DE10346927A1 - Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks - Google Patents

Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks Download PDF

Info

Publication number
DE10346927A1
DE10346927A1 DE10346927A DE10346927A DE10346927A1 DE 10346927 A1 DE10346927 A1 DE 10346927A1 DE 10346927 A DE10346927 A DE 10346927A DE 10346927 A DE10346927 A DE 10346927A DE 10346927 A1 DE10346927 A1 DE 10346927A1
Authority
DE
Germany
Prior art keywords
network
intrusion detection
deployable
detection system
intrusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE10346927A
Other languages
English (en)
Inventor
John Redwood Mendonca
Amit Sunnyvale Raikar
Bryan Alviso Stephenson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of DE10346927A1 publication Critical patent/DE10346927A1/de
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Es ist ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks offenbart, das folgende Merkmale aufweist: einen Netzwerkserver, einen Netzwerkklienten, der kommunikativ mit dem Server gekoppelt ist, einen Ressourcenpool, der mit dem Server zur Verwendung durch den Klienten gekoppelt ist, ein Ressourcenverwaltungssystem zum Verwalten der Ressourcen und ein Eindringungserfassungssystem, das aktiviert ist, um eine Eindringung in das Netzwerk zu erfassen und darauf zu antworten.

Description

  • Diese Anmeldung nimmt hiermit durch Bezugnahme die mitanhängige Patentanmeldung Anwaltsaktenzeichen HP-200209646-1 mit dem Titel „Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren" auf, gleichzeitig eingereicht mit derselben und demselben Bevollmächtigten wie bei der vorliegenden Anmeldung zugewiesen.
  • Die vorliegende Erfindung bezieht sich auf das Gebiet von Computernetzwerksicherheit. Genauer gesagt bezieht sich die vorliegende Erfindung auf ein Verfahren und eine Architektur zum Bereitstellen von Sicherheit für ein bereitstellbares Hilfsprogrammdatenzentrum.
  • Die moderne Vernetzung liefert ständig Kommunikations- und Informations-Zugriffs-Erweiterungen und -Verbesserungen. Das anhaltende Wachstum von Netzwerk-Systemen und -Technik scheint grenzenlos und die Geschwindigkeit von vernetzten Kommunikationen hat fast jedem menschlichem Bestreben Vorteile gebracht.
  • Neuere Trends bei der Informationstechnik haben ergeben, daß sich große Unternehmen und andere Benutzer hin zu einem neuen Musterbeispiel der Netzwerkverwendung bewegen, dem bereitstellbaren Hilfsprogrammdatenzentrum (UDC; UDC = Utility Data Center). Ein bereitstellbares Datenzentrum ermöglicht eine Zentralisierung von Informationstechnikdiensten (IT-Diensten) und unternehmensweit und sogar internetweit Zugriff auf spezialisierte Daten und Funktionen. Die verschiedenen Schritte zum Neuzentralisieren von IT-Systemen aller Art wird teilweise durch Mängel an qualifiziertem IT-Personal und durch die intrinsischen Unzulänglichkeiten von verteilten Systemen getrieben. Es ist bedeu tend, daß viele IT-Verwalter sich hin zu einer kleineren Anzahl von großen Datenzentren bewegen. Ermöglicht durch eine reichlich vorhandene und relativ kostengünstige Netzwerkbandbreite können IT-Dienste nun global an Benutzer verteilt werden. Der Bedarf zum Verschachteln von Serverseitentechnik in der Nähe der Klientenarbeitsstation nimmt ab, was zu dieser dramatischen Änderung bei der IT-Architektur geführt hat.
  • Diese Neuzentralisierung erfordert eine größere Flexibilität, Zuverlässigkeit und Sicherheit, da ein Ausfall von gemeinschaftlich verwendeten Ressourcen oder ein Verlust von kritischen Daten ein Unternehmen zu einem großen Ausmaß beeinträchtigen kann, das ein bereitstellbares Datenzentrum verwendet. Gleichzeitig jedoch können konsolidierte provisorische Datenzentren einfacher eingerichtet werden, um einzelne Fehlerpunkte zu beseitigen.
  • Ein weiterer Trend ist die wachsende Bedeutung von Dienstanbietern dritter Parteien. Netzwerkunternehmen finden es vorteilhaft, sich an Dienstanbieter zu wenden, anstelle die Kosten interner Entwicklung, Gliederung und Beibehaltung ihrer eigenen hausinternen Systeme zu tragen. In Bereichen, wie z. B. der globalen Netzwerkverarbeitung, dominieren Dienstanbieter beim Bereitstellen einer Handelsressource, die Unternehmen nie individuell entwickeln könnten.
