ÜBERWACHUNG VON DATENÜBERTRAGUNGEN MONITORING DATA TRANSFER
Gebiet der ErfindungField of the Invention
Die vorliegende Erfindung betrifft die Sicherheit bei netzwerkbasierten Datenübertragungen und insbesondere Sicherheitsaspekte bei Datenübertragungen zwischen wenigstens zwei Netzwer- ken, auch unter Berücksichtigung von Datenübertragungen innerhalb eines Netzwerks, die zur Übertragung in ein anderes Netzwerk vorgesehen sind.The present invention relates to security in network-based data transmissions and in particular security aspects in data transmissions between at least two networks, also taking into account data transmissions within a network which are provided for transmission to another network.
Hintergrund der ErfindungBackground of the Invention
Um die Sicherheit bei Datenübertragungen zwischen zwei Netzwerken zu gewährleisten, werden üblicherweise als sogenannte "Firewalls" bezeichnete Systeme verwendet. Der Begriff "Netzwerk", wie er hier verwendet wird, umfasst einzelne oder mehrere Einheiten umfassende Anordnungen, beispielsweise in Form von Rechnersystemen, von und zu denen Daten übertragen werden können. Beispiele hierfür sind das Internet, Intranets, einzelne, beispielsweise als Personal-Computer ausgeführte Rechnereinheiten umfassende Anordnungen mit Einrichtungen oder damit verbundenen Vorrichtungen für Datenübertragungen zu und von anderen Systemen und dergleichen.In order to ensure the security of data transfers between two networks, systems known as "firewalls" are usually used. The term "network" as used here encompasses arrangements comprising single or multiple units, for example in the form of computer systems, from and to which data can be transmitted. Examples of this are the Internet, intranets, individual arrangements comprising computer units, for example designed as personal computers, with devices or associated devices for data transmissions to and from other systems and the like.
Eine Firewall dient im Wesentlichen dazu, nicht erwünschte, unzulässige Datenübertragungen von einem Netzwerk zu einem anderen Netzwerk zu verhindern. Im Allgemeinen schützt eine Firewall ein Netzwerk auch vor unerlaubten Zugriffen aus einem anderen Netzwerk, wobei hierfür üblicherweise für einen Zugriff erforderliche und/oder einen Zugriff einleitende Datenübertragungen aus einem anderen Netzwerk verhindert werden, wenn sie zu einem unerlaubten Zugriff führen würden.A firewall essentially serves to prevent undesired, impermissible data transfers from one network to another network. In general, a firewall also protects a network against unauthorized access from another network, whereby data transmissions from another network which are usually required for access and / or which initiate access are prevented if they would lead to unauthorized access.
Um unerwünschte, unerlaubte Datenübertragungen und Zugriffe zu verhindern und erwünschte, erlaubte Datenübertragungen und Zugriffe zuzulassen, verwendet eine Firewall im Allgemeinen eine sogenannte Paketfilterung. Bei netzwerkbasierten Datenübertagungen werden Daten im Allgemeinen paketweise übertragen, wobei die Pakete Informationen umfassen, die beispiels- weise die Quelle der zu übertragenden Daten, das Ziel, zu dem die Daten übertragen werden sollen, zur Erstellung der zu übertragenden Daten verwendete Protokolle (z.B. Protokolle zur Erstellung von Textdokumenten, Grafikdokumenten, Video/Audio-Dokumente, ausführbaren Softwarecodes, beispielsweise in Form von Softwareprogrammen, und dergleichen) etc. Bei
einer Paketfilterung werden Regeln definiert, die beispielsweise Datenübertragungen von bestimmten Quellen und/oder zu bestimmten Zielen verhindern sollen. Gemäß solcher Regeln verhindert eine Firewall Datenübertragungen von einem Netzwerk zu einem anderen Netzwerk oder lässt solche zu. Da bei einer Paketfilterung zu übertragende Daten zumeist nicht selbst überprüft werden, ist es üblich, Filterregeln zu definieren, die eine Klassifizierung von Dateninhalten beispielsweise auf der Grundlage von bei der Erstellung zu übertragender Daten verwendeter Protokolle, zulassen. Auf diese Weise ist es beispielsweise möglich, mittels einer Firewall Datenübertragungen von Textdaten zuzulassen, während Daten, die einen ausführbaren Code oder Bilddaten umfassen, nicht übertragen werden.In order to prevent unwanted, unauthorized data transfers and accesses and to allow desired, permitted data transfers and accesses, a firewall generally uses so-called packet filtering. In the case of network-based data transmissions, data are generally transmitted in packets, the packets comprising information, for example the source of the data to be transmitted, the destination to which the data are to be transmitted, and protocols used to create the data to be transmitted (for example protocols for Creation of text documents, graphic documents, video / audio documents, executable software codes, for example in the form of software programs, and the like) etc. Packet filtering defines rules that are intended to prevent data transfers from certain sources and / or to certain destinations, for example. According to such rules, a firewall prevents or permits data transfers from one network to another network. Since data to be transmitted are usually not checked during packet filtering, it is customary to define filter rules that allow data contents to be classified, for example on the basis of protocols used in the creation of data to be transmitted. In this way it is possible, for example, to allow data transfers of text data by means of a firewall, while data comprising an executable code or image data are not transferred.
Für Datenübertragungen zwischen zwei Netzwerken ist es oftmals erforderlich, in einem Netzwerk einen sogenannten Proxy zu verwenden, der Datenübertragungen von diesem Netzwerk zu einem anderen Netzwerk überhaupt erst ermöglicht. Folglich werden Proxy's oftmals auch als Sicherheitssysteme für Datenübertragungen verwendet. Da ein Proxy eines Rechnersystems, das den Proxy zur Kommunikation mit anderen Netzwerken oder Systemen benötigt, eine Vor- raussetzung für Datenübertragung von und zu diesem Netzwerk darstellt, kann der Proxy auch dazu verwendet werden, nur bestimmte Datenübertragungen zuzulassen bzw. zu verhindern. Beispielsweise ist es möglich, mittels eines Proxy's den Benutzer eines Netzwerks Zugriffe auf bestimmte von einem anderen Netzwerk bereitgestellte Dienste und/oder Daten zu ermöglichen. Hierfür können zum Beispiel im Zusammenhang mit den Diensten und/oder Daten des Netzwerks, auf das zugegriffen werden soll, verwendete Protokolle zugrundegelegt werden. Beispiele hierfür sind sogenannte HTTP-Proxy's und FTP-Proxy's, die lediglich Datenübertragungen gemäß HTTP bzw. FTP zulassen. Des Weiteren ist es bekannt, mittels eines Proxy's für einen Virenschutz bei Datenübertragungen zu sorgen.For data transfers between two networks, it is often necessary to use a so-called proxy in a network, which enables data transfers from this network to another network in the first place. As a result, proxies are often used as security systems for data transmission. Since a proxy of a computer system that requires the proxy to communicate with other networks or systems is a prerequisite for data transmission to and from this network, the proxy can also be used to only allow or prevent certain data transmissions. For example, it is possible to enable the users of a network to access certain services and / or data provided by another network by means of a proxy. For this purpose, for example, protocols used in connection with the services and / or data of the network to be accessed can be used. Examples of this are so-called HTTP proxies and FTP proxies, which only allow data transfers according to HTTP or FTP. It is also known to provide virus protection for data transmissions by means of a proxy.
Eine Firewall oder ein Proxy gewährleisten nicht, dass unerwünschte, nicht zulässige Datenübertragungen stattfinden. Um einen solchen, im Folgenden als Angriff bezeichneten Vorgang zu erkennen, ist es bekannt sogenannte "Intrusion Detection" Systeme (IDS) zu verwenden. Die Aufgabe eines IDS 's besteht im Wesentlichen darin, die Verletzung von Sicherheitsbestimmung bzw. -anforderungen zu erkennen und entsprechende Gegenmaßnahmen einzuleiten. Um einen Angriff erkennen zu können, ist es erforderlich, dass ein IDS mit Informationen zu versehen ist, die angeben, woran ein Angriff zu erkennen ist. Üblicherweise setzen unberechtigte Dritte bestimmte, sich oftmals wiederholende Techniken ein, um einen Angriff durchzuführen. Das heißt, Angriffe auf ein Netzwerk erfolgen nach Mustern, die auf diesem Gebiet als Signaturen bezeichnet werden. Derartige Signaturen umfassen TCP-Port Scans, UDP-Port Scans, IP- Pakete mit falschen Parametern, tunneln, einkapseln, überfluten und dergleichen. Da diese Signaturen auf dem Gebiet bekannt sind, wird an dieser Stelle auf eine nähere Beschreibung verzichtet.
Auch wenn die zuvor genannten Systeme für eine gewisse Sicherheit bei Datenübertragungen sorgen, gibt es grundlegende Probleme, die die Sicherheit wesentlich beeinträchtigen. So werden beispielsweise sogenannte Log-Dateien erstellt, die einzelne Datenübertragungsvorgänge protokollieren. Im Allgemeinen wären in solchen Log-Dateien alle Datenübertragungsvorgänge aufgezeichnet, was es für einen Systemadministrator nahe zu unmöglich macht, bei einer Vielzahl von Datenübertragungsvorgängen diejenigen zu identifizieren, die einen Angriff auf ein Netzwerk darstellen. Des Weiteren ist es für einen Angreifer möglich, eine Log-Datei zu verändern, um einen Angriff zu verschleiern.A firewall or a proxy do not guarantee that unwanted, impermissible data transfers take place. In order to recognize such a process, referred to below as an attack, it is known to use so-called "intrusion detection" systems (IDS). The main task of an IDS is to identify the violation of security regulations or requirements and to initiate appropriate countermeasures. In order to be able to identify an attack, an IDS must be provided with information that indicates how an attack can be identified. Typically, unauthorized third parties use certain, often repetitive, techniques to launch an attack. This means that attacks on a network take place according to patterns that are referred to as signatures in this area. Such signatures include TCP port scans, UDP port scans, IP packets with incorrect parameters, tunneling, encapsulating, flooding and the like. Since these signatures are known in the field, no further description is given here. Even if the systems mentioned above provide a certain level of security for data transfers, there are fundamental problems that significantly affect security. For example, so-called log files are created that log individual data transmission processes. In general, all data transfers would be recorded in such log files, making it almost impossible for a system administrator to identify, in a large number of data transfers, those which represent an attack on a network. Furthermore, it is possible for an attacker to change a log file to disguise an attack.
Des Weiteren ist es bei den zuvor genannten, bekannten Sicherheitssystemen nicht gewährleistet, dass die jeweiligen definierten Sicherheitsbestimmungen bzw. -regeln ab wann eine Datenübertragung zu verhindern ist und wann nicht, nicht abschließend vorab definiert werden können. Es ist zwar möglich, Charakteristika bekannter Angriffsverfahren zu definieren und dem- entsprechende Sicherheitsüberwachungsregeln aufzustellen. Diese Vorgehensweise greift aber nicht, wenn ein Angreifer eine einem den Sicherheitssystemen nicht bekannten Angriffsvorgang durchführt.Furthermore, in the case of the known security systems mentioned above, it is not guaranteed that the respective defined security regulations or rules, from when a data transmission is to be prevented and when not, cannot be finally defined in advance. It is possible to define characteristics of known attack methods and to set up corresponding security monitoring rules. However, this procedure does not apply if an attacker carries out an attack that is not known to the security systems.
