of messages are shown in the drawing with arrows and an associated numerical reference. With reference to these reference numerals, the method proceeds as follows:
1 Das Zugangselement AP fordert vom Netzelement CL Identi- fizierungsinformationen .1 The access element AP requests identification information from the network element CL.
2 Der Netzelement CL übermittelt seine Identifizierungsinformationen an das Zugangselement AP in Form einer speziellen IEEE 802. lx-Nachricht, bei der die MAC-Adresse des Netzelements CL als Source-MAC-Adresse eingetragen ist . 3 Die Information über den offenen Port leitet der Zugangselement AP an den Authentifizierungsserver SRV weiter .2 The network element CL transmits its identification information to the access element AP in the form of a special IEEE 802. lx message in which the MAC address of the network element CL is entered as the source MAC address. 3 The open port information forwards the access element AP to the authentication server SRV.
4 Eine Authentifizierung des Netzelements CL wird vom Au- thentifizierungsserver SRV gefordert . Diese Anforderung bzw . »Challenge« sendet der Authentifizierungsserver SRV zunächst an den Zugangselement AP .4 Authentication of the network element CL is required by authentication server SRV. This requirement resp. The authentication server SRV first sends »challenge« to the access element AP.
5 Weiterleitung der Anforderung vom Zugangselement AP an das Netzelement CL . 6 Das Netzelement CL sendet eine Antwort auf die Anforderung an den Zugangselement AP . Diese Antwort enthält die geforderte Authentifizierung, beispielsweise ein bestimmtes Passwort oder eine korrekte Verschlüsselung einer in der Anforderung enthaltenen Zeichenfolge . 7 Die Antwort leitet der Zugangselement AP an den Authentifizierungsserver SRV weiter .5 Forwarding of the request from the access element AP to the network element CL. 6 The network element CL sends a response to the request to the access element AP. This response contains the required authentication, for example a specific password or a correct encryption of a string contained in the request. 7 The response forwards the access element AP to the authentication server SRV.
8 Der Authentifizierungsserver SRV überprüft die Antwort . Im Fall eines Erfolgs sendet er eine entsprechende Meldung an das Zugangselement AP . 9 Der kontrollierte Port wird vom Zugangselement AP freigegeben . Darüber hinaus leitet er die Meldung an das Netzelement CL weiter .8 The authentication server SRV checks the response. In the case of success, he sends a corresponding message to the access element AP. 9 The controlled port is released by the access element AP. In addition, he forwards the message to the network element CL.
Mit dem erfindungsgemäßen Verfahren wird die oben erläuterte Anmeldeprozedur um folgende Verfahrensschritte erweitert . In Erweiterung des Verfahrensschrittes 2 speichert das Zugangselement AP die Identifizierungsinformationen, z . B die MAC- Adresse und/oder die VLAN ID (Virtual LAN Identifikationsnummer) des Netzelements CL . Nach der Freigabe des kontrollier- ten Ports gemäß Verfahrensschritt 9 wird bei j eder weiteren eintreffenden - nicht dargestellten - Nachricht an diesem kontrollierten Port bzw . Anschlussport eine Überprüfung vorgenommen, ob die in der Nachricht enthaltene Identifizierungsinformation mit der für diesen Anschlussport gespeicher- ten Identifizierungsinformation übereinstimmt . Im gegenteiligen Fall wird die eintreffende Nachricht am Zugangselement AP verworfen . Das erfindungsgemäße Verfahren muss nicht unbedingt ausschließlich im Zugangselement AP implementiert sein . Alternative Ausführungsformen umfassen eine Verteilung auf einzelne im Netzwerk verteilte Komponenten . Auch die Verwendung des Protokolls IEEE 8021. x zur Zugangssteuerung ist aufgrund der weiten Verbreitung vorteilhaft, j edoch nicht zwingend. With the method according to the invention, the registration procedure explained above is extended by the following method steps. In extension of the method step 2, the access element AP stores the identification information, for. B, the MAC address and / or the VLAN ID (Virtual LAN identification number) of the network element CL. After the release of the controlled port according to method step 9, at each further incoming message (not shown) at this controlled port resp. Port, a check is made whether the identification information contained in the message matches the identification information stored for this port. In the opposite case, the incoming message is rejected at the access element AP. The method according to the invention does not necessarily have to be implemented exclusively in the access element AP. Alternative embodiments include distribution to individual components distributed throughout the network. The use of the IEEE 8021.x protocol for access control is also advantageous due to its widespread use, but not mandatory.