  • Speicherungsdienstanbieter ermöglichen es Unternehmen, Daten bequem zwischenzuspeichern. Ein kleines aber wachsendes Kontingent an Anwendungsdienstanbietern (ASPs; ASP = Application Service Provider) ist nun in der Lage, Unternehmenssoftwaresysteme zu betreiben. IT-Dienstanbieter nutzen die Möglichkeit, sich über Unternehmen zusammenzuschließen, was es denselben ermöglicht, äußerst konkurrenzfähig zu internen IT-Organisationen zu sein.
  • Die Systemverwaltungstools, die verfügbar sind, um die resultierenden notwendigerweise komplexen Netzwerksysteme zu betreiben und zu sichern, werden ebenfalls entwickelt. Eine konstante, dynamische Neubereitstellung von Ressourcen, um sich an wechselnde Klienten und Klientenbedürfnisse anzupassen, hängt von einer starken IT-Ressourcenverwaltungsbasis ab.
  • Sogar noch mehr als frühere verteilte Netzwerke unterliegen bereitstellbare Datenzentrumsnetzwerke einem möglichen Sicherheitsfehler und sogar einem Angriff durch die zahlreichen Kommunikationsverbindungen, die solche Systeme mit sich bringen. Da eine notwendige Kommunikation innerhalb und zwischen Ressourcen besteht, die innerhalb des bereitstellbaren Datenzentrums enthalten sind, sowie eine Kommunikation mit Benutzern außerhalb des Netzwerks, sind die möglichen Wege eines Sicherheitsausfalls zahlreich.
  • Zusätzlich zu dem „normalen" Hackerangriff können Sicherheitsverletzungen aus Dingen bestehen, wie z. B. dem nicht-autorisierten Eintritt in einen Abschnitt einer Datenbank durch einen anderweitig autorisierten Benutzer oder der nicht autorisierten Verwendung einer Anwendung, die durch das Zentrum verwaltet wird. Ein Beispiel davon könnte die Verwendung durch eine fremde Technikeinrichtung einer Supercomputer-Rechenfluid-Dynamikeinrichtung sein, möglicherweise gesperrt durch ein Technikaustauschgesetz, bei dem die Verwendung anderer Abschnitte desselben bereitstellbaren Datenzentrums durch die fremde Einrichtung legitim und erwünscht ist.
  • Ein anderes Beispiel umfaßt einen Fall, in dem konkurrierende Klienten legitim durch das UDC bedient werden, die einen Teil der verfügbaren Ressourcen gemeinschaftlich verwenden, wie z. B. eine Marketingdatenbank. Die selben zwei Klienten können ferner das UDC zum sicheren Archivieren von proprietären Daten verwenden, von denen keiner möchte, daß der andere darauf zugreift. Ferner könnte das Verwaltungssystem eines bereitstellbaren Datenzentrums selbst das Ziel einer fokussierten Eindringung sein, deren Ziel das Schwächen der Verwaltungsstruktur sein kann, um andere Eindringungen zu ermöglichen.
  • Was nun benötigt wird, ist ein System und eine Architektur zum Liefern einer Eindringungserfassung in das bereitstellbare Hilfsprogrammdatenzentrum, derart, daß die Verwaltungskomponenten des Datenzentrums vor Eindringungen geschützt werden können, die entweder von einer externen Quelle stammen, wie z. B. einem der Öffentlichkeit zugewandten Internet/virtuellen öffentlichen Netzwerk (VPN = Virtual Public Network), Ressourcen, die durch das Datenzentrum bereitgestellt werden oder den Systemen innerhalb eines weniger vertrauenswürdigen Teils der Verwaltungsinfrastruktur des Datenzentrums.
    •
  • Es ist die Aufgabe der vorliegenden Erfindung, ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks, ein Verfahren zum Bereitstellen der Sicherheit in einem bereitstellbaren Netzwerk und ein Netzwerkeindringungserfassungssystem mit verbesserten Charakteristika zu schaffen.
  • Diese Aufgabe wird durch ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks gemäß Anspruch 1, ein Verfahren zum Bereitstellen der Sicherheit in einem bereitstellbaren Netzwerk gemäß Anspruch 10 und ein Netzwerkeindringungserfassungssystem gemäß Anspruch 24 gelöst.
  • Entsprechend schafft die vorliegende Erfindung ein Verfahren zum Verwenden von sowohl Netzwerk- als auch Host-Eindringungserfassungssonden in einem bereitstellbaren (provisionable) Datenzentrum, hierin nachfolgend genannt ein Hilfsprogrammdatenzentrum (UDC = Utility Data Center), derart, daß die Verwaltungskomponenten des Datenzentrums vor Eindringungen geschützt werden, die entweder aus einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit zugewandten Internet/VPN-Netzwerk, den verwalteten Ressourcen, die durch das UDC bereitgestellt werden oder den Systemen innerhalb eines weniger vertrauenswürdigen Teils der UDC-Verwaltungsinfrastruktur.