Die genannten Beispiele von Nachteilen bekannter Sicherheitssysteme bei Datenübertragungen zwischen Netzwerken sind lediglich als beispielhaft zu verstehen. Da die Probleme und Nach- teile bekannter Sicherheitssysteme, zur Kontrolle von Datenübertragungen zwischen Netzwerken, auf dem Gebiet gut bekannt sind, wird an dieser Stelle auf eine nähere Diskussion verzichtet.The examples mentioned of disadvantages of known security systems in data transmissions between networks are only to be understood as examples. Since the problems and disadvantages of known security systems for controlling data transfers between networks are well known in the field, no further discussion is given here.
Aufgabe der ErfindungObject of the invention
Die Aufgabe der vorliegenden Erfindung besteht im Allgemeinen darin, Nachteile bekannter Sicherheitsmaßnahmen und -verfahren bei Datenübertragungen, insbesondere'zwischen Netzwerken, zu beseitigen. Im Speziellen soll es die vorhegende Erfindung ermöglichen, die bei bekannten, als Firewall, Proxy und LOS bezeichneten Sicherheitssystemen existierende Nachteile vermeiden, um die Sicherheit bei Datenübertragungen zwischen Netzwerken zu erhöhen und darüber hinaus für anwendungsspezifische, individuelle und benutzerfreundliche Sicherheitslösungen zu sorgen.The object of the present invention is generally to eliminate disadvantages of known security measures and methods in data transmissions, in particular between networks. In particular, the present invention is intended to make it possible to avoid the disadvantages existing in known security systems, known as firewalls, proxy and LOS, in order to increase the security in data transmissions between networks and, moreover, to provide application-specific, individual and user-friendly security solutions.
Kurzbeschreibung der ErfindungBrief description of the invention
Der der zur Lösung der genannten Aufgabe zugrundeliegende Ansatz der vorliegenden Erfindung besteht im Allgemeinen darin, Systeme zur Überwachung, Kontrolle und Analyse von Datenübertragungen zwischen Netzwerken in einer Weise gemeinsam zu verwenden, die es erlaubt, die einzelnen Sicherheitsmaßnahmen unterschiedlicher Systeme sowie deren eigene Sy-
stemsicherheit zu erhöhen und andererseits Sicherheitsmaßnahmen unterschiedlicher Systeme so zu kombinieren und Synergieeffekte zu nutzen, dass die Sicherheit insgesamt erhöht wird und auch, vorzugsweise laufend, angepasst werden kann. Insbesondere erlaubt es die vorhegende Erfindung, einzelne Sicherheitssysteme in Abhängigkeit von einander und unter Berücksichti- gung von Sicherheitsmaßnahmen, Datenüberwachungsergebnissen (z.B. in Form von entsprechenden Protokollen) und dergleichen einzelner Sicherheitssysteme an die aktuell gewünschten und erforderlichen Sicherheitsanforderungen anzupassen.The approach of the present invention on which the stated object is based is generally to use systems for monitoring, controlling and analyzing data transmissions between networks in a manner which allows the individual security measures of different systems and their own systems to be used. to increase safety and, on the other hand, to combine security measures of different systems and to use synergy effects so that overall security is increased and can also be adapted, preferably continuously. In particular, the present invention allows individual security systems to be adapted to the currently desired and required security requirements as a function of one another and taking security measures, data monitoring results (for example in the form of corresponding protocols) and the like of individual security systems.
Hinsichtlich der Sicherheit von Sicherheitssystemen an sich verfolgt die vorliegende Erfindung den Ansatz, einzelne Sicherheitssysteme so auszuführen, dass sie im Wesentlichen nur die Mittel (z.B. Hardware und Software) aufweisen, die für ihren vorgesehenen Betrieb unmittelbar erforderlich sind. So ist es beispielsweise gemäß der vorliegenden Erfindung vorgesehen, dass zur Inbetriebnahme ("Booten") und zum eigentlichen Betrieb erforderliche Daten nicht in einzelnen Sicherheitsvorrichtungen lokal gespeichert, sondern zentral bereitgestellt werden. Des Wei- teren ist es erfindungsgemäß vorgesehen, dass zum Betrieb erforderliche Softwareprogramme, beispielsweise in Form von Betriebssystemen, auf ein zum eigentlichen Betrieb erforderliches Mindestmaß reduziert sind. Darüber hinaus lehrt die folgende Erfindung, Daten und Informationen, die von einzelnen Sicherheitssystemen hinsichtlich von Datenübertragungen durch Netzwerke ermittelt erzeugt werden, nicht in den entsprechenden Sicherheitssystemen lokal vorzu- halten, sondern zentral zu protokollieren. Hierbei kann eine mit einer Datenbank vergleichbare Einheit verwendet werden.With regard to the security of security systems per se, the present invention takes the approach of implementing individual security systems in such a way that they essentially only have the means (e.g. hardware and software) that are directly required for their intended operation. For example, according to the present invention, it is provided that the data required for commissioning ("booting") and for actual operation are not stored locally in individual safety devices, but are provided centrally. Furthermore, the invention provides that software programs required for operation, for example in the form of operating systems, are reduced to a minimum required for actual operation. In addition, the following invention teaches that data and information that are generated by individual security systems with regard to data transmissions through networks are not stored locally in the corresponding security systems, but rather are logged centrally. A unit comparable to a database can be used here.
Zur Umsetzung des der vorliegenden Erfindung zugrundeliegenden Ansatzes, werden, wie in den Ansprüchen definiert, einzelne Sicherheitssysteme bereitgestellt, die, in Abhängigkeit ihrer Aufgabe, hinsichtlich der Sicherheit von Datenübertragungen zwischen Netzwerken erfindungsgemäß ausgeführt sind. Zum Aufbau eines erfindungsgemäßen Gesamtsicherheitssystems können einzelne oder mehrere erfindungsgemäße Sicherheitssysteme verwendet werden. Alternativ ist es möglich, ein vorhandenes Gesamtsicherheitssystem so zu modifizieren, dass es insgesamt oder wenigstens hinsichtlich sicherheitsrelevanter Komponenten erfindungsgemäß ar- beitet. Entsprechendes gilt für die in den Ansprüchen definierten, erfindungsgemäßen Verfahren.To implement the approach on which the present invention is based, as defined in the claims, individual security systems are provided which, depending on their task, are designed according to the invention with regard to the security of data transmissions between networks. To build an overall security system according to the invention, one or more security systems according to the invention can be used. Alternatively, it is possible to modify an existing overall security system so that it works according to the invention as a whole or at least with regard to security-relevant components. The same applies to the inventive method defined in the claims.
Insbesondere stellt die vorliegende Erfindung ein Überwachungssystem gemäß Anspruch 1, ein Datentypenkontrollsystem gemäß Anspruch 17, ein Dateninhaltskontrollsystem gemäß An- sprach 26, ein Datenübertragungskontrollsystem gemäß Anspruch 34, ein Steuerungssystem gemäß Anspruch 43 und eine Sicherheitsumgebung gemäß Anspruch 51 für netzwerkbasierte Datenübertragungen bereit.In particular, the present invention provides a monitoring system according to claim 1, a data type control system according to claim 17, a data content control system according to claim 26, a data transfer control system according to claim 34, a control system according to claim 43 and a security environment according to claim 51 for network-based data transfers.
Hierbei werden von den unten aufgeführten Begriffen jeweils folgendes umfasst:
Rechnersystem: Einzelne Rechnersysteme, Personal Computer, Rechnercluster, Rechnernetzwerk, etc.The terms listed below include the following: Computer system: individual computer systems, personal computers, computer clusters, computer network, etc.
Netzwerk: vernetzte Datenverbindungen, Kommunikationssysteme, Rechnersysteme, Router, Knoten, etc; das Internet; Verbindungen zwischen wenigstens zwei Netzwerken; etc.Network: networked data connections, communication systems, computer systems, routers, nodes, etc; the Internet; Connections between at least two networks; Etc.
Datenübertragungen charakterisieren Daten: Sicherheitsprotokolle, Log-Dateien, Scripts, Verbindungsdaten, Kontrollinformationen, Kommunikationsanfragen, etc.Data transfers characterize data: security protocols, log files, scripts, connection data, control information, communication requests, etc.
Sicherheitsanforderungen: Definitionen von zulässigen Datenübertragungen, Dateitypen, Übertragungszeiten, Übertragungsraten, Datenquellen, Dateninhalten, Übertragungszielen, Verbindungsbestätigungen, Kontrolle von Verbindungen, Datenziele, Datenquellen, etc.Security requirements: Definitions of permitted data transfers, file types, transfer times, transfer rates, data sources, data contents, transfer destinations, connection confirmations, control of connections, data targets, data sources, etc.
Speichereinheit: nicht flüchtige Speicher, Festplatten, Streamer, Datenbanken, Hautspeicher, Caches, Speichermedien, etc.Storage unit: non-volatile storage, hard drives, streamers, databases, skin storage, caches, storage media, etc.
Speicheruntereinheit: siehe SpeichereinheitStorage subunit: see storage unit
unterschiedliche Sicherheitszustände charakterisierende Angaben: Daten, die Angriffe, Angriffsversuche, Einbrüche und dergleichen angeben; Angriffsmuster, Signaturen; etc.information characterizing different security states: data indicating attacks, attempted attacks, break-ins and the like; Attack patterns, signatures; Etc.
Eingabeeinheit: Tastatur, Maus, Mikrophon, Datenschnittstellen, (ISDN-Karten, Modems), Scanner, Zeicheneingabegeräte, Lichtgriffel, etc.Input unit: keyboard, mouse, microphone, data interfaces, (ISDN cards, modems), scanners, character input devices, light pens, etc.
Anweisungen zur Steuerung des Betriebs eines Systems durch einen Benutzer: Softwarecode, Eingabe einzelner/mehrer Befehle, Interaktive Benutzung eines Steuerungsprogramms, etc.
Schnittstelleneinheit: Modems, Netzwerkkarten, Literfacegeräte- und Einrichtungen, etc.Instructions for controlling the operation of a system by a user: software code, input of single / multiple commands, interactive use of a control program, etc. Interface unit: modems, network cards, liter face devices and devices, etc.
Betriebsdaten: Betriebssoftware, Softwarecode(teile), Betriebssy- stem(teile), Parameter für Software und Hardware, Scripts, Datenbankaufbau, Datenbankinhalte, Datenbanksteuerung, Treiber, Prozessdaten, Prozesssteuerung, Protokolle, Anwender- und Anwendungsdaten, etc.Operating data: operating software, software code (parts), operating system (parts), parameters for software and hardware, scripts, database structure, database contents, database control, drivers, process data, process control, protocols, user and application data, etc.
