DE60213391T2 - Persönlicher Firewall mit Positionsdetektion - Google Patents

Persönlicher Firewall mit Positionsdetektion Download PDF

Info

Publication number
DE60213391T2
DE60213391T2 DE60213391T DE60213391T DE60213391T2 DE 60213391 T2 DE60213391 T2 DE 60213391T2 DE 60213391 T DE60213391 T DE 60213391T DE 60213391 T DE60213391 T DE 60213391T DE 60213391 T2 DE60213391 T2 DE 60213391T2
Authority
DE
Germany
Prior art keywords
address
computer
current
personal firewall
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60213391T
Other languages
English (en)
Other versions
DE60213391D1 (de
Inventor
Tuomo 01450 Syvänne
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stonesoft Corp
Original Assignee
Stonesoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stonesoft Corp filed Critical Stonesoft Corp
Application granted granted Critical
Publication of DE60213391D1 publication Critical patent/DE60213391D1/de
Publication of DE60213391T2 publication Critical patent/DE60213391T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

  • Erfindungsgebiet
  • Die vorliegende Erfindung bezieht sich auf Netzsicherheit und insbesondere auf persönliche Firewalls.
  • Hintergrund der Erfindung
  • Üblicherweise wird eine Firewall als eine Reihe von Komponenten angesehen, die zwischen zwei oder mehr Netzen einen Zugang bilden. Somit ist ein Firewall ein Zugang, der gleichzeitig als Verbinder und Separator zwischen den Netzwerken in dem Sinne arbeitet, daß die Firewall den durch sie laufenden Verkehr von dem einen Netz zum anderen in Gang hält und Verbindungen sowie Pakete, die von dem Administrator des Systems als unerwünscht bezeichnet werden, beschränkt. Physikalisch gesehen ist eine Firewall eine Maschine mit geeigneter Software, um die ihr zugewiesenen Aufgaben zu erfüllen. Sie kann ein Steuerer, ein Personalcomputer (PC) oder irgendeine andere Vorrichtung sein, die sich für derartige Zwecke verwenden läßt. Obgleich Firewalls meistens zur Verbindung von Local Area Networks (LANs) verwendet werden, d. h. internen Netzen für das Internet und zum Schutz gegen Angreifer oder im allgemeinen unerwünschten Verkehr, lassen sie sich auch zu Sicherheitszwecken zur Trennung und Verbindung unterschiedlicher Segmente des inneren Netzes benutzen. Die Vorteile einer Firewall sind zahlreich. Eine Firewall sichert das Netz und kann als Werkzeug zur Überwachung des Verkehrs, insbesondere von außerhalb ins Innere des Netzes, dienen, das von einer Firewall geschützt wird. Da der ganze Verkehr, der für das innere Netz gedacht ist, durch die Firewall laufen muß, können die meisten Netzsicherheitsaktionen und Aufgaben auf diesen besonderen Punkt konzentriert werden. Dies ist natürlich ein kosten- und verwaltungstechnischer Vorteil.
  • Heutzutage werden Laptop-Computer und andere tragbare Computervorrichtungen weitläufig benutzt. Obwohl außerhalb des internen Netzes kann der Laptop dennoch von dem Schutz, der durch die herkömmliche Firewall des "Gateway-Typs" geboten wird, profitieren. Deshalb wurden Vorgehensweisen zur Verbesserung des Schutzes eines Benutzers in einem fremden Netz (ein öffentliches Netz oder ein internes Netz einer fremden Organisation) vorgeschlagen. Diese Vorge hensweisen beruhen auf dem Schutz des Laptops selbst mit Hilfe eines lokalen Sicherheitsmechanismus, hier genannt eine persönliche Firewall, die in dem Laptop installiert ist (zusätzlich oder anstelle einer Firewall in einem internen Netz, die die mit dem internen Netz verbundenen Computer schützt). Die persönliche Firewall kann in Form einer Software in der Computereinrichtung installiert werden oder als separate elektronische Einrichtung, die mit der Computereinrichtung verbunden ist.
  • Das europäische Patent EP 0 952 715 offenbart eine Firewall-Sicherheitsvorrichtung, die mit einem externen Kommunikationsanschluß einer Computereinrichtung verbunden ist. Der einkommende Kommunikationsstrom für die Computereinrichtung aus einem beispielsweise öffentlichen Netz wird durch die Firewall-Sicherheitseinrichtung geschickt. Die Firewall-Einrichtung verwendet Standardsicherheitsmaßnahmen, um dadurch die Computereinrichtung zu schützen.
  • EP 0 854 621 offenbart ein System und ein Verfahren, die eine ebenbürtige Zugangskontrolle für ein Netz bieten. Die ebenbürtige lokale Regelbasis wird in einen Filter geladen, nachdem die Ebenbürtigkeit bzw. Gleichheit festgestellt worden ist, und wird gelöscht, sobald die Gleichheit nicht mehr besteht.