  • Es ist ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks offenbart, das folgende Merkmale aufweist: einen Netzwerkserver, einen Netzwerkklienten, kommunikativ gekoppelt mit dem Server, einen Ressourcenpool gekoppelt mit dem Server zur Verwendung durch den Klienten, ein Ressourcenverwaltungssystem zum Verwalten der Ressourcen und ein Eindringungserfassungssystem, das aktiviert ist, um eine Eindringung in das Netzwerk zu erfassen und darauf anzusprechen.
  • Dieses und andere Ziele und Vorteile der vorliegenden Erfindung werden für Fachleute auf dem Gebiet offensichtlich, nachdem diese die nachfolgende detaillierte Beschreibung der bevorzugten Ausführungsbeispiele gelesen haben, die in den verschiedenen Zeichnungsfiguren dargestellt sind.
    •
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • 1 ein Hilfsprogrammdatenzentrum gemäß Ausführungsbeispielen der vorliegenden Erfindung;
  • 2 ein Blockflußdiagramm gemäß Ausführungsbeispielen der vorliegenden Erfindung; und
  • 3 eine Blockdiagrammübersicht eines generischen Computersystems gemäß Ausführungsbeispielen der vorliegenden Erfindung.
  • Die vorangehenden Beschreibungen von spezifischen Ausführungsbeispielen der vorliegenden Erfindung wurden zu Zwecken der Darstellung und Beschreibung vorgelegt. Sie sollen nicht erschöpfend sein und die Erfindung auf die genauen offenbarten Formen einschränken, und offensichtlich sind viele Modifikationen und Variationen im Hinblick auf die obigen Lehren möglich. Die Ausführungsbeispiele wurden ausgewählt und beschrieben, um die Prinzipien der Erfindung und ihre praktische Anwendung bestmöglich zu beschreiben, um es dadurch anderen Fachleuten auf dem Gebiet zu ermöglichen, die Erfindung und verschiedene Ausführungsbeispiele mit verschiedenen Modifikationen bestmöglich zu verwenden, wie sie für die bestimmte gedachte Verwendung geeignet sind. Der Schutzerbereich der Erfindung soll durch die hier angefügten Ansprüche und ihre Entsprechungen definiert sein.
  • Diese Anmeldung lagert hierin durch Bezugnahme die mitanhängige Patentanmeldung Anwaltsaktenzeichen HP-200209646-1 mit dem Titel „Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren" ein, die gleichzeitig mit der Vorliegenden eingereicht wird und demselben Bevollmächtigten der vorliegenden Anmeldung zugewiesen ist.
  • 1 stellt ein einsetzbares Netzwerkeindringungserfassungssystem 112 mit Sonden in einem typischen bereitstellbaren Netzwerk oder Hilfsprogrammdatenzentrum (UDC) dar. Das bereitstellbare Netzwerk oder Hilfsprogrammdatenzentrum (UDC) 100 ist begrenzt durch eine virtuelle Sicherheitsgrenze 150 gezeigt. Die Grenze 150 ist hier nur gezeigt, um das Verdeutlichen der hierin vorgelegten Konzepte zu unterstützen. Ein typisches UDC 100 weist ein lokales Operationszentrumsnetz (LAN; LAN = local area network) 105, ein Datenzentrum-Hilfsprogrammsteuerungs-LAN 101 und Ressourcenpools 106 auf. Es wird hier darauf hingewiesen, daß UDCs durch ihre Eigenschaft in ihrer Zusammensetzung flexibel sind und eine beliebige Anzahl und einen beliebigen Typ von Vorrichtungen und Systemen aufweisen. Sie erhalten ihre Nützlichkeit aus ihrer Flexibilität. Diese spezifische Architektur, die in 1 dargestellt ist, soll die Anwendung der Ausführungsbeispiele der vorliegenden Erfindung nicht auf eine bestimmte bereitstellbare Netzwerkarchitektur einschränken.
  • Ein typisches UDC 100 kommuniziert bei dieser Darstellung mit der Außenwelt über das Internet 120 und ein virtuelles öffentliches Netzwerk (VPN) 121. Die Kommunikationsverbindungen, die diese Kommunikation ermöglichen, werden durch eine Firewall (bzw. Brandmauer) 110 geschützt. Die Firewall 100 ist gezeigt, um ein Konzept darzustellen, und soll kein bestimmtes Verfahren oder System des Eindringungsschutzes angeben. Viele Typen von Hardware- und Software-Firewalls sind in der Technik bekannt und die Firewall 110 kann eines oder beides sein.