Sicherheitsanforderungen charakterisierende Sicherheitsanforderungsdaten: Daten, die Sicherheitsanforderungen (s.o.) definierenSecurity requirement data characterizing security requirements: Data which define security requirements (see above)
Des Weiteren stellt die vorliegende Erfindung Verfahren gemäß den Ansprüchen ... bereit, die vorzugsweise zum Betrieb der zuvor genannten Systeme bzw. der zuvor genannten Sicherheitsumgebung verwendet werden.Furthermore, the present invention provides methods according to claims ... which are preferably used to operate the aforementioned systems or the aforementioned security environment.
Darüber hinaus stellt die vorliegende Erfindung Softwareprodukte gemäß den Ansprüchen ... bereit, die die Durchführung einzelner oder mehrerer Schritte einzelner oder mehrer erfindungsgemäßer Verfahren ermöglichen.In addition, the present invention provides software products according to claims ..., which enable the implementation of individual or multiple steps of individual or multiple methods according to the invention.
Weitere Merkmale und Vorteile der vorliegenden Erfindung ergeben sich jeweils aus entsprechenden, von den oben genannten Ansprüchen abhängigen Ansprüchen.Further features and advantages of the present invention each result from corresponding claims which are dependent on the above-mentioned claims.
Kurzbeschreibung der ZeichnungenBrief description of the drawings
Bei der folgenden Beschreibung bevorzugter Ausführungsformen der vorliegenden Erfindung wird auf die beigefügten Figuren Bezug genommen, von denen zeigen:In the following description of preferred embodiments of the present invention, reference is made to the accompanying figures, in which:
Fig. 1 eine schematische Darstellung einer erfindungsgemäßen Sicherheitsumgebung,1 is a schematic representation of a security environment according to the invention,
Fig. 2 eine schematische Darstellung eines erfindungsgemäßen Datentypenkontrollsy- stems,2 shows a schematic illustration of a data type control system according to the invention,
Fig. 3 eine schematische Darstellung eines erfindungsgemäßen Dateninhaltskontrollsy- stems,
Fig. 4 eine schematische Darstellung eines erfindungsgemäßen Datenübertragungskontrollsystems,3 shows a schematic illustration of a data content control system according to the invention, 4 shows a schematic illustration of a data transmission control system according to the invention,
Fig. 5 eine schematische Darstellung eines erfindungsgemäßen Überwachungssystems,5 shows a schematic illustration of a monitoring system according to the invention,
Fig. 6 bis 15 schematische Darstellungen unterschiedlicher Ansichten erfindungsgemäßer graphischer Benutzungsschnittstellen, und6 to 15 are schematic representations of different views of graphical user interfaces according to the invention, and
Fig. 16 eine schematische Darstellung eines erfindungsgemäßen Steuerungssystems.16 shows a schematic illustration of a control system according to the invention.
Beschreibung bevorzugter AusführungsformenDescription of preferred embodiments
Wie in Fig. 1 schematisch dargestellt, wird eine Sicherheitsumgebung SU für Datenübertragun- gen zwischen einem ersten Netzwerk NWl und einem zweiten Netzwerk NW2 verwendet. Datenübertragungen können sowohl von dem Netzwerk NWl zu dem Netzwerk NW2 als auch in umgekehrter Richtung erfolgen. Zu beachten ist hierbei allerdings, dass dabei, wie aus dem Folgenden ersichtlich, keine unmittelbare Datenverbindung zwischen den Netzwerken NWl und NW2 besteht.As shown schematically in FIG. 1, a security environment SU is used for data transmissions between a first network NW1 and a second network NW2. Data transfers can take place both from the network NW1 to the network NW2 and in the reverse direction. It should be noted, however, that, as can be seen from the following, there is no direct data connection between the networks NW1 and NW2.
Im Folgenden wird, ohne damit eine Einschränkung zu beabsichtigen, angenommen, dass das erste Netzwerk NWl ein als Intranet ausgeführtes Netzwerk ist. Neben einem für das erste Netzwerk NWl verwendeten Router Rl umfasst das erste Netzwerk NWl mehrere als Client CL1, ... CLn bezeichnete Rechnervorrichtungen. Datenübertragungen von und zu den Client's CL1, ..., CLn erfolgen hinsichtlich des zweiten Netzwerks NW2 über den Router Rl. Datenübertragungen zwischen den Client's CL1, ..., CLn erfolgt innerhalb des ersten Netzwerkes NWl über die in dieser Figur nicht bezeichneten Erfindung zwischen den" Client's CL1, ... , CLn.In the following, it is assumed, without intending any restriction, that the first network NW1 is an intranet network. In addition to a router R1 used for the first network NW1, the first network NW1 comprises a plurality of computer devices referred to as clients CL1, ... CLn. Data transfers from and to the clients CL1, ..., CLn take place with respect to the second network NW2 via the router R1. Data transfers between the clients CL1, ..., CLn takes place within the first network NW1 via the invention not shown in this figure between the "clients CL1, ..., CLn.
Des Weiteren wird im Folgenden angenommen, dass das zweite Netzwerk NW2 das Internet ist, wobei für Datenübertragungen von und zu dem zweiten Netzwerk NW" ein Router R2 vorgesehen ist.Furthermore, it is assumed below that the second network NW2 is the Internet, a router R2 being provided for data transmissions from and to the second network NW ".
Abweichend von Figur 1 ist es möglich, dass der Router Rl und/oder Router R2 in die Sicher- heitsumgebung SU als Komponente derselben integriert ist (sind).Deviating from FIG. 1, it is possible that the router R1 and / or router R2 is (are) integrated in the security environment SU as a component thereof.
Daten, die von dem zweiten Netzwerk NW2 zu dem ersten Netzwerk NWl übertragen werden sollen, werden, von dem Router R2 zu einem Datentypenkontrollsystem FW übertragen.Data to be transmitted from the second network NW2 to the first network NW1 is transmitted from the router R2 to a data type control system FW.
Das Datentypenkontrollsystem FW dient u.a. zur Paketfilterung von für Datenübertragungen
aus dem zweiten Netzwerk NW2 verwendeten Datenpaketen. Daher kann das Datentypenkontrollsystem FW in dieser Hinsicht mit einer Firewall verglichen werden.The FW data type control system is used, among other things, for packet filtering for data transmissions data packets used from the second network NW2. Therefore, the data type control system FW can be compared to a firewall in this regard.
Ein mit dem Datenkontrollsystem FW zusammenarbeitendes Dateninhaltskontrollsystem PROXY gilt als Stellvertreter-Server für Netzwerkdienste und/oder -Protokolle wie z.B. HTTP, HTTPS, DNS, SMTP, FTP und dergleichen. Daher kann das Dateninhaltskontrollsystem PROXY in dieser Hinsicht mit einem Proxy-Server verglichen werden. Des Weiteren dient das Dateninhaltskontrollsystem PROXY dazu, LP-Datenströme zu trennen, über das Datentypenkontrollsystem FW übertragene Daten inhaltlich zu kontrollieren (z.B. hinsichtlich pornografi- scher Inhalte), Virenschutz bereitzustellen hinsichtlich von Datenübertragungen von und zu dem zweiten Netzwerk NW2 durchgeführte Aktivitäten zu protokollieren und dergleichen. Nach außen, d.h. seitens des zweiten Netzwerks NW2 ist lediglich die LP-Adresse des außenhegenden Routers R2 erkennbar. Das Dateninhaltskontrollsystem PROXY verrichtet, aus Sicht des zweiten Netzwerks NW2, seine Dienste anonym. Dies kann auch hinsichtlich des ersten Netzwerks NWl zutreffen.A PROXY data content control system that works with the FW data control system is considered a proxy server for network services and / or protocols such as HTTP, HTTPS, DNS, SMTP, FTP and the like. Therefore, the PROXY data content control system can be compared to a proxy server in this regard. Furthermore, the PROXY data content control system is used to separate LP data streams, to control the content of data transmitted via the data type control system FW (for example with regard to pornographic content), to provide virus protection with regard to logging activities carried out with regard to data transmissions from and to the second network NW2 and the like , To the outside, i.e. The second network NW2 only recognizes the LP address of the external router R2. From the point of view of the second network NW2, the PROXY data content control system performs its services anonymously. This can also apply to the first network NW1.
Ein von der Sicherheitsumgebung SU umfasstes Datenübertragungsanalysesystem IDS, das mit dem Datentypenkontrollsystem FW und dem Dateninhaltskontrollsystem PROXY zusammenarbeitet, dient zur Erkennung von bei unerlaubten Zugriffen bzw. Angriffen aus dem zweiten Netzwerk NW2 auf das erste Netzwerk NWl verwendete Angriffsmuster oder Signaturen zu erkennen. In dieser Hinsicht ist das Datenübertragungsanalysesystem LDS mit einem bekannten Intrusion Detection System vergleichbar.A data transmission analysis system IDS, which is included in the security environment SU and which works together with the data type control system FW and the data content control system PROXY, serves to identify attack patterns or signatures used in the case of unauthorized access or attacks from the second network NW2 to the first network NW1. In this regard, the LDS data transmission analysis system is comparable to a known intrusion detection system.
Mittels eines Überwachungssystems AS werden Protokolleinträge der Datentypenkontroll-, In- haltskontroll- und Datenübertragungsanalysesysteme FW, PROXY, IDS, beispielsweise in Form von Log-Dateien, empfangen und gespeichert. Hierfür verwendet das Überwachungssystem AS eine in dieser Figur lediglich beispielhaft als baueinheitlich integriert dargestellte Datenbank, in der eine Protokollierung von Daten und/oder Informationen hinsichtlich von Datenübertragung protokolliert werden. Eine solche, unter anderem auch vom Gesetzgeber geforderte Protokollierung umfasst Angriffe/Einbrüche und Einbruchs/ Angriffs-Versuche, Datenübertragungen zu dem ersten Netzwerk NWl sowie von diesem über die Sicherheitsumgebung SU in ein anderes Netzwerk, beispielsweise das zweite Netzwerk NW2 und dergleichen.Using a monitoring system AS, log entries of the data type control, content control and data transmission analysis systems FW, PROXY, IDS, for example in the form of log files, are received and stored. For this purpose, the monitoring system AS uses a database, which is shown in this figure merely as an integrated unit, in which a logging of data and / or information relating to data transmission is logged. Such logging, which is also required by law, includes attacks / intrusions and intrusion / attack attempts, data transmissions to the first network NW1 and from there via the security environment SU to another network, for example the second network NW2 and the like.