Claims

Patentansprüche claims
1. Verfahren zur portbezogenen Zugangskontrolle eines Netzelements an einem mehrere Anschlussports aufweisenden Zu- gangselement, wobei a) eine Identifizierungsinformation des Netzelements angefordert wird, b) eine Authentifizierungsinformation des Netzelements angefordert wird, c) im Falle gültiger Identifizierungs- und Authentifizie- rungsinformationen ein Anschlussport freigegeben wird, d a d u r c h g e k e n n z e i c h n e t , d) dass die Identifizierungsinformation des Netzelements im1. A method for port-related access control of a network element to an access element having a plurality of connection elements, wherein a) an identification information of the network element is requested, b) an authentication information of the network element is requested, c) in the case of valid identification and authentication information a connection port released is characterized, characterized d) that the identification information of the network element in
Zugangselement gespeichert wird, e) dass am freigegebenen Anschlussport eintreffende Nachrichten verworfen werden, wenn die in den Nachrichten enthaltene Identifizierungsinformation nicht mit der gespeicherten übereinstimmt .Access element is stored, e) that messages arriving at the shared port port are discarded if the identification information contained in the messages does not match the stored one.
2. Verfahren nach Anspruch 1 , d a d u r c h g e k e n n z e i c h n e t , dass der Austausch der Informationen gemäß der Schritt a) bis c) unter Anwendung des Authentifizierungsprotokolls IEEE 802. Ix erfolgt .2. The method as claimed in claim 1, wherein the exchange of the information according to step a) to c) takes place using the authentication protocol IEEE 802.1x.
3. Vorrichtung zur portbezogenen Zugangskontrolle eines Netzelements an einem mehrere Anschlussports aufweisenden Zugangselement, mit a) Mitteln zur Anforderung einer Identifizierungsinformati- on des Netzelements , b) Mitteln zur Anforderung einer Authentifizierungsinformation des Netzelements , c) Mitteln zur Freigabe eines Anschlussports im Falle gültiger Identifizierungs- und Authentifizierungsinformatio- nen, g e k e n n z e i c h n e t d u r c h , d) Mittel zur Speicherung der Identifizierungsinformation des Netzelements im Zugangselement, e) Mittel zum Vergleich von in am freigegebenen Anschlussport eintreffenden Nachrichten enthaltener Identifizie- rungsinformation mit der gespeicherten Identifizierungsinformation und zum Verwerfen der Nachricht, wenn der Vergleich eine Nichtübereinstimmung ergibt .3. A device for port-related access control of a network element at an access element having a plurality of connection ports, comprising a) means for requesting identification information of the network element, b) means for requesting authentication information of the network element, c) means for releasing a connection port in the case of valid identification and authentication information, characterized by, d) means for storing the identification information of the network element in the access element; e) means for comparing identification information contained in messages arriving at the shared port port with the stored identification information and discarding the message if the comparison results in a mismatch.
4. Vorrichtung nach Anspruch 3, gekennzeichnet durch , eine Ausgestaltung der Mittel zur Unterstützung des Protokolls IEEE 802. Ix .4. Apparatus according to claim 3, characterized by, an embodiment of the means for supporting the protocol IEEE 802. Ix.
5. Vorrichtung nach Anspruch 3 oder 4, gekennzeichnet durch , eine Ausgestaltung als Switch . 5. Apparatus according to claim 3 or 4, characterized by, an embodiment as a switch.
PCT/EP2005/056963 2005-01-14 2005-12-20 Method and arrangement for the rejection of incoming messages with non-conforming identification information in the connection to port-specific access control WO2006074853A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005001896.3 2005-01-14
DE102005001896 2005-01-14

Publications (1)