  • Vorzugsweise wird der Laptop automatisch mit einem ausreichenden Niveauschutz versehen, sobald er an ein fremdes Netz angeschlossen wird. Manuelle Bedienung reicht nicht aus, da die Laptops oftmals durch technisch ungebildetes Personal bedient werden, was das Risiko, daß Sicherheitsaspekte übersehen werden, vergrößert. Laptops enthalten empfindliches Material, beispielsweise Benutzer-E-Mails. Wenn ein Laptop ungeschützt ist, sobald er mit einem fremden Netz verbunden wird, und zwar selbst für eine nur kurze Zeitspanne, besteht ein Risiko dafür, durch die Gastanwendung infiziert zu werden. Eine derartige Anwendung kann später aktiviert werden, sobald der Laptop mit dem internen Netz verbunden ist und Inside-Hilfe gegen Attacken geboten wird. Andererseits kann dann, wenn der Laptop mit einem internen Geschäftsnetz verbunden wird, eine solche persönliche Firewall in gewisser Weise einen wesentllichen Verkehr unangemessen verhindern. So sollte beispielsweise die persönliche Firewall zulassen, daß ein Laptap zuhause (internes Netz) benutzt wird und Zugang zu allen Diensten ermöglichen, beispielsweise gemeinsame Festplatten-Benutzung. In einem Heimnetz werden sogar manchmal Nicht-IP-Protokolle benutzt. Daher ist es nicht möglich, eine persönliche Firewall ganzzeitlich laufen zu lassen, zumindest nicht mit derselben Konfiguration, da die Schutzanforderungen in einem internen Netz sich von denjenigen in einem fremden Netz unterscheiden.
  • Somit besteht ein Bedarf an einer ortsabhängigen Steuerung für eine persönliche Firewall. Außerdem gibt es andere Funktionen, beispielsweise ein zentrales Management einer persönlichen Firewall, die Vorteile daraus ziehen können, daß der Ort der Firewall mit einem ausreichendem Maß an Sicherheit bekannt ist.
  • Ein Weg zur Bestimmung der gegenwärtigen Lage der Computervorrichtung stützt sich auf eine augenblicklich verwendete IP-Adresse für die Computervorrichtung. Dies basiert auf der allgemeinen Praxis, daß eine Computervorrichtung in verschiedenen Netzwerken eine unterschiedliche IP-Adresse aufweist, entweder eine fixe Adresse oder eine dynamische Adresse. Die IP-Adresse kann dafür zur Identifizierung des gegenwärtigen Netzes und der Lage der Computervorrichtung dienen. Es gibt jedoch Situationen, in denen die auf der Grundlage der gegenwärtigen IP-Adresse bestimmte Lage unsicher ist, d. h. die IP-Adresse kann die gegenwärtige Lage des Laptops nicht bestimmen. Wenn die IP-Adresse nicht zu dem gegenwärtigen Netz paßt, ist die Verwendung des Internetprotokolls (IP) zum Angriff auf den Laptop unwahrscheinlich, und man kann vermuten, daß in einem solchen Fall eine persönliche Firewall nicht benutzt zu werden braucht. Es gibt jedoch noch eine Möglichkeit, daß bei Verwendung anderer Protokolle, beispielsweise NetBEUI oder IPX, ein Angriff erfolgt. Wenn eine Situation entdeckt wird, in der die IP-Adresse des Laptops nicht eine IP-Adresse des gegenwärtigen Netzes ist, besteht die Möglichkeit, solche Protokolle zu blockieren, während sie in fremden Netzen sind. Darüber hinaus werden häufig NAT (Network Address Translation) und private IP-Adressen benutzt. D. h., daß dieselbe IP-Adresse in verschiedenen Netzen verwendet werden kann. In diesem Fall reicht es nicht aus, nur der IP-Adresseninformation zu vertrauen, wenn die Lage des Netzes bestimmt wird. Es ist sogar möglich, daß das DHCP (Dynamic Host Configuration Protocol), während es mit einem Gastnetz verbunden ist, die gewöhnliche IP-Adrsse liefert, um es leichter zu machen, den Laptop anzugreifen. Grundsätzlich ermöglicht das DHCP individuellen Computern in einem Netz, einen DHCP-Server anzuschließen und einer dynamischen IP-Adresse des laufenden Netzes zugeordnet zu werden.
  • Zusammenfassung der Erfindung
  • Eine Aufgabe der Erfindung besteht darin, ein Verfahren zur Bestimmung eines Ortes einer persönlichen Firewall zu entwickeln. Diese Aufgabe wird erfindungsgemäß durch die in den Ansprüchen angegebenen Merkmale gelöst. Bevorzugte Ausführungsformen der Erfindung sind in den abhängigen Ansprüchen offenbart.