Aufgrund seiner Aufgabe kann das Überwachungssystem AS auch als Audi-Server bezeichnet werden. Das Überwachungssystem AS kommuniziert mit den zuvor genannten System FW, PROXY und LDS über ein internes Bussystem BUS-INT oder eine damit vergleichbare Kommunikationsverbindung, das z.B. als Kommunikationsnetzwerk ausgeführt sein kann. Das interne Bussystem BUS-INT ist physikalisch von Kommunikationsverbindungen, beispielsweise in Form von Bussen, Kabeln und dergleichen, die für Datenübertragungen zwischen den Netz-
werken NWl und NW2 bzw. den Routern Rl und R2 verwendet werden, physikalisch getrennt.Because of its task, the monitoring system AS can also be referred to as an Audi server. The monitoring system AS communicates with the aforementioned systems FW, PROXY and LDS via an internal bus system BUS-INT or a comparable communication connection, which can be implemented as a communication network, for example. The internal bus system BUS-INT is physically composed of communication connections, for example in the form of buses, cables and the like, which are used for data transfers between the network works NW1 and NW2 or the routers R1 and R2 are used, physically separated.
Die zentrale Verwaltung und Steuerung der zuvor genannten Systeme der Sicherheitsumgebung SU erfolgt mittels eines Steuerungssystems BM. Dementsprechend kann das Steuerungssystem BM auch als Boot- und Managementserver für die Sicherheitsumgebung SU bezeichnet werden. Auch das Steuerungssystem BM kommuniziert innerhalb der Sicherheitsumgebung SU über das interne Bussystem BUS-INT mit den anderen Komponenten.The central administration and control of the aforementioned systems of the security environment SU is carried out by means of a control system BM. Accordingly, the control system BM can also be referred to as a boot and management server for the security environment SU. The control system BM also communicates with the other components within the safety environment SU via the internal bus system BUS-INT.
Zur Erhöhung der Sicherheit kann, wie in Figur 1 veranschaulicht die Sicherheitsumgebung SU wenigstens teilweise redundant ausgeführt sein. Beispielsweise können zwei Datentypenkon- trollsysteme, zwei Dateninhaltskontrollsysteme, zwei verwendet werden. Auch die für interne Kommunikationszwecke verwendeten Kommunikationsverbindungen innerhalb der Sicherheitsumgebung SU können mittels zweier interner Bussysteme redundant ausgeführt sein. Mittels der jeweils zweier Router für anstelle der Router Rl und R2 kann die Sicherheitsumgebung SU auch in dieser Hinsicht redundant ausgeführt werden.To increase security, as illustrated in FIG. 1, the security environment SU can be at least partially redundant. For example, two data type control systems, two data content control systems, two can be used. The communication connections used for internal communication purposes within the security environment SU can also be designed redundantly by means of two internal bus systems. In this respect, the security environment SU can also be designed redundantly by means of the two routers for instead of the routers R1 and R2.
Im Folgenden werden die einzelnen Komponenten einer Sicherheitsumgebung SU hinsichtlich ihres Aufbaus, ihres Betriebs und Ihres Zusammenwirkens detaillierter beschrieben. Dabei wird auf die nicht redundant ausgeführte Sicherheitsumgebung SU gemäß Figur 1 Bezug genommen, wobei die folgenden Ausführungen entsprechend für zwei- oder mehrfach ausgeführten Sicherheitsumgebungen entsprechend gelten.The individual components of a safety environment SU are described in more detail below with regard to their structure, their operation and their interaction. In this context, reference is made to the non-redundant security environment SU according to FIG. 1, the following explanations correspondingly applying to security environments which are implemented twice or more.
DATENTYPENKONTROLLSYSTEM ("Firewall"DATA TYPE CONTROL SYSTEM ("Firewall"
Das Datentypenkontrollsystem FW kontrolliert Datenströme zwischen dem zweiten Netzwerk NW2 und dem ersten Netzwerk NWl. Hierbei werden Datenpakete mit bestimmten Datentypen (z.B. Realaudio) und Datenpakete, die nicht identifiziert werden können standardmäßig nicht weitergeleitet. Diese sind dann auch nicht zu kontrollieren. Allerdings werden die Datenpakte protokolliert und zur Analyse, insbesondere hinsichtlich einer Angriffserkennung, verwendet. Ein vollständiges Blockieren von Daten ist ebenfalls möglich. Das Datentypenkontrollsystem FW lässt nur solche Datenpakete durch, deren Herkunft, deren Inhalt und deren Ziel vorgegebenen Regeln entsprechend.The data type control system FW controls data flows between the second network NW2 and the first network NW1. By default, data packets with certain data types (e.g. real audio) and data packets that cannot be identified are not forwarded. Then these are not to be checked. However, the data packets are logged and used for analysis, especially with regard to attack detection. A complete blocking of data is also possible. The FW data type control system only allows data packets whose origin, content and destination correspond to specified rules.
Das Datentypenkontrollsystem FW ist mit einer Verkehrsampel vergleichbar. Die Ampel steuert lediglich den Verkehrsfluss, kontrolliert aber nicht den Inhalt der Wagen (hier Daten). Das bewerkstelligt das Datentypenkontrollsystem FW ebenfalls nicht, da dann der Verkehrsfluss (Datenübertragungen) nicht mehr möglich wäre. Eine Inhaltskontrolle bei Datenübertragungen erfolgt hier mittels des Dateninhaltskontrollsystems PROXY und des
Datenübertragungsanalysesystems LDS .The FW data type control system is comparable to a traffic light. The traffic light only controls the flow of traffic, but does not control the content of the wagons (here data). The FW data type control system does not do this either, since the traffic flow (data transmission) would then no longer be possible. A content control during data transmissions takes place here using the data content control system PROXY and the LDS data transmission analysis system.
Wie in Fig. 2 dargestellt, umfasst das Datentypenkontrollsystem FW ein Rechnersystem FW- RS (z.B. mit einer einzenlen CPU (800 MHz, 512 MB), zwei externen NIC 's, einem internen "Boot"- NIC, einem internen "Proxy"- NIC). Hierbei sind Datenübertragungsgeschwindigkeiten von 2 Mbit bis 2 Gbit (Glasfaserverkabelung) vorgesehen.As shown in FIG. 2, the data type control system FW comprises a computer system FW-RS (for example with a single CPU (800 MHz, 512 MB), two external NICs, an internal "boot" - NIC, an internal "proxy" - NIC). Data transmission speeds of 2 Mbit to 2 Gbit (fiber optic cabling) are provided.
Als Betriebssystem wird für das Datentypenkontrollsystem FW ein spezieller, sehr kleiner Unixkernel verwendet, bei dem nahezu alle nicht unbedingt erforderlichen Services entfernt sind. In erste Line wird nur ein Netzwerkartentreiber unterstützt. Wie unten ausgeführt, ist im Allgemeinen auch keine Unterstützung für Wiedergabe- und Eingabeeinheiten (z.B. Monitor, Maus, Tastatur etc.) vorgesehen. Dadurch wird der Kernel sehr schnell und sehr stabil und kann schnell aktualisiert werden ("Update"). Des weiteren kann der Kernel auch keinen fremden Code (z.B. bei einem Angriff) ausführen, da der Kernel hierfür keine Services vorhält. Viel- mehr werden nur bekannte Soft- und Hardware unterstützt. Die daraus resultierende Inflexibilität des Datentypenkontrollsystems FW führt zu einer erhöhten Sicherheit.A special, very small Unix kernel is used as the operating system for the data type control system FW, from which almost all services that are not absolutely necessary are removed. Only one network type driver is supported in the first line. As explained below, support for playback and input units (e.g. monitor, mouse, keyboard etc.) is generally not provided. This makes the kernel very fast and very stable and can be updated quickly ("update"). Furthermore, the kernel cannot execute any foreign code (e.g. in the event of an attack), since the kernel does not provide any services for this. Rather, only known software and hardware are supported. The resulting inflexibility of the data type control system FW leads to increased security.
Des weiteren kann das Datentypenkontrollsystem FW eine Schnittstelleneinheit FW-LNT umfassen, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstüt- zung des Datentypenkontrollsystems FW z.B. per Telefon. Um zu verhindern, dass auf das Datentypenkontrollsystem FW von einem der Netzwerke NWl und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstellen- einheit FW-LNT so ausgeführt sein, dass nicht über eines dieser Netzwerke NWl und NW2 erreichbar ist. Allerdings ist eine solcher "remote" Zugriff nur mit Genehmigung und Unterstüt- zung eines Benutzers möglich, da die Schnittstelleinheit FW-INT im Normalfall ausgeschaltet. Bei Bedarf muss der Benutzer die Schnittstelleinheit FW-INT aktivieren und einen Zugriff auf das Datentypenkontrollsystem FW zu ermöglichen. Hierfür kann auch die 'Übermittlung eines Passworts erforderlich sein. Zur Kontrolle werden solch Vorgänge ebenfalls mittels des Überwachungssystems AS protokolliert. Nach Beendigung wird die Schnittstelleinheit FW-INT wieder deaktiviert, um weiter Zugriffe zu verhindern.Furthermore, the data type control system FW can comprise an interface unit FW-LNT, e.g. in the form of a modem or a computer interface. This allows the FW data type control system to be supported, e.g. via phone. In order to prevent the data type control system FW from being accessed by one of the networks NW1 and NW2, in particular by the network NW2 as an external network, the interface unit FW-LNT can be designed in such a way that NW1 and NW2 is reachable. However, such "remote" access is only possible with the approval and support of a user, since the FW-INT interface unit is normally switched off. If necessary, the user must activate the FW-INT interface unit and enable access to the FW data type control system. This may also require the transmission of a password. For control purposes, such processes are also logged using the monitoring system AS. After completion, the interface unit FW-INT is deactivated again to prevent further access.
Die zentrale Steuerung und Verwaltung des Datentypenkontrollsystems FW erfolgt über das Steuerungssystem BM. Insbesondere kann die Benutzerverwaltung des Datentypenkontrollsystems FW nur lokal an dem Steuerungssystem BM selbst vorgenommen werden. Alternativ ist es auch möglich dies unmittelbar am Datentypenkontrollsystem FW vorzunehmen, wofür zusätzliche Einrichtungen, wie zum Beispiel eine Tastatur, ein Monitor und dergleichen, verwendet werden können. In beiden Fällen ist es erforderlich, unmittelabr zu dem Steuerungssystem BM bzw. dem Datentypenkontrollsystem FW zu gelangen, was schon physiklisch eine unerlaubte Modifikation das Datentypenkontrollsystems FW erschwert. Als
zusätzlliche Sicherheit können weitere Maßnahmen ergriffen werden, wie z.B. eine Erfassung biometrischer Daten ("Fingerabdruck") und Eingabe von Pass- oder Codewörtern.The central control and management of the data type control system FW takes place via the control system BM. In particular, the user management of the data type control system FW can only be carried out locally on the control system BM itself. Alternatively, it is also possible to do this directly on the data type control system FW, for which additional devices, such as a keyboard, a monitor and the like, can be used. In both cases, it is necessary to go directly to the control system BM or the data type control system FW, which physically makes an illegal modification of the data type control system FW difficult. As Additional security measures can be taken, such as recording biometric data ("fingerprint") and entering passwords or code words.