  • Es wird hier darauf hingewiesen, daß bei einem typischen UDC 100 drei „Vertrauensbereiche" vorliegen; LANs oder Teilsysteme, die durch unterschiedliche Ebenen der Systemverwaltung zugreifbar sind und durch dieselben betrieben werden. Die Bedeutung der Unterscheidung der Vertrauensebene, die an jeden Vertrauensbereich angebracht ist, wird bei der nachfolgenden Erörterung deutlicher. Die Vertrauensebene kann bei Ausführungsbeispielen der vorliegenden Erfindung in einer Vertrauenshierarchie eingerichtet sein.
  • Die Firewall 110 trennt einen Gesamtvertrauensbereich, das UDC, von der Außenwelt, die durch das Internet 120 und das VPN 121 angezeigt ist. Das Operationszentrums-LAN (OC-LAN) 105 weist einen internen Vertrauensbereich auf. In dem OC-LAN 105 sind Verwalter-von-Verwaltern-Server (MoM-Server) 109, ein Netzwerkeindringungserfassungssystem (NIDS = Network Intrusion Detection System) 112, NIDS-Verwalter 111 und Mehrfachsegmentsonden 113 und 115 umfaßt. Es wird darauf hingewiesen, daß obwohl ein NIDS 112, ein NIDS-Verwalter 111 und Mehrfachsegmentsonden 113 und 115 als computerähnliche Vorrichtungen dargestellt sind, ihre physische Existenz nicht auf eine bestimmte Vorrichtung beschränkt ist. Jedes derselben kann als eine alleinstehende Vorrichtung existieren oder als Software implementiert sein, die in einer physischen Vorrichtung oder einem Server angeordnet ist. Eindringungserfassungssonden 125 sind als Aktionen dargestellt und nicht als eine Form von Vorrichtung.
  • Das Herzstück eines UDC ist das Datenzentrums-Hilfsprogrammsteuerungs-(UC)-LAN 101. Dieses LAN stellt einen anderen, höheren, internen Vertrauensbereich dar. Das UC-LAN kommuniziert durch das OC-LAN 105 und ist üblicherweise von demselben durch verschiedene Formen von Firewalls 102 getrennt. Das UC-LAN 101 kann verschiedene Anzahlen von Ressourcenverwaltern aufweisen, wie z. B. bei 103 dargestellt ist. Die Flexibilität, die dem UDC-Konzept eigen ist, kann zu vielen Kombinationen von Ressourcen und Ressourcenverwaltern führen. Ressourcenverwalter 103 sind die typische Schnittstelle mit den verschiedenen Ressourcenpools 106, die mit denselben durch eine Art von Schaltnetzwerk kommunizieren, wie durch den Reihe-1-Schalter bei 108 angezeigt ist.
  • Ressourcenpools 106 sind grenzenlos flexibel, weisen eine denkbare Kombination von Datenservern, Rechenfähigkeit, Lastausgleichsservern oder einer anderen vorstellbaren Vorrichtung oder Fähigkeit auf. Aufgrund der möglichen Vielzahl von Ressourcen, die in Ressourcenpools 106 umfaßt sein können, sind dieselben von dem UC-LAN 101 durch Firewalls 104 getrennt, die wie UC-Firewalls 102 Software oder Hardware oder beides in vielen Kombinationen sein können.
  • Es wird wiederum darauf hingewiesen, daß die virtuelle Sicherheitsgrenze 150 nicht in einem physischen Sinn existiert. Ressourcen, die in Ressourcenpools 106 umfaßt sind, können Vorrichtungen und Server umfassen, die in einer Distanz von den anderen Elementen des UDC 100 angeordnet sind.
  • Das NIDS 112 kommuniziert direkt mit dem OC-LAN 105. Eindringungserfassungssonden 125 werden in dem UDC 100 derart eingesetzt, daß die Verwaltungskomponenten des UDC 100 vor Eindringungen geschützt werden, die entweder aus einer externen Quelle stammen, wie z. B. dem der Öffentlichkeit zugewandten Internet/VPN-Netzwerk 120, den verwalteten Ressourcen 106, die durch das UDC 100 bereitgestellt werden, oder den Systemen innerhalb des weniger vertrauenswürdigen Teils der UDC-Verwaltungsinfrastruktur.
  • Dieses Ausführungsbeispiel der vorliegenden Erfindung unterscheidet zwischen drei Vertrauensbereichen, die in einer Vertrauenshierarchie eingerichtet sind:
    • 1. Das Operationszentrums-LAN (OC-LAN) 105, wo ein nichtkritisches UDC und andere operationsbezogene Funktionen vorliegen. Die Vertrauensebene ist niedriger als das Datenzentrumssteuerungs-LAN 101.
    • 2. Das Datenzentrumssteuerungs-LAN 101, wo Aufgaben bezüglich der automatisierten Bereitstellung von verwalteten Ressourcen 106 vorliegen. Zugriff auf das Datenzentrums-LAN 101 ist strikt eingeschränkt.
    • 3. Die Verwaltete-Ressourcen-LANs, wo die verwalteten Ressourcen 106 vorliegen. Diese LANs sind üblicherweise nicht vertrauenswürdig.
  • Es wird hier darauf hingewiesen, daß Klienten des UDC von außerhalb der Vertrauensstruktur stammen und auf Elemente des UDC über das Internet oder ein virtuelles privates Netzwerk (VPN) zugreifen, das in der Internetinfrastruktur vorliegt.