  • Eine Computereinrichtung, die an ein Heimnetz angeschlossen werden kann (beispielsweise ein internes Netz einer Gesellschaft oder anderer Organisationen, bei der der Benutzer beschäftigt ist) sowie an ein Fremdnetz (beispielsweise ein öffentliches oder ein internes Netz einer fremden Organisation), ist mit einem lokalen Sicherheitsmechanismus versehen, hier genannt einer persönlichen Firewall, um die Computereinrichtung gegen Angriffe aus einem fremden Netz zu schützen, und zwar zusätzlich oder anstelle einer Firewall im internen Netz, die den Computer schützt, sobald er an das interne Netz angeschlossen ist. Die persönliche Firewall ist so angeordnet, daß sie ihre gegenwärtige Lage feststellt, d. h. das Netz ermittelt, an das sie in jedem speziellen Moment gekoppelt ist, um ihren Betrieb entsprechend zu steuern. Die gegenwärtige Lage der Computereinrichtung wird zunächst auf der Grundlage einer gegenwärtig verwendeten IP-Adresse der Computereinrichtung bestimmt. Dann wird diese Lage, die auf der Grundlage der gegenwärtigen IP-Adresse der Computereinrichtung festgestellt worden ist, mit Hilfe einer zusätzlichen lokalen Verifikationsprozedur mit einem vorbestimmten Netzelement verifiziert.
  • Bei einer Ausführungsform der Erfindung wird das Vorhandensein dieses vorbestimmten Netzelementes in Bezug auf die gegenwärtige IP-Adresse überprüft. Das vorbestimmte Netzelement ist derart, daß es nur dann antwortet, wenn die Computereinrichtung in dem Netzwerk liegt, in dem sie angenommenermaßen auf der Grundlage der gegenwärtigen IP-Adresse liegen soll. Wenn das vorbestimmte Netzelement antwortet und sich richtig selbst identifiziert, gilt die gegenwärtige Lage, bestimmt auf der Basis der gegenwärtigen IP-Adresse, als verifiziert. Sonst wird festgestgellt, daß die gegenwärtige IP-Adresse nicht die gegenwärtige Lage der Computereinrichtung anzeigt. Der zusätzliche Verifikationsprozeß macht es sogar möglich, automatisch einen gesicherten Tunnel zu erzeugen, beispielsweise einen VPN-Tunnel für ein Heimnetz, selbst wenn die Computereinrichtung dieselbe IP-Adresse an dem gegenwärtigen Ort benutzt wie in dem internen (Heim-)Netz.
  • Gemäß einer Ausführungsform der Erfindung wird die Ortsinformation zur Auswahl aktiver Sicherheitsregeln für eine persönliche Firewall gemäß der gegenwärtigen Position benutzt.
  • Gemäß einer weiteren Ausführungsform der Erfindung wird die Ortsinformation zum ortsabhängigen Aktualisieren von Sicherheitsregeln von einer zentralen Managementeinheit benutzt.
  • Gemäß noch einer weiteren Ausführungsform der Erfindung wird die Ortsinformation zum ortsabhängigen Behandeln von Log-Dateien in einer persönlichen Firewall verwendet.
  • Kurze Beschreibung der Zeichnungen
  • Bevorzugte Ausführungsformen der Erfindung werden nunmehr unter Bezug auf die angefügten Zeichnungen beschrieben, in denen
  • 1 ein schematisches Blockdiagramm für eine beispielhafte Netzwerkkonfiguration ist, in der die vorliegende Erfindung Anwendung finden kann;
  • 2 einen beispielhaften Protokollstapel einer Computereinrichtung zeigt, die eine erfindungsgemäße persönliche Firewall enthält;
  • 3 und 4 Fließdiagramme beinhalten, die den Ort der Verifikationsprozedur gemäß einer Ausführungsform der Erfindung zeigen.
  • Bevorzugte Ausführungsformen der Erfindung
  • Die vorliegende Erfindung läßt sich für persönliche Firewalls in einer Computereinrichtung anwenden, die bewegt werden kann und an verschiedene Netzwerke angeschlossen wird. Typischerweise sind derartige Einrichtungen portable Computereinrichtungen, beispielsweise Laptop-Computer, PDAs, Commicatoren, PDA-Telefone, intelligente Telekommunikationseinrichtungen, usw. Bei den folgenden beispielhaften Ausführungsformen der Erfindung wird ein Laptop-Computer als Beispiel für geeignete Computereinrichtungen benutzt.
  • 1 zeigt ein schematisches Blockdiagramm einer beispielhaften Netzkonfiguration. Die Konfiguration ist nur zur Erleichterung des Verständnisses und der Beschreibung der Erfindung dargestellt. Die vorliegende Erfindung soll nicht auf irgendeine spezielle Netzkonfiguration beschränkt sein. Darüber hinaus werden zur Verbesserung der Klarheit nur Netzelemente in 1 gezeigt, die mit der vorliegenden Erfindung in irgendeinem Zusammenhang stehen.