Das Datentypenkontrollsystem FW startet ("booted") vom Steuerungssystem BM aus. Neue Einstellungen, Betriebsmodi, Regel und dergleichen für das Datentypenkontrollsystem FW können mittels des Steuerungssystems BM zentral vorgenommen werden. Eine Besonderheit besteht darin, dass in einem Speicher des Datentypenkontrollsystems FW vorhandene Einstellungen, Betriebsparameter und dergleichen beim Booten nicht benutzt werden. Wie jedes Rechnersystem, ist es auch zum Betrieb des Datentypenkontrollsystems erforderlich, Dateien, Para- meter, Daten, Informationen etc. für ein Betriebssystem des Datentypenkontrollsystems FW zu verwenden, um dieses zu betreiben. So werden beispielsweise Dateien verwendet, in denen Benutzerinformationen, Benutzernamen, Kennworte und dergleichen enthalten sind, die bei einer Kontrolle von Datenübertragungen von dem Datentypenkontrollsystem FW verwendet werden. Diese Dateien können beispielsweise eines Angriffs sein. Hierbei wird versucht, diese Dateien zu modifizieren. Sollte eine Modifikation durch einen Angriff erfolgreich durchgeführt worden sein, ist es weiterhin erforderlich, dass das Datentypenkontrollsystem FW erneut gestartet ("re- booted") wird, um die Änderungen dieser Dateien wirksam werden zu lassen. Bei herkömmlichen als Firewall dienenden Sicherheitssystemen würde dann auf die modifizierte Dateien zurückgegriffen werden, wodurch es einem Angreifer ermöglicht wird, aufgrund der geänderten Kontrollregeln, die Firewall zu überwinden.The data type control system FW starts ("booted") from the control system BM. New settings, operating modes, rules and the like for the data type control system FW can be made centrally by means of the control system BM. A special feature is that existing settings, operating parameters and the like in a memory of the data type control system FW are not used during booting. Like any computer system, it is also necessary to use files, parameters, data, information, etc. for an operating system of the data type control system FW to operate the data type control system. For example, files are used which contain user information, user names, passwords and the like, which are used when data transmissions are checked by the data type control system FW. These files can be an attack, for example. An attempt is made to modify these files. If a modification has been successfully carried out by an attack, it is still necessary for the data type control system FW to be restarted in order for the changes to these files to take effect. In the case of conventional security systems serving as firewalls, the modified files would then be used, whereby an attacker would be able to overcome the firewall due to the changed control rules.
Dies wird bei der Sicherheitsumgebung SU dadurch verhindert, dass die zum Betrieb des Datentypenkontrollsystems FW erförderlichen Informationen nicht lokal gespeichert werden, sondern von den Steuerungssystem BM zur Verfügung gestellt werden. Insbesondere werden zum Betrieb des Datentypenkontrollsystems erforderliche Informationen in einem Speicher des Steuerungssystems BM gespeichert. Beim Booten des Datentypenkontrollsystems FW wird dann auf solche Daten zurückgegriffen. Aufgrund der Verwendung des internen Bussystems BUS-INT, das von für Datenübertragungen zwischen den Netzwerken NWl und NW2 verwendeten Kommunikationsverbindungen physikalisch getrennt ist, ist es einem Angreifer nicht möglich, auf das Steuerungssystem BM und insbesondere auf dessen Speicher zuzugreifen.This is prevented in the security environment SU by the fact that the information required for the operation of the data type control system FW is not stored locally but is made available by the control system BM. In particular, information required for the operation of the data type control system is stored in a memory of the control system BM. Such data is then used when booting the data type control system FW. Due to the use of the internal bus system BUS-INT, which is physically separated from communication connections used for data transmissions between the networks NW1 and NW2, it is not possible for an attacker to access the control system BM and in particular its memory.
Für das Datentypenkontrollsystem werden Regeln oder Regelsätze definiert, gemäß derer Datentypenkontrollsystem FW Datenübertragungen aus dem zweiten Netzwerk NW2 zulässt oder verhindert. Solche Regelsätze definieren, wer von wo wohin welche Daten übertragen und auf welche Daten zugreifen kann. Üblicherweise werden solche Regeln in einer sogenannten flachen Datei gespeichert. Ein Nachteil dieser Vorgehensweise besteht darin, dass der mittels solcher in einer derartigen Datei gespeicherten Regeln definierte Schutz nicht in einzelne Regeln unterteilt werden kann. Dies hat im Allgemeinen zur Folge, dass eine Firewall dienende Sicherheitsvorrichtung nicht von unterschiedlichen Benutzern unterschiedlich administriert werden
kann.Rules or rule sets are defined for the data type control system, according to which the data type control system FW permits or prevents data transfers from the second network NW2. Such rule sets define who can transfer which data from where to where and which data can be accessed. Such rules are usually stored in a so-called flat file. A disadvantage of this procedure is that the protection defined by means of such rules stored in such a file cannot be divided into individual rules. This generally has the consequence that a security device serving as a firewall is not administered differently by different users can.
Dies wird dadurch verhindert, dass zum Betrieb des Datentypenkontrollsystems FW vorgesehene Regelsätze in einer dem Steuerungssystem BM zugeordneten Datenbank vorhanden sind. In dieser Regelsatzdatenbank, die beispielsweise für mehrere Sicherheitsumgebungen SU verfügbar ist, werden einzelne Regeln oder Regelsätze definiert, gemäß derer Datentypenkontrollsy- steme FW Datenübertragungen überwachen bzw. kontrollieren. Des Weiteren ist es vorgesehen, dass den einzelnen Regeln und Regelsätzen der Regelsatzdatenbank Informationen darüber zugeordnet sind, welche Sicherheitsumgebung welche Regeln und/oder Regelsätze verwenden darf. Dies betrifft auch Änderungen von Regeln und Regelsätzen der Regelsatzdatenbank, wie sie im folgenden im Zusammenhang mit Änderungen von Regeln und Regelsätzen für das Datentypenkontrollsystem FW beschrieben ist.This is prevented by the fact that rule sets provided for operating the data type control system FW are present in a database assigned to the control system BM. In this rule set database, which is available, for example, for several security environments SU, individual rules or rule sets are defined, according to which data type control systems FW monitor or control data transfers. Furthermore, it is provided that the individual rules and rule sets of the rule set database are assigned information about which security environment may use which rules and / or rule sets. This also applies to changes to rules and rule sets in the rule set database, as described below in connection with changes to rules and rule sets for the FW data type control system.
Regeln und Regelsätze werden anwendungsspezifisch erstellt. Mittels einer graphischen Benutzungsschnittstelle des Steuerungssystems BM können Regeln und Regelsätze eingegeben werden. Die Regeln und Regelsätze werden im Allgemeinen als sogenannte Scriptdatein von dem Steuerungssystem BM gespeichert. Eine Änderung von Regeln und Reglesätzen kann im Allgemein nicht unmittelbar an dem Datentypenkontrollsystem FW durchgeführt werden.Rules and rule sets are created application-specifically. Rules and rule sets can be entered by means of a graphical user interface of the control system BM. The rules and rule sets are generally stored as so-called script files by the control system BM. A change of rules and rule sets can generally not be carried out directly on the data type control system FW.
Von dem Datentypenkontrollsystem FW erstellte Protokollierungen werden, im Gegensatz zu bekannten Firewalls, ebenfalls nicht lokal gespeichert. Vielmehr werden über das interne Bussystem BUS-INT Protokollinformationen des Datentypenkontrollsystems FW beispielsweise in Form von Log-Dateien, zu dem Überwachungssystem AS übertragen und dort in einer Datenbank zur späteren Verwendung gespeichert. Dies macht es einem Angreifer unmöglich, auf von dem Datentypenkontrollsystem erstellte Protokollierungen zuzugreifen und diese zu verändern. D.h., dass ein Angreifer nicht in der Lage ist, seine "Spuren", d.h. seinen Angriff angebende Protokollierungen, zu verändern oder zu löschen. Es ist vorgesehen, dass die Protokollierung in Echtzeit erfolgt und die Daten verschlüsselt zum Überwachungssystem AS übertragen werden.In contrast to known firewalls, logs created by the FW data type control system are also not saved locally. Rather, the internal bus system BUS-INT transmits protocol information from the data type control system FW, for example in the form of log files, to the monitoring system AS and stores it there in a database for later use. This makes it impossible for an attacker to access and change logs created by the data type control system. That is, an attacker is unable to track his "traces", i.e. change or delete logs indicating his attack. It is provided that the logging takes place in real time and the data are transmitted in encrypted form to the monitoring system AS.
Wie unten näher erläutert, erlaubt es die Kombination von Protokollierungen mittels des Überwachungssystems AS sicherheitsrelvante Vorgänge besser zu erkennen, als dies herkömmlichen Firewalls möglich ist (z.B.:. Herr Müller darf HTTP-Übertragungen durch das Datentypenkontrollsystem FW durchführen. Bei einer herkömmlichen Firewall würde ein sich Herr Müller ausgebender Angreifer das Datentypenkontrollsystem FW durchdringen können, obwohl überhaupt keine Datenübertagungen von dem echten Herr Müller stammen, dieser z.B. nicht an an seinem Arbeitsplatz (PC) arbeitet. Dies wir aber von der Sicherheitsumgebung SU erkannt).As explained in more detail below, the combination of logging using the AS monitoring system allows security-related processes to be better recognized than is possible with conventional firewalls (for example: Mr. Müller is allowed to carry out HTTP transmissions through the FW data type control system The attacker issuing Mr. Müller can penetrate the FW data type control system, although no data transfers originate from the real Mr. Müller, who, for example, does not work on his workstation (PC), but this is recognized by the SU security environment).
Im Fall eines Angriffs hat die Auslastung des Datentypenkontrollsystems FW eine entscheiden-
de Bedeutung, da dabei das Rechnersystem FW Rechenzeit zur Bearbeitung der Datenpakete benötigt. Je mehr Ressourcen vorhanden sind, desto besser und desto mehr Angriffe können von dem DatentypenkontroUsystem FW abgewehrt werden. Daher ist es vorgesehen, dass das Datentypenkontrollsystem FW im Normalfall in einem Bereich von 5 - 10 % und hinsichthch seines Speichers bis zu 15 % ausgelastet ist. Dies stellt für Angriffe genügend Reserven zur Verfügung.In the event of an attack, the utilization of the data type control system FW has a decisive de Significance, since the FW computer system requires computing time to process the data packets. The more resources are available, the better and the more attacks can be warded off by the data type control system FW. It is therefore envisaged that the data type control system FW is normally used in a range of 5 - 10% and in terms of its memory up to 15%. This provides enough reserves for attacks.
Bei Verwendung mehrerer Datentypenkonttollsysteme FW erfolgt eine Lastverteilung über das IP-Routing. Bei einer Lastverteilung ist insbesondere zu beachten, dass die im Falle eines An- griffs verfügbare Leistung des Datentypenkontrollsystems FW ausreicht, um einen Angriff zu erkennen und gegebenenfalls abzuwehren.If several FW data type control systems are used, the load is distributed via IP routing. In the case of load distribution, it should be noted in particular that the performance of the data type control system FW available in the event of an attack is sufficient to detect an attack and, if necessary, to avert it.