  • Wie in 1 gezeigt ist, werden NIDS-Sonden 125 um die Firewalls 102 und 104 eingesetzt, die einen Eingang/Ausgang zu dem Datenzentrumssteuerungs-LAN 101 liefern. Sonden 125 werden ferner um die Ressourcenverwalter 103 verwendet, die als ein Gateway zwischen den verwalteten Ressourcen und dem Datenzentrumssteuerungs-LAN 101 wirken.
  • Die Sonden 125 senden Warnmeldungen zu dem NIDS-Verwalter 111. Als Teil des initiierten Ansprechens auf eine Warnmeldung ist der NIDS-Verwalter 111 konfiguriert, um die Priorität jeder Warnung abhängig von sowohl der Sonde, die die Warnung erfaßt hat, als auch dem Typ der Warnung, die erfaßt wurde, zu erhöhen oder zu verniedrigen.
  • Der NIDS-Verwalter 111 sendet wiederum seine Warnungen höchster Priorität an einen Warnungsmonitor, der in dem Operationszentrums-LAN 105 angeordnet ist. Nicht gezeigt in 1 aber auf jedem Computersystem in dem Operationszentrum 105 und den Datenzentrumssteuerungs-LANs 101 vorhanden ist eine Hosteindringungserfassungssystem-Software (HIDS-Software; HIDS = Host Intrusion Detection System).
  • Das HIDS-System ist auf die Funktionen abgestimmt, die durch jedes System bereitgestellt werden, oder konfiguriert, um die Anzahl von falschen Eindringungswarnungen zu minimieren. Warnungen werden zu dem Ereignismonitor gesendet, der in dem Operationszentrum 105 vorliegt. Warnungen werden ferner zu einem HIDS-Verwalter gesendet, der auf denselben Systemen vorliegt wie der Ereignismonitor.
  • Der Ereignismonitor, der in dem OC 105 vorliegt, erfaßt Ereignisse von sowohl dem HIDS- als auch dem NIDS-System und von der Firewall 110, die zwischen dem Operationszentrum und dem externen VPN-Netzwerk oder dem Internet verwendet wird. Eine optionale NIDS-Sonde oder ein Satz von Sonden kann zwischen dieser Firewall 110 und dem Operationszentrums-LAN 105 eingesetzt werden. Der Ereignismonitor kann Ereignisse von sowohl dem HIDS- als auch dem NIDS-System reduzieren und korrelieren.
  • Jedes der Systeme bei diesem Ausführungsbeispiel der vorliegenden Erfindung und die NIDS-Sonden weisen ihr Softwarebetriebssystem geschützt durch eine „Verriegelungs"-Software auf, derart, daß es schwierig gemacht wird, nicht autorisierten Zugriff auf dieselben zu gewinnen. Die Verriegelungssoftware-Konfiguration ist auf die individuellen Systeme maßgeschneidert.
  • Ausführungsbeispiele der vorliegenden Erfindung ermöglichen dadurch eine zweckmäßige Verwaltungsvorrichtung, daß HIDS- und NIDS-Ereignisse und Warnungen für das UDC 100 in einem einzelnen Browser angezeigt werden, der für die UDC-Verwaltung verfügbar ist.
  • HIDS- und NIDS-Konfigurationen können für ein UDC kundenspezifisch hergestellt werden. Das hier erörterte Ausführungsbeispiel der vorliegenden Erfindung integriert Technik, die von Datenkommunikationsschalter-Verkäufern, Datenkommunikationsfirewall-Verkäufern, Netzwerkeindringungserfassungssoftware-Verkäufern, Hosteindringungserfassungssoftware-Verkäufern und einer Betriebssystemverriegelungssoftware bereitgestellt werden. Sowohl ein HIDS als auch ein NIDS ist für ein UDC bereitgestellt.
  • Die Operation eines Ausführungsbeispiels der vorliegenden Erfindung ist in 2 in Blockflußform dargestellt. Der Prozeß 200 beginnt mit dem Bereitstellen einer konfigurierbaren, einsetzbaren Eindringungserfassungssonde in einem bereitstellbaren Netzwerk, wie z. B. einem UDC 210. Eine Sonde wird eingesetzt, 220, und wenn eine Eindringung bei 230 erfaßt wird, wird eine Warnung gemäß dem Typ der Eindringung und dem Bereich, in dem die Eindringung erfaßt wird, erzeugt. Der Bereich der Erfassung wird gemäß einer Vertrauenshierarchie eingestuft.
  • Bei Schritt 250 wird eine Antwort auf die Warnung initiiert. Die Antwort kann eine Anzahl von möglichen Antworten sein. Bei dem Ausführungsbeispiel der vorliegenden Erfindung, das hier erörtert wird, kann die Warnung von einem Flag reichen, das für die Aufmerksamkeit der Systemverwaltung gesetzt wird, bis zu einem harten Ausschluß der Quelle und Position der Eindringung. Die Ebene der Antwort wird wiederum durch die Ebene und die Quelle der Warnung und die Vertrauensebene bestimmt, die aus einer Vertrauenshierarchie des Bereichs oder einer Vertrauensdomäne bestimmt wird, in der die Eindringung erfaßt wird. Das hier dargestellte Ausführungsbeispiel setzt seine Eindringungserfassungsüberwachung fort, bis es angehalten wird, 299.