  • Wie aus 1 ersichtlich, sind die privaten lokalen Netze 10 und 13 mit einem öffentlichen Netz über Firewalls 5 bzw. 7 verbunden, beispielsweise dem Internet 12. Natürlich kann die Kopplung zwischen den privaten Netzen und dem öffentlichen Internet 12 auch Router und Internet-Service-Provider (ISPs, in 1 nicht gezeigt) enthalten. Wie auf diesem Gebiet der Technik bekannt, können private Netze 10 und 13 beispielsweise Firmennetze sein, wie z. B. lokale Flächennetze (LANs), die Benutzer und Quellen, so beispielsweise Workstations, Server, Drucker und dergleichen der Firma verbinden. Ein privates internes Netz kann auch aus mehreren Unternetzen bestehen, die durch interne Firewalls getrennt sind. Bei der in 1 gezeigten beispielsweisen Netzkonfiguration ist das private Firmenunternetz 11 über eine Firewall 7 mit dem privaten lokalen Netz 10 verbunden. Ein solches Unternetz 11 kann beispielsweise für eine spezielle Abteilung der Organisation vorgesehen werden, beispielsweise der Forschungs- und Entwicklungsabteilung (R & D), die einen beschränkten Zugang und einen höheren Schutzlevel im Vergleich zu anderen Teilen des Firmennetzes haben muß. Unternetze der Firma, wie beispielsweise die lokalen Netze der Firmengeschäftsführung und Zweigstellen, können durch Sicherheitsverbindungen miteinander verbunden werden, beispielsweise ein virtuelles privates Netz (VPN).
  • Wie oben bereits beschrieben, sind die Firewalls 5, 6 und 7 Zugänge, die zwischen den Netzen gleichzeitig als Verbinder und Separatoren in einem Sinne arbeiten, daß die Firewall den Verkehr, der durch sie von einem Netz zum anderen läuft, am Laufen hält und die Verbindungen und Pakete beschränkt, die durch den Administrator des Systems als unerwünscht festgestellt werden. Physikalisch gesehen ist eine Firewall eine Maschine mit geeigneter Software, die die ihr übertragene Aufgabe erfüllt. Sie kann ein Router, ein Personalcomputer (PC) oder irgendeine Einrichtung sein, die sich zu diesen Zwecken benutzen läßt. Die Firewalls zwischen Netzen oder ihr Zubehör sind jedoch für die vorliegende Erfindung nicht relevant.
  • Die vorliegende Erfindung bezieht sich auf den Schutz einer Computereinrichtung, d. h. eines Laptop selbst, mit Hilfe eines lokalen Sicherheitsmechanismus, hier persönliche Firewall genannt, installiert in dem Laptop zusätzlich oder anstelle einer Firewall in einem privaten Netz. Die persönliche Firewall kann als Software verwirklicht sein, die in der Computereinrichtung installiert ist und in ihr läuft, was eine bevorzugte Ausführungsform ist, oder kann eine separate elektronische Einrichtung sein, die mit der Computereinrichtung verbunden ist. In 1 stellen die Laptops 1, 2, 3 und 4 Laptops dar, die mit einer persönlichen Firewall ausgestattet sind.
  • 2 verdeutlicht das Grundprinzip der persönlichen Firewall, installiert in einem Laptop. Physikalische und Netzwerkschichten 200 beziehen sich auf alle Protokolle und physikalische Verbindungen, die zur Übertragung von Protokolldateneinheiten (PDUs) der oberen Schichten erforderlich sind. Die oberen Schichten 200 enthalten Anwendungen und irgendwelche verwendeten Übertragungsprotokolle, beispielsweise das Internetprotokoll (IP), Übertragungs-Steuerprotokolle (TCP), NetBEUI, IPX, usw. Grundsätzlich arbeitet die persönliche Firewall-Schutzschicht 201 in einer Weise analog einer Firewall zwischen Netzen. Im einzelnen arbeitet die persönliche Firewall-Schutzschicht 201 gleichzeitig als Verbinder, also Connector und Separator zwischen darunterliegenden Schichten und der oberen Schicht in einem Sinne, so daß die persönliche Firewall den Verkehr, der durch sie von den darunterliegenden Schichten zu den oberen Schichten läuft und umgekehrt, am laufen hält und Verbindungen sowie Pakete, die als unerwünscht entsprechend den benutzten Sicherheitsregeln gelten, verhindert. Die persönliche Firewall-Schutzschicht 201 wird durch einen persönlichen Firewall-Anwendungslauf 203 im Laptop implementiert oder gesteuert. In der bevorzugten Ausführungsform der Erfindung bewirkt die persönliche Firewall-Anwendung 203 die Durchführung der Ortsfeststellung und der unbeschriebenen ortsabhängigen Funktionen, so beispielsweise der Auswahl der aktiven Regelbasis entsprechend dem gegenwärtigen Ort des Laptops. Es wird jedoch darauf hingewiesen, daß die vorliegende Erfindung nicht auf irgendeine spezielle praktische Anwendung der persönlichen Firewall beschränkt sein soll.