DATENINHALTSKONTROLLSYSTEM ("Proxy-Server"')DATA CONTENT CONTROL SYSTEM ("Proxy Server" ')
Wie oben erläutert, ermögücht das Dateninhaltskontrollsystem PROXY die Verbindungen von Außen nach Innen und umgekehrt, d.h. vom zweiten Netzwerk NW2 zum ersten Netzwerk NWl und umgekehrt. Das Dateninhaltskontrollsystem PROXY erhält alle von dem Datentypenkontrollsystem FW durchgelassenen Daten, z.B. als HTTP-, FTP-, SMTP- und DNS-Pakete. Diese werden von dem Dateninhaltskontrollsystem PROXY hinsichthch ihrer Inhalt untersucht und gegebenenfalls gefiltert. Hierbei können statische Filterverfahren verwendet werden. Hiefür können Worte und Begriffe, die eine besondere Bedeutung haben oder haben könnten, eingetragen (z.B. Worte mit pornographischer Bedeutunng, Wort mit geschäftlichem Bezug ("Geschäftsbericht", "Intern", "Vertraulich", etc.). Datenpakete mit solchen "unsauberen" und internen Inhalten können dann von dem Dateninhaltskontrollsystem PROXY erkannt werden. Dies gilt nicht nur für Datenübertragungen von dem zweiten Netzwerk NW2 zu dem ersten Netzwerk NWl sondern auch in umgekehrter Richtung. Eine weitere Aufgabe des Dateninhaltskontrollsystems PROXY ist Virenschutz. •• '■"' As explained above, the PROXY data content control system enables the connections from outside to inside and vice versa, ie from the second network NW2 to the first network NW1 and vice versa. The PROXY data content control system receives all the data passed through by the FW data type control system, for example as HTTP, FTP, SMTP and DNS packets. These are examined by the data content control system PROXY with regard to their content and, if necessary, filtered. Static filtering methods can be used here. Words and terms that have or could have a special meaning can be entered for this (eg words with a pornographic meaning, words with a business reference ("Annual Report", "Internal", "Confidential", etc.). Data packets with such "dirty" and internal content can then be recognized by the PROXY data content control system. This applies not only to data transmissions from the second network NW2 to the first network NW1 but also in the opposite direction. Another task of the PROXY data content control system is virus protection. • • '■ "'
Von dem Dateninhaltskontrollsystem PROXY erstellte Protokollierungen werden ebenfalls nicht lokal gespeichert. Vielmehr werden über das interne Bussystem BUS-INT Protokollinformationen des Dateninhaltskontrollsystems PROXY beispielsweise in Form von Log-Dateien, zu dem Überwachungssystem AS übertragen und dort in einer Datenbank zur späteren Verwendung gespeichert. Dies macht es einem Angreifer unmöglich, auf von dem Datentypenkontrollsystem erstellte Protokollierungen zuzugreifen und diese zu verändern. Dies wird zusätzlich noch da- durch erschwert, indem für das Dateninhaltskontrollsystem PROXY lokale Firewalls vorgesehen sind. Es ist vorgesehen, dass die Protokollierung in Echtzeit erfolgt und die Daten verschlüsselt zum Überwachungssystem AS übertragen werden.Logs created by the PROXY data content control system are also not saved locally. Rather, the internal bus system BUS-INT transmits protocol information from the PROXY data content control system, for example in the form of log files, to the monitoring system AS and stores it there in a database for later use. This makes it impossible for an attacker to access and change logs created by the data type control system. This is made even more difficult by the fact that local firewalls are provided for the PROXY data content control system. It is provided that the logging takes place in real time and the data are transmitted in encrypted form to the monitoring system AS.
Wie unten näher erläutert, erlaubt es die Kombination von Protokollierungen mittels des
Überwachungssystems AS sicherheitsrelvante Vorgänge besser zu erkennen, als dies herkömmlichen Proxy-Servern möglich ist.As explained in more detail below, the combination of logging using the Monitoring system AS to recognize security-related processes better than is possible with conventional proxy servers.
Wie in Fig. 3 dargestellt, umfasst das Dateninhaltskontrollsystem PROXY ein Rechnersystem Datentypenkontrollsystem PROXY-Rechnersystem. Als Betriebssystem wird für das Dateninhaltskontrollsystem PROXY ein spezieller, sehr kleiner Unixkernel verwendet, bei dem nahezu aUe nicht unbedingt erforderlichen Services entfernt sind. Wie unten ausgeführt, ist im Allgemeinen auch keine Unterstützung für Wiedergabe- und Eingabeinheiten (z.B. Monitor, Maus, Tastatur etc.) vorgesehen. Dadurch wird der Kernel sehr schnell und sehr stabil und kann schnell aktualisiert werden ("Update"). Des weiteren kann der Kernel auch keinen fremden Code (z.B. bei einem Angriff) ausführen, da der Kernel hierfür keine Services vorhält. Vielmehr werden nur bekannte Soft- und Hardware unterstützt. Die daraus resultierende Inflexibilität des Dateninhaltskontrollsystems PROXY führt zur einer erhöhten Sicherheit.As shown in FIG. 3, the data content control system PROXY comprises a computer system. Data type control system PROXY computer system. A special, very small Unix kernel is used as the operating system for the PROXY data content control system, from which almost all services that are not absolutely necessary are removed. As explained below, support for playback and input units (e.g. monitor, mouse, keyboard etc.) is generally not provided either. This makes the kernel very fast and very stable and can be updated quickly ("update"). Furthermore, the kernel cannot execute any foreign code (e.g. in the event of an attack), since the kernel does not provide any services for this. Rather, only known software and hardware are supported. The resulting inflexibility of the PROXY data content control system leads to increased security.
Des weiteren kann das Dateninhaltskontrollsystem PROXY eine Schnittstelleneinheit PROXY- INT, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Dateninhaltskontrollsystems PROXY z.B. per Telefon. Um zu verhindern, dass auf das Dateninhaltskontrollsystem PROXY von einem der Netzwerke NWl und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit PROXY-LNT so ausgeführt sein, dass nicht über eines dieser Netzwerke NWl und NW2 erreichbar ist. Allerdings ist eine solcher "remote" Zugriff nur mit Genehmigung und Unterstützung eines Benutzers möglich, da die Schnittstelleinheit PROXY-LNT im Normalfall ausgeschaltet. Bei Bedarf muss der Benutzer die Schnittstelleinheit PROXY-INT aktivieren und einen Zugriff auf das Dateninhaltskontrollsystem PROXY zu ermöglichen. Hier- für kann auch die Übermittlung eines Passworts erforderlich sein. Zur Kontrolle werden solch Vorgänge ebenfalls mittels des Überwachungssystems AS protokolliert. Nach Beendigung wird die Schnittstelleinheit PROXY-LNT wieder deaktiviert, um weiter Zugriffe zu verhindern.Furthermore, the data content control system PROXY can have an interface unit PROXY-INT, e.g. in the form of a modem or a computer interface. This allows the PROXY data content control system to be supported, e.g. via phone. In order to prevent the data content control system PROXY from being accessed by one of the networks NW1 and NW2, in particular by the network NW2 as an external network, the interface unit PROXY-LNT can be designed such that NW1 and NW2 cannot be reached via one of these networks is. However, such "remote" access is only possible with the approval and support of a user, since the PROXY-LNT interface unit is normally switched off. If necessary, the user must activate the PROXY-INT interface unit and enable access to the PROXY data content control system. The transmission of a password may also be necessary for this. For control purposes, such processes are also logged using the monitoring system AS. After completion, the PROXY-LNT interface unit is deactivated again to prevent further access.
Die zentrale Steuerung und Verwaltung des Dateninhaltskontrollsystems PROXY erfolgt über das Steuerungssystem Steuerungssystem BM, die nur lokal an dem Steuerungssystem BM selbst vorgenommen werden. Alternative ist es auch möglich dies unmittelbar am Dateninhaltskontrollsystem PROXY vorzunehmen, wofür zusätzliche Einrichtungen, wie zum Beispiel eine Tastatur, ein Monitor und dergleichen, verwendet werden können. In beiden Fällen ist es erforderlich, unmittelabr zu dem Steuerungssystem BM bzw. dem Dateninhaltskontrollsystem PROXY zu gelangen, was schon physiklisch eine unerlaubte Modifikation das Dateninhaltskontrollsystems PROXY erschwert. Als zusätzlliche Sicherheit können weitere Maßnahmen ergriffen werden, wie z.B. eine Erfassung biometrischer Daten ("Fingerabdruck") und Eingabe von Pass- oder Codewörtern.
Das Dateninhaltskontrollsystem PROXY startet ("booted") vom Steuerungssystem BM aus. Neue Einstellungen, Betriebsmodi, Regel und dergleichen für das Dateninhaltskontrollsystem PROXY können mittels des Steuerungssystems BM zentral vorgenommen werden. Eine Besonderheit besteht darin, dass in einem Speicher des Dateninhaltskontrollsystem PROXY vor- handene Einstellungen, Betriebsparameter und dergleichen beim Booten nicht benutzt werden.The central control and administration of the data content control system PROXY is carried out via the control system control system BM, which is only carried out locally on the control system BM itself. Alternatively, it is also possible to do this directly on the PROXY data content control system, for which additional devices such as a keyboard, a monitor and the like can be used. In both cases, it is necessary to get directly to the control system BM or the data content control system PROXY, which physically makes an illegal modification of the data content control system PROXY difficult. As additional security, further measures can be taken, such as recording biometric data ("fingerprint") and entering passwords or code words. The PROXY data content control system starts ("booted") from the BM control system. New settings, operating modes, rules and the like for the PROXY data content control system can be made centrally by means of the BM control system. A special feature is that settings, operating parameters and the like present in a memory of the PROXY data content control system are not used during booting.
DATENÜBERTRAGUNGSKONTROLLSYSTEM ("IDS,P)DATA TRANSFER CONTROL SYSTEM ("IDS , P )
Das Datenübertragungskontrollsystem IDS umfasst, wie in Fig.4 dargestellt ein Rechnersystem LDS-RE, Protokollinstanzen (nicht bezeichnet), eine Speichereinheit PROXY-MEM (z.B. in Form einer Datenbank) mit darin bereitgestellten Angriffsmustern und Signaturen.As shown in FIG. 4, the data transmission control system IDS comprises a computer system LDS-RE, protocol instances (not designated), a storage unit PROXY-MEM (e.g. in the form of a database) with attack patterns and signatures provided therein.