  • Die Softwarekomponenten von Ausführungsbeispielen der vorliegenden Erfindung laufen auf Computern. Eine Konfiguration, die für ein generisches Computersystem typisch ist, ist in Blockdiagrammform in 3 dargestellt. Ein generischer Computer 300 ist durch einen Prozessor 301, der elektronisch durch einen Bus 350 mit einem flüchtigen Speicher 302 verbunden ist, einen nichtflüchtigen Speicher 302, möglicherweise eine Form einer Datenspeicherungsvorrichtung 304 und eine Anzeigevorrichtung 305 charakterisiert. Es wird darauf hingewiesen, daß die Anzeigevorrichtung 305 in unterschiedlichen Formen implementiert sein kann. Während ein Video-CRT- oder LCD-Bildschirm üblich ist, kann dieses Ausführungsbeispiel mit anderen Vorrichtungen oder möglicherweise keiner derselben implementiert sein. Die Systemverwaltung ist mit diesem Ausführungsbeispiel der vorliegenden Erfindung in der Lage, die momentane Position der Einrichtung zum Augeben von Warnflags zu bestimmen und die Position ist nicht auf die physische Vorrichtung beschränkt, in der dieses Ausführungsbeispiel der vorliegenden Erfindung vorliegt.
  • Auf ähnliche Weise sind über den Bus 350 eine mögliche alphanumerische Eingabevorrichtung 306, eine Cursorsteuerung 307 und eine Kommunikations-I/O-Vorrichtung 308 verbunden. Eine alphanumerische Eingabevorrichtung 306 kann als eine Anzahl von möglichen Vorrichtungen implementiert sein, einschließlich Video-CRT- und -LCD-Vorrichtungen. Ausführungsbeispiele der vorliegenden Erfindung können jedoch in Systemen arbeiten, in denen eine Eindringungserfassung entfernt von einer Systemverwaltungsvorrichtung angeordnet ist, wodurch der Bedarf nach einer direkt ange schlossenen Anzeigevorrichtung und nach einer alphanumerischen Eingabevorrichtung offensichtlich wird. Auf ähnliche Weise basiert die Verwendung der Cursorsteuerung 307 auf der Verwendung einer graphischen Anzeigevorrichtung 305. Eine Kommunikations-I/O-Vorrichtung 308 kann als ein großer Bereich von möglichen Vorrichtungen implementiert sein, einschließlich einer seriellen Verbindung, eines USB, eines Infrarot-Sende-Empfangs-Geräts, eines Netzwerkadapters oder eines HF-Sende-Empfangs-Geräts.
  • Die Konfiguration der Vorrichtungen, in denen dieses Ausführungsbeispiel der vorliegenden Erfindung vorliegt, kann ohne Auswirkung auf die hierin präsentierten Konzepte variieren. Die Flexibilität des UDC-Konzepts liefert eine grenzenlose Vielzahl von möglichen Hartwarevorrichtungs- und Zwischenverbindungs-Kombinationen, bei denen Ausführungsbeispiele der vorliegenden Erfindung bereitgestellt sein können.
  • Diese Beschreibung von Ausführungsbeispielen der vorliegenden Erfindung präsentiert ein Verfahren zum Verwenden von sowohl Netzwerk- als auch Host-Eindringungserfassungs-Sonden in einem bereitstellbaren Datenzentrum, ebenfalls bekannt als ein Hilfsprogrammdatenzentrum (UDC), derart, daß die Verwaltungskomponenten des Datenzentrums vor Eindringungen geschützt werden, die entweder von einer externen Quelle, wie z. B. dem der Öffentlichkeit zugewandten Internet/VPN-Netzwerk, den verwalteten Ressourcen, die durch das UDC bereitgestellt werden oder den Systemen innerhalb eines weniger vertrauenswürdigen Teils der UDC-Verwaltungsinfrastruktur stammen.
  • Die vorangehenden Beschreibungen von spezifischen Ausführungsbeispielen der vorliegenden Erfindung wurden zu Zwecken der Darstellung und Beschreibung präsentiert. Sie sollen nicht erschöpfend sein oder die Erfindung auf die genauen offenbarten Formen einschränken, und offensichtlich sind viele Modifikationen und Variationen im Hinblick auf die obige Lehre möglich. Die Ausführungsbeispiele wurden ausgewählt und beschrieben, um die Prinzipien der Erfindung und ihre praktische Anwendung bestmöglich zu beschreiben, um es dadurch anderen Fachleuten auf dem Gebiet zu ermöglichen, die Erfindung und verschiedene Ausführungsbeispiele mit verschiedenen Modifikationen bestmöglich zu verwenden, wie sie für die bestimmte beabsichtigte Verwendung geeignet sind. Der Schutzbereich der Erfindung soll durch die hieran angegliederten Ansprüche und ihre Entsprechungen definiert sein.