  • Die persönliche Firewall gemäß der Erfindung dient zur Ermittlung der gegenwärtigen Lage, d. h. zur Bestimmung des Netzes, an das sie in dem jeweiligen Augenblick angeschlossen ist, sowie zur Steuerung ihres entsprechenden Betriebs. Der einfachste Weg zur Bestimmung der gegenwärtigen Lage des Laptops ge schieht auf der Grundlage der gegenwärtig verwendeten IP-Adresse. Wie auf diesem Gebiet der Technik bekannt, identifiziert die IP-Adresse das Netz und läßt sich somit zur Ermittlung des gegenwärtigen Netzes benutzen. Die persönliche Firewall kann beispielsweise auch in dem IP-Adressenraum des Heimnetzes und wahlweise der Fremdnetze Informationen enthalten oder eine Adressenliste, die für den Laptop im Heimnetzwerk zur Verfügung steht. Wenn die gegenwärtige IP-Adresse des Laptops mit einem gegebenen Adressenraum oder beispielsweise der Liste der Adressen des Heimnetzes 10 übereinstimmt, kann angenommen werden, daß der Laptop in dem Heimnetz 10 liegt und die Regelbasis des Heimnetzes 10 verwendet wird. Somit wird die gegenwärtige IP-Adresse als Auswahlregel zur Aktivierung einer Regelbasis benutzt.
  • Der gegenwärtige Ort (das gegenwärtige Netz) der Computereinrichtung wird zunächst auf der Basis einer gegenwärtig genutzten IP-Adresse des Laptop bestimmt. Dann wird dieser Ort, der auf der Basis der gegenwärtigen IP-Adresse für die Computereinrichtung bestimmt ist, dadurch verifiziert, daß mit einem vorbestimmten Netzwerkelement eine zusätzliche Ortsverifikationsprozedur durchgeführt wird.
  • Bei einer Ausführungsform der Erfindung wird das Zur-Verfügung-stehen des vorbestimmten Netzwerkelementes unter Bezug auf die gegenwärtige IP-Adresse überprüft. Das vorbestimmte Netzwerkelement ist derart, daß es nur antwortet, wenn die Computereinrichtung in dem Netz liegt, in dem sie angenommenermaßen auf der Basis der gegenwärtigen IP-Adresse liegen soll. Wenn das vorbestimmte Netzelement bzw. Netzwerkelement antwortet und sich selbst richtig identifiziert, gilt der gegenwärtige Ort, bestimmt auf der Basis der gegenwärtigen IP-Adresse, als verifiziert. Sonst bestimmt die Computereinrichtung, daß die gegenwärtige IP-Adresse die gegenwärtige Lage der Computereinrichtung nicht anzeigen kann. Der zusätzliche Verifikationsprozeß macht es jedoch möglich, automatisch einen gesicherten Tunnel zu erzeugen, beispielsweise einen VPN-Tunnel für ein Heimnetz, und zwar selbst dann, wenn die Computereinrichtung dieselbe IP-Adresse an dem gegenwärtigen Ort benutzt wie das interne (Heim-)Netz.
  • Wie oben erwähnt, gibt es Situationen, in denen die Lage (das gegenwärtige Netz) auf der Basis der gegenwärtigen IP-Adresse als ungewiß festgestellt wird, d. h. die IP-Adresse kann nicht die gegenwärtige Lage des Laptop anzeigen. Somit wird erfindungsgemäß, wie oben beschrieben, zusätzlich zur Feststellung der Lage auf der Basis der gegenwärtigen IP-Adresse eine weitere Ortsverifikationsprozedur mit einem vorbestimmten Netzelement ausgeführt, das vorzugsweise nur von dem zu verifizierenden Ort erreichbar ist. Im allgemeinen wird das Netzelement so ausgewählt, daß es auf die Verifikationsforderung nur anspricht, wenn die Forderung von dem Ort (d. h. dem Netz), der zu verifizieren ist, herrührt. Vorzugsweise ist das spezielle Netzelement mit einem Ortsverifikationsservice versehen, der die erfindungsgemäße Verifikation unterstützt. Die Verifikationsprozedur erfordert, daß das Verifikationsverfahren für die persönliche Firewall spezifiziert wird, und zwar vorzugsweise zur gleichen Zeit, wenn die verschiedenen Orte spezifiziert werden. Mit anderen Worten, die Verfahren zum Nachweis des Ortes sind beispielsweise in der ursprünglichen Konfiguration für die persönliche Firewall spezifiziert. Auch ist es möglich, daß die Verifikationsverfahren mit Hilfe der unten beschriebenen Aktualisierungsprozedur in einer Weise, ähnlich den anderen Sicherheitsregeln, aktualisiert oder geändert werden.