Von dem Dateninhaltskontrollsystem PROXY erstellte Protokollierungen werden ebenfalls nicht lokal gespeichert. Vielmehr dient das Überwachungssystem AS als übergeordneter "Wächter", wofür Protokollinformationen des Dateninhaltskontrollsystems PROXY, beispielsweise in Form von Log-Dateien, über das interne Bussystem BUS-LNT zu dem Überwachungssystem AS übertragen und dort in einer Datenbank zur späteren Verwendung gespeichert werden. Dies macht es einem Angreifer unmöglich, auf von dem Datentypenkontrollsystem erstellte Protokollierungen zuzugreifen und diese zu verändern. Dies wird zusätzlich noch dadurch erschwert, in- dem für das DateninhaltskontioUsystem PROXY lokale Firewalls vorgesehen sind. Es ist vorgesehen, dass die Protokollierung in Echtzeit erfolgt und die Daten verschlüsselt zum Überwachungssystem AS übertragen werden. Es ist vorgesehen, dass das Datenübertragungskontrollsystem LDS Angriffsmuster anhand einer dynamischen Datenbank erkennt, die in vorbestimmten Abständen, z.B. alle vier Stunden, aktualisiert wird. Vorteilhafterweise erfolgt eine Aktuali- sierung automatisch.Logs created by the PROXY data content control system are also not saved locally. Rather, the monitoring system AS serves as a higher-level "guardian", for which protocol information from the data content control system PROXY, for example in the form of log files, is transmitted to the monitoring system AS via the internal bus system BUS-LNT and stored there in a database for later use. This makes it impossible for an attacker to access and change logs created by the data type control system. This is made even more difficult by the fact that local firewalls are provided for the PROXY data content account system. It is provided that the logging takes place in real time and the data are transmitted in encrypted form to the monitoring system AS. It is envisaged that the data transmission control system LDS recognizes attack patterns on the basis of a dynamic database, which at predetermined intervals, e.g. every four hours. The update is advantageously carried out automatically.
Erkennt das Datenübertragungskontrollsystem IDS einen Angriff, kann" dieser mittels das Datenübertragungskontrollsystems LOS und des Datentypenkontrollsystems FW verhindert werden. Angriffe charakterisierende Daten werden, falls erforderlich oder gewünscht, vorgefiltert an das Überwachungssystem AS übertragen, um z.B. auch für eine Information des Benutzers bzw. Betreibers der Sicherheitsumgebung SU zu sorgen.If the data transmission control system IDS detects an attack, this can be prevented by means of the data transmission control system LOS and the data type control system FW. If necessary or desired, characterizing attacks are transmitted to the monitoring system AS in a pre-filtered manner, in order, for example, to also inform the user or operator of the To ensure safety environment SU.
Als Betriebssystem wird für das Datenübertragungskontrollsystem LDS ein spezieller, sehr kleiner Unixkernel verwendet, bei dem nahezu alle nicht unbedingt erforderlichen Services entfernt sind. Wie unten ausgeführt, ist im Allgemeinen auch keine Unterstützung für Wiedergabe- und Eingabeinheiten (z.B. Monitor, Maus, Tastatur etc.) vorgesehen. Dadurch wird der Kernel sehr schnell und sehr stabil und kann schnell aktualisiert werden ("Update"). Des weiteren kann der Kernel auch keinen fremden Code (z.B. bei einem Angriff) ausführen, da der Kernel hierfür keine Services vorhält. Vielmehr werden nur bekannte Soft- und
Hardware unterstützt. Die daraus resultierende Inflexibihtät des Datenübertragungskontrollsystems IDS führt zur einer erhöhten Sicherheit.A special, very small Unix kernel is used as the operating system for the data transfer control system LDS, from which almost all services that are not absolutely necessary are removed. As explained below, support for playback and input units (eg monitor, mouse, keyboard etc.) is generally not provided either. This makes the kernel very fast and very stable and can be updated quickly ("update"). Furthermore, the kernel cannot execute any foreign code (eg in the event of an attack) because the kernel does not have any services for this. Rather, only known software and Hardware supported. The resulting inflexibility of the data transmission control system IDS leads to increased security.
Des weiteren umfasst das DatenübertragungskontiOllsystem LDS eine Schnittstelleneinheit LDS- INT, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Datenübertragungskontrollsystems LDS z.B. per Telefon. Um zu verhindern, dass auf das Datenübertragungskontrollsystem IDS von einem der Netzwerk NWl und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit LOS-INT so ausgeführt sein, dass nicht über eines dieser Netzwerke NWl und NW2 erreichbar ist. Allerdings ist eine solcher "remote" Zugriff nur mit Genehmigung und Unterstützung eines Benutzers möglich, da die Schnittstelleinheit LDS-INT im Normalfall ausgeschaltet. Bei Bedarf muss der Benutzer die Schnittstelleinheit IDS-INT aktivieren und einen Zugriff auf das Datenübertragungskontrollsystem LDS zu ermöglichen. Hierfür kann auch die Übermittlung eines Passworts erforderlich sein. Zur Kontrolle werden solch Vorgänge ebenfalls mittels des Überwachungssystems AS protokolliert. Nach Beendigung wird die Schnittstelleinheit IDS-INT wieder deaktiviert, um weiter Zugriffe zu verhindern.Furthermore, the data transmission account system LDS comprises an interface unit LDS-INT, e.g. in the form of a modem or a computer interface. This allows support of the data transfer control system LDS e.g. via phone. In order to prevent the data transfer control system IDS from being accessed by one of the networks NW1 and NW2, in particular by the network NW2 as an external network, the interface unit LOS-INT can be designed such that NW1 and NW2 cannot be reached via one of these networks is. However, such "remote" access is only possible with the approval and support of a user, since the LDS-INT interface unit is normally switched off. If necessary, the user must activate the IDS-INT interface unit and allow access to the LDS data transfer control system. This may also require the transmission of a password. For control purposes, such processes are also logged using the monitoring system AS. After completion, the interface unit IDS-INT is deactivated again to prevent further access.
ÜBERWACHUNGSYSTEM f"Audit-Server,p)MONITORING SYSTEM f "Audit server , p )
Die Hauptaufgabe des in Fig. 5 veranschaulichten Überwachungssystems AS ist das Speichern und Analysieren der empfangen Protokollierungen des Datentypenkontrollsystems FW, des Dateninhaltskontrollsystems PROXY und des Datenübertragungskontrollsystems LDS . Des weiteren erhält das Überwachungssystem AS Protokollierungen von dem Steuerungssystem Steuerungssystem BM, die verwendet werden können, um die von den zuvor genannten Kontrollsystemen Datentypenkontrollsystem FW, PROXY und LDS bereitgestellten Informationen zusätzlich auf Richtigkeit, Konsistenz und dergleichen überprüfen zu können.The main task of the monitoring system AS illustrated in FIG. 5 is to store and analyze the received logs of the data type control system FW, the data content control system PROXY and the data transfer control system LDS. Furthermore, the monitoring system AS receives logs from the control system control system BM, which can be used to additionally check the information, provided by the aforementioned control systems, data type control system FW, PROXY and LDS, for correctness, consistency and the like.
Protokollierungen werden eine mit einer Datenbank vergleichbaren Speichereinheit AS-MEM geschrieben. Die Speichereinheit AS-MeM umfasst eine erste Speicheruntereinheit AS-MEM- RT, als "Real-Time"-Datenbank dient. Mittels dieser werden Protokollierung eines ersten Zeitraums gespeichert und analysiert. Dieser Zeitraum kann z.B. für aktueUe Protokollierungen ("inert der letzten 1, 2, 5, 10,.... Minuten") definiert sein. Mittels einer zweiten Speicheruntereinheit AS-MEM-LT können Protokollierung eines zweiten Zeitraums gespeichert werden, beispielsweise für einen Zeitraum der letzten 1, 2, 5, 10, 12 ... Monate. Zur Analyse von Protokollierungen können die ersten und zweiten Speicheruntereinheiten AS-MEM-RT und AS-MEM-LT getrennt oder in Kombination herangezogen werden.Logs are written to a memory unit AS-MEM comparable to a database. The storage unit AS-MeM comprises a first storage sub-unit AS-MEM-RT, which serves as a "real-time" database. Logs of a first period of time are stored and analyzed by means of these. This period can e.g. for current logging ("inert for the last 1, 2, 5, 10, ... minutes"). By means of a second storage subunit AS-MEM-LT, logging of a second period can be stored, for example for a period of the last 1, 2, 5, 10, 12 ... months. The first and second memory subunits AS-MEM-RT and AS-MEM-LT can be used separately or in combination for the analysis of logging.
Um unzulässige Datenbankzugriffe zu verhindern kommuniziert auch das Überwachungssystem AS über das interne Bus-System BUS-INT. Ein physikalischer Zugriff auf das Überwachungssystem AS besteht nur innerhalb an dem Überwachungssystem AS selbst ("im
EDV-Schrank")In order to prevent illegal database access, the monitoring system AS also communicates via the internal bus system BUS-INT. Physical access to the monitoring system AS only exists within the monitoring system AS itself ("in Computer cabinet ")
Ferner umfasst das Überwachungssystem AS ein Rechnersystem AS-RS (z.B. mit einer Intel®- kompatiblen CPU, eventuell als Mehrfachprozessorsystem ausgeführt, mindestens einer RAID-5, einem internen NIC, mehreren externen NICs, einer VGA-Unterstützung, einer Unterstützung UNIXO-basierter Softwareanwendungen und dergleichen). Zur Bedienung des Überwachungssystems AS wird eine lokal angeordnete Eingabeeinheit AS-LN verwendet, die z.B. eine Tastatur, eine Maus, eine Mikrophon und dergleichen umfassen kann. Zur graphischen Wiedergabe von Protokllierangen selbst und/oder von Kontroll- und Analyseergebnissen hinsichtlich zu verwertender Protokllierungen weist das Überwachungssystem AS eine Wiedergabeeinheit Überwachungssystem AS-DIS (z.B. einen VGA-Monitor) und eine darüber darstellbare graphische Benutzungsschnittstelle AS-GUI auf. Beispiele unterschiedlicher Ansichten der graphischen Benutzungsschnittstelle AS-GUI sind in Fig. 6 bis 15 zu sehen.Furthermore, the monitoring system AS comprises a computer system AS-RS (for example with an Intel®-compatible CPU, possibly designed as a multiple processor system, at least one RAID-5, an internal NIC, several external NICs, VGA support, support for UNIXO-based software applications and the same). A locally arranged input unit AS-LN is used to operate the monitoring system AS. may include a keyboard, a mouse, a microphone, and the like. The monitoring system AS has a playback unit monitoring system AS-DIS (e.g. a VGA monitor) and a graphic user interface AS-GUI that can be displayed for the graphic display of logging lines themselves and / or of control and analysis results with regard to the logs to be used. Examples of different views of the graphical user interface AS-GUI can be seen in FIGS. 6 to 15.