Publication Number Publication Date
WO2006074853A1 true WO2006074853A1 (en) 2006-07-20

Family

ID=35997516

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2005/056963 WO2006074853A1 (en) 2005-01-14 2005-12-20 Method and arrangement for the rejection of incoming messages with non-conforming identification information in the connection to port-specific access control

Country Status (1)

Country Link
WO (1) WO2006074853A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032855A1 (en) * 2000-09-08 2002-03-14 Neves Richard Kent Providing secure network access for short-range wireless computing devices
US20030037163A1 (en) * 2001-08-15 2003-02-20 Atsushi Kitada Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider
US20030152035A1 (en) * 2002-02-08 2003-08-14 Pettit Steven A. Creating, modifying and storing service abstractions and role abstractions representing one or more packet rules
EP1424807A1 (en) * 2002-11-26 2004-06-02 Huawei Technologies Co., Ltd. Method for controlling multicast group membership

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032855A1 (en) * 2000-09-08 2002-03-14 Neves Richard Kent Providing secure network access for short-range wireless computing devices
US20030037163A1 (en) * 2001-08-15 2003-02-20 Atsushi Kitada Method and system for enabling layer 2 transmission of IP data frame between user terminal and service provider
US20030152035A1 (en) * 2002-02-08 2003-08-14 Pettit Steven A. Creating, modifying and storing service abstractions and role abstractions representing one or more packet rules
EP1424807A1 (en) * 2002-11-26 2004-06-02 Huawei Technologies Co., Ltd. Method for controlling multicast group membership

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"IEEE Standard for Local and metropolitan area networks - Port-based Network Access Control", IEEE STD 802.1X-2001, 14 June 2001 (2001-06-14), pages I - VIII,1, XP002270244 *

Similar Documents

Publication Publication Date Title
DE69833605T2 (en) Secure virtual LANs
DE602004003518T2 (en) Method and system for legally intercepting packet-switched network services
DE602004010519T2 (en) REMOTE ACCESS VPN TREATMENT PROCESS AND TREATMENT DEVICE
DE60223951T2 (en) System, apparatus and method for SIM based authentication and encryption when accessing a wireless local area network
DE60309652T2 (en) Method of membership management of a multicast group
DE69825801T2 (en) Apparatus and method for enabling equal access control in a network
DE102014224694B4 (en) Network device and network system
DE60209858T2 (en) Method and device for access control of a mobile terminal in a communication network
DE69923942T2 (en) Method and system for wireless mobile servers and peer services with Dynamic DNS Update
DE60315521T2 (en) Intersections of virtual private networks based on certificates
DE602004011783T2 (en) Limited Wi-Fi access for an unknown mobile station
DE60313910T2 (en) Method and recording medium for controlling network access in a wireless environment
DE602004003568T2 (en) Network access control for a terminal connected to a VPN tunnel
DE60206634T2 (en) Method and system for authenticating users in a telecommunication system
EP1365620A1 (en) Method for registration of a communication terminal in a service network (IMS)
DE102006060040B4 (en) Method and server for providing a protected data connection
EP2359545A1 (en) Method for making safety mechanisms available in wireless mesh networks
DE102004022552A1 (en) Device for session-based switching of packets
EP1673921B1 (en) Method for securing the data traffic between a mobile radio network and an ims network
EP1721235B1 (en) Communication system and method for providing a mobile communication service
WO2006074853A1 (en) Method and arrangement for the rejection of incoming messages with non-conforming identification information in the connection to port-specific access control
DE102006040313B3 (en) Local radio network i.e. wireless local area network, configuring method, involves transmitting parameter to install operating channel if terminal supports encoding, and closing transmission channel if terminal does not support encoding
EP1929741B1 (en) Access element and method for controlling access of a network element
EP1776821B1 (en) System and method for a secure log-on to a communications system comprising network connection and connection handling computers
WO2006094858A1 (en) Method and arrangement for controlling access of a network element

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05825326

Country of ref document: EP

Kind code of ref document: A1

WWW Wipo information: withdrawn in national office

Ref document number: 5825326

Country of ref document: EP