  • Ein allgemeines Ortsverifikationsverfahren gemäß einer Ausführungsform der Erfindung ist unter Bezug auf die 3 und 4 beschrieben. Zunächst wird der gegenwärtige Ort (das gegenwärtige Netz) auf der Basis der gegenwärtig benutzten IP-Adresse in der oben beschriebenen Weise (Schritt 301) bestimmt. Danach wählt die persönliche Firewall ein vorbestimmtes Netzelement aus, das für die Verifikation von dem vorbestimmten gegenwärtigen Ort zur Verfügung stehen sollte (Schritt 302). Daraufhin sendet die persönliche Firewall an das gewählte Netzelement eine Aufforderung, eine Antwort auf einige Daten zu senden, die die Identität des Netzelementes beweisen (Schritt 303). Was nun 4 anbelangt, so empfängt das nachweisende Netzelement die Verifikationsaufforderung von einer persönlichen Firewall (Schritt 401). Daraufhin wird immer dann entweder in Beantwortung der Verifikationsaufforderung oder wenn die vorbestimmten Anfragen gestellt werden, das Netzelement veranlaßt, die Antwort auf die verlangten Identitätsdaten an die persönliche Firewall zu senden (Schritt 402). Was nun wieder 5 anbelangt, so wartet die persönliche Firewall auf eine Antwort (Schritt 304), und wenn keine Antwort erhalten wird (vorzugsweise innerhalb einer bestimmten Zeitspanne), wird der auf der Basis der gegenwärtigen IP-Adresse festgestellte Ort zurückgewiesen und der Ort als unbekannt bezeichnet (Schritt 305). In diesem Fall kann ein fehlerhafter Ort benutzt werden. Der fehlerhafte Ort ist typischerweise keine feindliche Umgebung, in der ein hohes Schutzniveau benötigt wird, beispielsweise das öffentliche Internet.
  • Wenn jedoch die Antwort von dem Netzelement in der Stufe 504 erhalten wird, verifiziert die persönliche Firewall die Identität des Netzelementes auf der Grundlage der empfangenen Identitätsdaten, d. h. durch Vergleich der empfangenen Identitätsdaten mit den in der persönlichen Firewall gespeicherten Identitätsdaten (Schritt 306). Wenn die Verifikation der Identität nicht erfolgreich ist (Schritt 307), läuft die Prozedur zur Stufe 305 weiter, wie oben beschrieben. Wenn jedoch die Verifikation der Identität des Netzelementes erfolgreich ist, ist auch der Ort des Laptops, der auf der Basis der gegenwärtigen IP-Adresse bestimmt worden ist, erfolgreich verifiziert worden und kann akzeptiert werden.
  • Dazu kommt, daß es möglich ist, daß eine IP-Adresse in mehr als einer gewählten Regel in der persönlichen Firewall enthalten ist. In diesem Fall wird, wenn die Verifikation des Laptop in einem ersten Netz angezeigt wird, die gegenwärtige IP-Adresse als falsch festgestellt wird, überprüft, ob der Laptop in einem zweiten Netz liegt, angezeigt durch die laufende IP-Adresse.
  • Es gibt verschiedene Möglichkeiten, die oben beschriebene allgemeine Ortsverifikationsprozedur durchzuführen. Die einfachste Weise, den Ortsverifikationsservice durchzuführen, ist die, ein gewisses bekanntes Element (bekannt der persönlichen Firewall) zu überprüfen. So ist es beispielsweise möglich, die MAC-Adresse des bekannten Netzelementes, das in dem Heimnetz liegt und eine bekannte IP-Adresse hat, zu ertragen. Das Netzelement gibt in Beantwortung die MAC-Adresse zurück, und wenn die AMC-Adresse diejenige ist, die angenommen wird, (d. h. mit der MAC-Adresse, die in der persönlichen Firewall gespeichert ist, übereinstimmt) ist nachgewiesen, daß der Laptop in dem Heimnetz liegt. Wenn die MAC-Adresse nicht korrekt ist, wird festgestellt, daß der Laptop außerhalb des internen Netzes liegt.
  • Eine mögliche Durchführung besteht darin, daß der Ortsverifikationsservice für ein solches Netzelement in einem internen Netz angewendet wird, das nur von innerhalb des internen Netzes erreicht werden kann. So kann beispielsweise die Firewall, die das interne Netz schützt, beispielsweise die Firewall 5 in 1, so geartet sein, daß alle Verbindungen von außerhalb des internen Netzes mit diesem Netzelement aufgegeben werden. Wenn die persönliche Firewall in der Lage ist, dieses spezielle Netzelement zu erreichen, ist nachgewiesen, daß die persönliche Firewall innerhalb des internen Netzes liegt. Sonst befindet sich die persönliche Firewall außerhalb des internen Netzes. Es kann mehrere solcher Ortsverifi kationsdienste in einer Vielzahl von internen Netzen oder Unternetzen geben, und wenn der persönliche Firewall keines von ihnen erreichen kann, ist anzunehmen, daß sie außerhalb dieser vielen internen Netze oder Unternetze liegt.
  • Der Ortsverifikationsdienst kann Teil der Netzfirewall sein, wie dies der Ortsverifikationsdienst 50 im Firewall 5 in 1 zeigt. Beispielsweise können Verifikationsanfragen nur von der Richtung des internen Netzes (beispielsweise des Heimnetzes 10) durch den Ortsverifikationsservice 50 beantwortet werden. Diese Arbeitsweise ist ziemlich einfach, da die vorhandenen Firewalls leicht in der Lage sind, festzustellen, aus welcher Richtung, d. h. von welchem Interface ein Datenpaket kommt.