Zur Speicherung der Protokollierungen erforderliche Speichermedien (z.B. Festplatten) können ausgetauscht werden, wobei aber, im Gegensatz zu bekannten Sicherheitssystemen, dass dies nur lokal gesteuert erfolgen kann. Des weiteren ist erfoderlich, bei einem Ausserbetriebnehmen des Überwachungssystems AS die gesamte Sicherheitsumgebung SU herunterzufahren. Datenübertragungen zu und von dem ersten Netzwerk NWl sind dann nicht möglich. Dies gilt auch für eine Ausserbetriebnahme der anderen Komponenten der Sicherheitsumgebung SU.Storage media (e.g. hard disks) required for storing the logs can be replaced, but, in contrast to known security systems, this can only be done locally controlled. Furthermore, it is necessary to shut down the entire safety environment SU when the monitoring system AS is taken out of operation. Data transfers to and from the first network NW1 are then not possible. This also applies to decommissioning the other components of the SU safety environment.
Das Überwachungssystem AS kombiniert die Protokolleinträge der verschiedenen Systeme und kann somit Angriffe, Angriffsversuche und erfolgte Einbrüche aufgrund von Protokollierungen einzelner der genannten Systeme FW, PROXY, LDS und BM, aber eben auch durch Kombination von Protokollierungen mehrer der genannten Systeme FW, PROXY, LDS und BM feststellen. Protokollierungen ("Log-Dateien") unterschiedlicher herkömmlicher System sind im Allgemeinen zeitlich nicht synchronisiert, weshalb ein Zusammenhänge zwischen Protokollen getrenntes Systems bisher nicht erkannt werden konnten. Dies wird durch das Überwachungssystem Überwachungssystem AS, und inbesondere durch deren Eigenschaft, vergleichbar mit einer in der Datenbank zu wirken. Die Kombination unterschiedlicher Protokollierung der Kontrollsysteme FW, PROXY und Datenübertragungskontrollsystem LDS, eventuell in Kombination mit Protokollen des Steuerungssystems BM kann bisher nicht erkennbare Einbruch identifizieren.The monitoring system AS combines the log entries of the various systems and can thus carry out attacks, attempted attacks and burglaries due to logging of individual systems FW, PROXY, LDS and BM, but also by combining logs of several of the systems FW, PROXY, LDS and Determine BM. Logs ("log files") of different conventional systems are generally not synchronized in time, which is why a relationship between the logs of separate systems has so far not been recognized. This is made possible by the monitoring system monitoring system AS, and in particular by its ability to act in a manner comparable to that in the database. The combination of different logging of the control systems FW, PROXY and data transmission control system LDS, possibly in combination with logs of the control system BM, can identify a previously unrecognizable intrusion.
Das Regelwerk ist sehr komplex und wird erst in Zusammenarbeit mit dem Anwender entstehen. Nach der Installation der Sicherheitsumgebung SU soll das Überwachungssystem AS alle Daten protokollieren. Dies ermöglicht es alle Systeme FW, PROXY, JOS und Steuerungssystem BM, die mit dem Überwachungssystem AS zusammenarbeiten, werden des Betriebs hinsichtlich der Sicherheit bei Datenübetragungen zu optimieren. Wenn zum Beipsiel
dem ersten Netzwerk NWl kein FTP-Datenpaket kommuniziert werden soll, darf das Datentypenkontrollsystem FW auch keine FTP-Datenpakte durchlassen. Steht das Überwachungssystem AS danach dennoch eine Übertragung solche Daten fest, wwird draus auf einen Fehler oder einen Angriff geschlossen. Wie auf solche Zustände zu reagieren ist, wird in Richtlinien definiert, die der Sicherheitsumgebung und/oder den Anwendern und Benutzers der Sicherheitsumgebung angeben, wie zu reagieren ist.The set of rules is very complex and will only be developed in cooperation with the user. After the installation of the safety environment SU, the monitoring system AS should log all data. This enables all systems FW, PROXY, JOS and control system BM, which work together with the monitoring system AS, to optimize the operation in terms of security during data transfers. If for example The FW data type control system must also not allow FTP data packets to be communicated to the first network NW1. If the monitoring system AS is nevertheless certain that such data will be transmitted, an error or an attack is inferred therefrom. How to react to such conditions is defined in guidelines which indicate to the security environment and / or the users and users of the security environment how to react.
Das Regelwerk für das Überwachungssystem AS kann nach der Installation verändert werden. Dies kann autmatisch, durch die Sicherheitsumbegung SU selbst, z.B. unter Steuerung des Steuerungssystems Steuerungssystem BM, und/oder durch von Aussen vorgenommene Änderungen an der Sicherheitsumgebung SU erfolgen. Von Aussen vorgenommene Änderungen an der Sicherheitsumgebung SU sind, wie im Folgenden beschrieben, aus Sicherheitsgründen Einschränkungen unterworfen.The rules for the AS monitoring system can be changed after installation. This can be done automatically, by means of the security assignment SU itself, e.g. under control of the control system control system BM, and / or by external changes to the safety environment SU. Changes made to the SU security environment from outside are subject to restrictions for security reasons, as described below.
Oftmals ist es das Ziel eines Angreifes die Kommunikationsmöglichkeiten der Sicherheitsumgebung SU zu unterbinden, beispielsweise deren E-Mail-Server zu deaktiveren. Um in einem solchen Fall Informationen über Angriffe, Angriffsversuche und erfolgte Einbrüche kommuizieren zu können (z.B. zu einem für die Sicherheitsumgebung SU zuständigen Administrator), kann das Überwachungssystem AS entsprechende Informationen über mehrere Kommnukationswege übermitteln. So ist beispielsweise eine Einheit AS-GSM zur Kommunikation über ein mobiles, zelluläres Telefonnetzwerk z.B. mittels SMS und/oder Sprachnachrichten vorgsehen. Weitere Übermittlungsmöglichkeiten umfassen digitale und analoge Bild-, Ton,- und Fax-Übertragungen und dergleichen. In welcher Zeit das Überwachungssystem AS auf Angriffe, Angriffsversuche und erfolgte Einbrüche reagiert wird im Allgemeinen mit Anwendern bzw. Benutzern der Sicherheitsumgebung Sicherheitsumgebung SU, auch für Einzelne derselben und/oder für unterschiedliche Angriffe, Angriffsversuche und erfolgte Einbrüche individuell, definiert.The goal of an attack is often to prevent the communication options of the security environment SU, for example to deactivate its email server. In such a case, in order to be able to communicate information about attacks, attempted attacks and burglaries (e.g. to an administrator responsible for the security environment SU), the monitoring system AS can transmit corresponding information via several communication paths. For example, an AS-GSM unit for communication via a mobile, cellular telephone network is e.g. by SMS and / or voice messages. Other transmission options include digital and analog image, sound, and fax transmissions and the like. The time in which the monitoring system AS reacts to attacks, attempted attacks and intrusions is generally defined individually with users of the security environment, security environment SU, also for individuals of the same and / or for different attacks, attempted attacks and intrusions.
Die gespeicherten Daten des Überwachungssystems AS charakterisieren das gesamte erste Netzwerk NWl, dessen Benutzer und deren Verhalten. Daher sind diese Daten höchst schützenswert , wofür vorteilhafterweise ein höchstmögliche Sicherheitsstufe definiert wird. Auf dem Gebiet sind Sicherheitsstufen von 0 bis 5. 5 als maximalem Wert definiert. Beipielsweise kann die Sicherheitstufe des Überwachungssystems AS mit 4 definiert werden.The stored data of the monitoring system AS characterize the entire first network NW1, its users and their behavior. This data is therefore extremely worth protecting, for which the highest possible security level is advantageously defined. Security levels from 0 to 5.5 are defined as the maximum value in the field. For example, the security level of the monitoring system AS can be defined as 4.
Des weiteren kann das Überwachungssystem AS eine Schnittstelleneinheit AS-INT, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Überwachungssystems AS z.B. per Telefon. Um zu verhindern, dass auf das Überwachungssystem AS von einem der Netzwerke NWl und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit AS-INT so ausge-
führt sein, dass nicht über eines dieser Netzwerke NWl und NW2 erreichbar ist.Furthermore, the monitoring system AS can have an interface unit AS-INT, for example in the form of a modem or a computer interface. This allows the monitoring system AS to be supported, for example by telephone. In order to prevent the monitoring system AS from being accessed by one of the networks NW1 and NW2, in particular by the network NW2 as an external network, the interface unit AS-INT can be may be that NW1 and NW2 cannot be reached via one of these networks.
STEUERUNGSSYSTEM ("Boot- und Management-Server'")CONTROL SYSTEM ("Boot and Management Server '")
Wie in Fig. 16 dargestellt, umfasst das Steuerungssystem BM ein Rechnersystem BM- Rechnersystem, auf das nur lokal zugegriffen werden kann. Neben oben genannten lokalen Zugriffsbeschränkungen (z.B. Erfassung biometrischer Daten, Codes, etc.) ist das Steuerungssystem BM dadurch vor Mißbrauch geschützt, dass es keine physikalische Möglichkeit des Zugriffes von Aussen gibt.As shown in FIG. 16, the control system BM comprises a computer system BM computer system which can only be accessed locally. In addition to the above-mentioned local access restrictions (e.g. recording biometric data, codes, etc.), the BM control system is protected against misuse by the fact that there is no physical possibility of external access.
Das Steuerungssystem BM koomuniziert in der Sicherheitsumgebung SU über das interne Bus- System BUS-INT. Alle Modifikationen und zum Betrieb erfordehchen Daten werden, wie oben ausgeführt, durch das Steuerungssystem BM bereitgestellt oder zumindest unter dessen Steuerung und Kontrolle veranlasst bzw. übertragen. Erforderliche Daten werden in einer Speichereinheit BM-MEM des Steuerungssystems BM gespeichert. Zur Eingabe von beispielsweise für Systemmodifikationen erforderliche Daten und/oder Informationen kann die lokal vorgesehene Eingabeeinheit BM-LN verwendet werden.The control system BM communicates in the safety environment SU via the internal bus system BUS-INT. As stated above, all modifications and data required for operation are provided by the control system BM or at least initiated or transmitted under its control and control. Required data are stored in a memory unit BM-MEM of the control system BM. The locally provided input unit BM-LN can be used to enter data and / or information required for system modifications, for example.
Des weiteren kann das Steuerungssystem BM eine Schnittstelleneinheit BM-INT, z.B. in Form eines Modems oder einer Rechnerschnittstelle. Dies erlaubt eine Unterstützung des Steuerungssystems BM z.B. per Telefon. Um zu verhindern, dass auf das Steuerungssystem BM von einem der Netzwerke NWl und NW2, insbesondere von dem Netzwerk NW2 als externem Netzwerk, zugegriffen werden kann, kann die Schnittstelleneinheit BM-INT so ausgeführt sein, dass nicht über eines dieser Netzwerke NWl und NW2 erreichbar ist.
Furthermore, the control system BM can have an interface unit BM-INT, e.g. in the form of a modem or a computer interface. This allows the control system BM to be supported, e.g. via phone. In order to prevent the control system BM from being accessed by one of the networks NW1 and NW2, in particular by the network NW2 as an external network, the interface unit BM-INT can be designed such that NW1 and NW2 cannot be reached via one of these networks is.