Claims (33)

  1. System (111, 112) zum Schützen der Sicherheit eines bereitstellbaren Netzwerks (100), das folgende Merkmale aufweist: einen Netzwerkserver (109); einen Netzwerkklienten, der kommunikativ mit dem Server (109) gekoppelt ist; einen Ressourcenpool (106), der mit dem Server (109) zur Verwendung durch den Klienten gekoppelt ist; ein Ressourcenverwaltungssystem (103) zum Verwalten der Ressourcen; und ein Eindringungserfassungssystem (115), aktiviert zum Erfassen und Ansprechen auf eine Eindringung in das Netzwerk.
  2. System (111, 112) gemäß Anspruch 1, bei dem das bereitstellbare Netzwerk ein Hilfsprogrammdatenzentrum (100) aufweist.
  3. System (111, 112) gemäß Anspruch 1 oder 2, bei dem das bereitstellbare Netzwerk einen Ressourcenverwalter (103) aufweist.
  4. System gemäß einem der Ansprüche 1 bis 3, bei dem das Eindringungserfassungssystem aktiviert ist, um zumindest eine Eindringungserfassungs-Sonde zu verwenden.
  5. System (111, 112) gemäß einem der Ansprüche 1 bis 4, bei dem die Eindringung eine Verwendung durch einen nicht autorisierten Benutzer aufweist.
  6. System (111, 112) gemäß einem der Ansprüche 1 bis 5, bei dem die Eindringung eine nicht autorisierte Verwendung durch einen autorisierten Benutzer aufweist.
  7. System (111, 112) gemäß einem der Ansprüche 1 bis 6, bei dem die Eindringung aus innerhalb dem bereitstellbaren Netzwerk stammt.
  8. System (111, 112) gemäß einem der Ansprüche 1 bis 7, bei dem das Eindringungserfassungssystem eine Software aufweist, die in einer Netzwerkvorrichtung vorliegt.
  9. System (111, 112) gemäß einem der Ansprüche 1 bis 8, bei dem das Eindringungserfassungssystem eine Software aufweist, die in einem Hilfsprogrammsteuerungs-Host vorliegt.
  10. Verfahren (200) zum Bereitstellen von Sicherheit in einem bereitstellbaren Netzwerk (100), wobei das Verfahren folgende Schritte aufweist: Bereitstellen (210) einer Eindringungserfassungssonde (125), die in dem bereitstellbaren Netzwerk (100) einsetzbar ist, wobei die Eindringungserfassungssonde konfiguriert ist, um eine Eindringung in das bereitstellbare Netzwerk zu erfassen; Erzeugen einer Warnung (240) basierend auf der Erfassung der Eindringung in das bereitstellbare Netzwerk (100), wobei die Warnung gemäß einer Vertrauenshierarchie erzeugt wird; und Erzeugen einer Antwort (250) basierend auf der Warnung und der Vertrauenshierarchie.
  11. Verfahren (200) gemäß Anspruch 10, bei dem das bereitstellbare Netzwerk (100) ein Hilfsprogrammdatenzentrum aufweist.
  12. Verfahren (200) gemäß Anspruch 10 oder 11, bei dem das bereitstellbare Netzwerk (100) einen Ressourcenpool (106) aufweist.
  13. Verfahren (200) gemäß einem der Ansprüche 10 bis 12, bei dem das bereitstellbare Netzwerk (100) einen Ressourcenverwalter aufweist.
  14. Verfahren gemäß einem der Ansprüche 10 bis 13, bei dem das bereitstellbare Netzwerk (100) ein Netzwerkeindringungserfassungssystem aufweist.
  15. Verfahren gemäß Anspruch 14, bei dem das Bereitstellen einer einsetzbaren Eindringungserfassungssonde (125) in dem Netzwerkeindringungserfassungssystem erreicht wird.
  16. Verfahren gemäß Anspruch 14 oder 15, bei dem das Erzeugen einer Warnung basierend auf der Erfassung der Eindringung in dem Netzwerkeindringungserfassungssystem erreicht wird.
  17. Verfahren (200) gemäß einem der Ansprüche 10 bis 16, bei dem das Erzeugen einer Antwort das Initiieren einer Verriegelung aufweist.
  18. Verfahren gemäß Anspruch 17, bei dem die Antwort eine Systemverriegelung aufweist.
  19. Verfahren (200) gemäß Anspruch 17 oder 18, bei dem die Antwort eine Vorrichtungsverriegelung aufweist.
  20. Verfahren (200) gemäß einem der Ansprüche 10 bis 19, bei dem die Eindringung eine Verwendung durch einen nicht autorisierten Benutzer aufweist.
  21. Verfahren (200) gemäß einem der Ansprüche 10 bis 20, bei dem die Eindringung eine nicht autorisierte Verwendung durch einen autorisierten Benutzer aufweist.
  22. Verfahren (200) gemäß einem der Ansprüche 10 bis 21, bei dem die Eindringung aus innerhalb dem bereitstellbaren Netzwerk stammt.
  23. Verfahren (200) gemäß einem der Ansprüche 10 bis 22, bei dem das Netzwerkeindringungserfassungssystem eine Software aufweist, die in einer Netzwerkvorrichtung vorliegt.
  24. Netzwerkeindringungserfassungssystem, das aktiviert ist, um eine Eindringungserfassungssonde (125) zu verwenden, das folgende Merkmale aufweist: eine Eindringungserfassungssoftware, die in einer Netzwerkvorrichtung vorliegt, wobei die Vorrichtung kommunikativ mit einem bereitstellbaren Netzwerk gekoppelt ist; eine Vertrauenshierarchie, die aktiviert ist, um mit der Software zu kommunizieren und eine Bewertung einer erfaßten Eindringung zu verursachen; und eine Netzwerkvorrichtung, die aktiviert ist, um eine Antwort auf eine erfaßte Eindringung zu erzeugen.
  25. Netzwerkeindringungserfassungssystem gemäß Anspruch 24, bei dem das bereitstellbare Netzwerk ein Hilfsprogrammdatenzentrum aufweist.
  26. Netzwerkeindringungserfassungssystem gemäß Anspruch 24 oder 25, bei dem das bereitstellbare Netzwerk (100) einen Ressourcenpool (106) aufweist.
  27. Netzwerkeindringungserfassungssystem gemäß Anspruch 24, bei dem das bereitstellbare Netzwerk einen Ressourcenverwalter aufweist.
  28. Netzwerkeindringungserfassungssystem gemäß einem der Ansprüche 24 bis 27, bei dem das bereitstellbare Netzwerk (100) ein Netzwerkeindringungserfassungssystem aufweist.
  29. Netzwerkeindringungserfassungssystem gemäß einem der Ansprüche 24 bis 28, bei dem das Bereitstellen einer einsetzbaren Eindringungserfassungssonde in dem Netzwerkeindringungserfassungssystem erreicht wird.
  30. Netzwerkeindringungserfassungssystem gemäß einem der Ansprüche 24 bis 29, bei dem das Erzeugen einer Warnung basierend auf der Erfassung der Eindringung in dem Netzwerkeindringungserfassungssystem erreicht wird.
  31. Netzwerkeindringungserfassungssystem gemäß einem der Ansprüche 24 bis 30, bei dem die Vertrauenshierarchie konfigurierbar ist.
  32. Netzwerkeindringungserfassungssystem gemäß einem der Ansprüche 24 bis 31, bei dem das Erzeugen einer Antwort das Initiieren einer Verriegelung aufweist.
  33. Netzwerkeindringungserfassungssystem gemäß Anspruch 32, bei dem die Antwort eine Systemverriegelung aufweist.
DE10346927A 2003-01-21 2003-10-09 Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks Ceased DE10346927A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/349,385 US8533828B2 (en) 2003-01-21 2003-01-21 System for protecting security of a provisionable network
US10/349385 2003-01-21