  • In jedem Fall soll die persönliche Firewall vorzugsweise mit dem Ortsverifikationsservice unter Benutzung eines kryptografisch starken Verfahrens kommunizieren, so beispielsweise als öffentliche Verschlüsselung. Zum Beispiel kann SSL benutzt werden. Die Sicherheit der Ortsverifikation läßt sich weiter durch Einsatz des TTL-(time-to-live)-Feldes bei der Ortsverifikationsanfrage auf einen relativ niedrigen Wert verbessern, so daß die Anfrage in der Lage ist, nur einen nahegelegenen Ortsverifikationsservice zu erreichen. Der TTL-Wert wird jedesmal dann, wenn die Verifikationsanfrage durch einen Router läuft, der verschiedene Netze oder Netzwerksegmente verbindet, gedämpft. Wenn der TTL-Wert beispielsweise auf Null eingestellt wird, kann die Verifikationsanfrage mit Hilfe eines Routers durch ein anderes Netz oder Netzwerksegment laufen.
  • Die Benutzung einer zusätzlichen Ortsverifikation macht es sogar möglich, automatisch einen VPN-Tunnel für das Heimnetz zu erzeugen, und zwar selbst dann, wenn die gegenwärtige Lage (eines fremden Netzes) dieselbe IP-Adresse benutzt wie in dem internen Netz.
  • Gemäß einer Ausführungsform der Erfindung hat eine persönliche Firewall unterschiedliche Regelsätze für das Heimnetz (so beispielsweise das private Firmennetz 10) und das fremde Netz, wie beispielsweise das öffentliche Internet 12 oder das fremde private Netz 13 oder ein Netz einer anderen Abteilung der Firma. Es ist auch möglich, daß alle Protokolle und Verbindungen in dem Heimnetz zugelassen werden. Die persönliche Firewall verwendet das erfindungsgemäße Verfahren zur Bestimmung und Verifizierung der gegenwärtigen Lage und wählt und aktiviert automatisch den geeigneten Regelsatz gemäß dem gegenwärtigen Ort des Laptops.
  • Alle oben beschriebenen Ausführungsformen sind sowohl für alleinstehende Computer als auch für zentral gemanagte Computer wirksam. Das zentrale Management der persönlichen Firewalls ermöglicht ein einheitliches Schutzniveau in allen Computereinrichtungen, die das private Netz benutzen. Ein Merkmal des zentralen Managments ist darin zu sehen, daß vorzugsweise alle persönlichen Firewalls im wesentlichen die gleichen Sicherheitsregeln haben. Auch sollte es möglich sein, diese zu aktualisieren. Es ist vorteilhaft, daß die Regelaktualisierungen in den persönlichen Firewalls so bald wie möglich Anwendung finden, nachdem sie in dem zentralen Management durchgeführt worden sind. Da es nicht ausreicht, sich auf manuelles Aktualisieren durch den Benutzer zu verlassen, muß der Prozeß des Aktualisierens der Regeln automatisch erfolgen. Die Verteilung der aktualisierten Regeln durch eine Übertragung von dem zentralen Management ist jedoch für den Fall keine ausreichende Option, bei dem die persönlichen Firewalls sich von dem einen Netz zum anderen bewegen können. Deshalb werden gemäß einem anderen Merkmal der Erfindung die persönlichen Firewalls angeordnet, um periodisch das Vorhandensein von aktualisierten Regeln des zentralen Managements zu erfragen. Die Abfrage wird nur dann gemacht, wenn der Laptop mit dem Heimnetz verbunden ist. Die Ortsbestimmung basiert auf den oben beschriebenen erfindungsgemäßen Verfahren.
  • Es ist außerdem vorteilhaft, wenn die Logs, die sich auf die Kommunikationsverbindungen des Laptops beziehen, an einem zentralen Ort gehandhabt werden. Da die Laptops häufig von dem Heimnetz getrennt sind, müssen Logs lokal gesammelt werden. Um eine zentrale Handhabung zu ermöglichen, müssen die Logs an einen zentralen Logserver übermittelt werden, beispielsweise das persönliche Firewall-Management 8, wenn ein solches zur Verfügung steht. Dies sollte automatisch stattfinden, sobald die Computereinrichtung mit einer persönlichen Firewall an das Heimnetz angeschlossen ist. Die persönliche Firewall bestimmt den gegenwärtigen Ort des Laptops auf der Grundlage der erfindungsgemäßen, oben beschriebenen Ortsbestimmungsverfahren. Wenn der Ort des Laptops das Heimnetz ist, sendet die persönliche Firewall die Logdatei sofort an den zentralen Logserver 8. Wenn jedoch der gegenwärtige Ort des Laptops nicht das Heimnetz ist, wird die Logdatei lokal gespeichert. In ähnlicher Weise werden eine Anzahl Logdateien lokal gesammelt, während der Laptop von dem Heimnetz getrennt ist. So bald die persönliche Firewall das nächste Mal feststellt, daß die Computereinrichtung wieder im Heimnetz angeordnet ist, schickt sie die gesammelten Logdateien an den zentralen Logserver 8. Wahlweise kann die persönliche Firewall die gesammelten Logdateien auch an das persönliche Firewall-Management 8 schicken, sobald der Laptop eine Verbindung (beispielsweie VPN) zu dem Heimnetz hergestellt hat.