Publications (1)

Publication Number Publication Date
DE10346927A1 true DE10346927A1 (de) 2004-08-05

Family

ID=32681621

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10346927A Ceased DE10346927A1 (de) 2003-01-21 2003-10-09 Ein System zum Schützen der Sicherheit eines bereitstellbaren Netzwerks

Country Status (2)

Country Link
US (1) US8533828B2 (de)
DE (1) DE10346927A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050157662A1 (en) * 2004-01-20 2005-07-21 Justin Bingham Systems and methods for detecting a compromised network
US9106572B2 (en) * 2009-09-30 2015-08-11 Alcatel Lucent Immobilization module for security on a communication system
CN102437938B (zh) * 2012-01-09 2013-11-13 北京邮电大学 面向大规模网络监测的虚拟化部署***和方法
US10469524B2 (en) * 2013-12-18 2019-11-05 Intel Corporation Techniques for integrated endpoint and network detection and eradication of attacks
US9509587B1 (en) 2015-03-19 2016-11-29 Sprint Communications Company L.P. Hardware root of trust (HROT) for internet protocol (IP) communications

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US6735701B1 (en) * 1998-06-25 2004-05-11 Macarthur Investments, Llc Network policy management and effectiveness system
US20020004390A1 (en) * 2000-05-05 2002-01-10 Cutaia Rory Joseph Method and system for managing telecommunications services and network interconnections
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
US20030110392A1 (en) * 2001-12-06 2003-06-12 Aucsmith David W. Detecting intrusions
US20030117280A1 (en) * 2001-12-20 2003-06-26 Visionary Enterprises, Inc. Security communication and remote monitoring/response system
EP1579638A1 (de) * 2002-12-02 2005-09-28 Operax AB Anordnungen und verfahren zur hierarchischen betriebsmittelverwaltung in einer geschichteten netzwerkarchitektur

Also Published As

Publication number Publication date
US20040143759A1 (en) 2004-07-22
US8533828B2 (en) 2013-09-10

Similar Documents

Publication Publication Date Title
DE60210269T2 (de) Methode und system zur bekämpfung von robots und rogues
DE60115845T2 (de) System und verfahren zur beurteilung der verletzlichkeit der netzsicherheit mit fuzzy logik regeln
DE60121917T2 (de) System zur sicherheitsbeurteilung von einem netzwerk
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE60130902T2 (de) Verfahren zum Erkennen des Eindringens in ein Datenbanksystem
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE60127834T2 (de) Sicherheitsarchitektur zur integration eines betriebsinformationssystems mit einer j2ee plattform
DE60308722T2 (de) Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE69818232T2 (de) Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten
DE69824444T2 (de) Verfahren und system zur durchsetzung eines kommunikationsicherheitsverfahrens
DE60112044T2 (de) Vorrichtung und verfahren zur beurteilung der verletzlichkeit des netzsicherheit
DE69927929T2 (de) Verfahren und System zur Netzwerkverwaltung
DE69736697T2 (de) Verfahren und Gerät zur Steuerung von Zugriff auf Systembetriebsmittel
EP1715395B1 (de) Vorrichtung für sicheren Fernzugriff
DE69233708T2 (de) Vorrichtung und Verfahren zur Schaffung von Netzwerksicherheit
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE112016001742T5 (de) Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken
DE10249428A1 (de) System und Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60018094T2 (de) Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung
DE60114763T2 (de) Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt
DE102008012386A1 (de) Konfigurationsvorrichtung und -verfahren
DE10314792A1 (de) Verfolgen von Benutzern an einem Webservernetz
DE60122828T2 (de) Vorrichtung und Verfahren zur Erzeugung eines Unterschriftszertifikats in einer Infrastruktur mit öffentlichen Schlüsseln
DE10346923A1 (de) Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final
R003 Refusal decision now final

Effective date: 20150113