Claims (12)

  1. Verfahren zur Positionsermittlung für eine persönliche Firewall eines Benutzercomputers, gekennzeichnet durch Bestimmung des gegenwärtigen Ortes der persönlichen Firewall auf der Basis einer Internetprotokoll(IP)-Adresse, die gegenwärtig von dem Kundencomputer benutzt wird und Verifizierung des gegenwärtigen Ortes, der auf der Basis der gegenwärtigen IP-Adresse des Kundencomputers bestimmt worden ist, indem eine Ortsverifikationsprozedur mit einem vorbestimmten Netzelement ausgeführt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der Schritt der Bestimmung beinhaltet das Speichern einer Liste von IP-Adressen eines Heimnetzes (10) in einer persönlichen Firewall, das Vergleichen der gegenwärtigen IP-Adresse des Benutzercomputers mit der genannten IP-Adressenliste und, falls die gegenwärtige IP-Adresse des Benutzercomputers mit einer der Adressen der Liste übereinstimmt, das Feststellen der persönlichen Firewall, die in dem Heimnetz liegen soll.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß der Schritt der Bestimmung beinhaltet das Speichern eines IP-Adressenraums eines Heimnetzes in dem Benutzercomputer, das Vergleichen der gegenwärtigen IP-Adresse des Benutzercomputers mit dem IP-Adressenraum und, falls die gegenwärtige IP-Adresse des Benutzercomputers zu dem IP-Adressenraum paßt, das Feststellen der persönlichen Firewall, die in dem Heimnetz liegen soll.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der Schritt der Verifizierung beinhaltet das Überprüfen des Vorhandenseins des vorbestimmten Netzelementes, das sich auf die gegenwärtige IP-Adresse bezieht, wobei das vorbestimmte Netzelement nur dann anspricht, wenn die persönliche Firewall in dem Netzwerk positioniert ist, in dem sie auf der Basis der gegenwärtigen IP-Adresse vermutet wird, und das Verifizieren der gegenwärtigen Lage, die bestimmt wurde auf der Basis der gegenwärtigen IP-Adresse, wenn das vorbestimmte Netzelement mit einem speziellen Identitätszeichen antwortet.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß das spezielle Identitätszeichen eine Media Access Control (MAC)-Adresse des vorbestimmten Netzelementes ist.
  6. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß das vorbestimmte Netzelement eine Firewall in dem Heimnetz ist.
  7. Verfahren nach Anspruch 1, gekennzeichnet durch die Verwendung der festgestellten und verifizierten Lage für das Auswählen von Sicherheitsregeln zur Steuerung der persönlichen Firewall in einer lageabhängigen Weise.
  8. Verfahren nach Anspruch 1, gekennzeichnet durch die Verwendung der festgestellten und verifizierten Lage zur Aktivierung einer periodischen Sicherheitsregel-Aktualisierungs-Anforderung von der persönlichen Firewall an das Zentralmanagement, sobald die persönliche Firewall sich in dem Heimnetz befindet, sowie zur Deaktivierung dieser periodischen Anfrage, sobald die persönliche Firewall sich außerhalb des Heimnetzes befindet.
  9. Verfahren nach Anspruch 1, gekennzeichnet durch Verwendung der festgestellten und verifizierten Lage zum Verschicken von Logdateien an einen zentralen Logserver von der persönlichen Firewall, sobald die gegenwärtige Lage des Benutzercomputers sich in dem Heimnetz befindet, wobei die Logdateien eine Information über Kommunikationsübertragungen in dem Benutzercomputer enthalten, lokales Sammeln der Logdateien an der persönlichen Firewall, wenn die gegenwärtige Position des Benutzercomputers sich nicht in dem Heimnetz befindet, und Übertragen der lokal gesammelten Logdateien von der persönlichen Firewall an den zentralisierten Logserver, wenn der Benutzercomputer mit dem Heimnetz verbunden ist.
  10. Computerterminal, gekennzeichnet durch eine persönliche Firewall mit einem Überwachungsmechanismus für die gegenwärtige Position der persönlichen Firewall auf der Grundlage einer Internetprotokoll (IP)-Adresse, die gegenwärtig von dem Computerterminal benutzt wird, wobei die persönliche Firewall einen Mechanismus zur Verifizierung der gegenwärtigen Position aufweist, die auf der Basis der gegenwärtigen IP-Adresse des Kundencomputers bestimmt ist, indem eine Ortsverifikationsprozedur mit einem vorbestimmten Netzelement durchgeführt wird.
  11. Computerlesbares Medium, das eine Computersoftware enthält, die dann, wenn sie in einer Computereinrichtung angewendet wird, die Computereinrichtung veranlaßt, ein persönliches Firewall-Programm durchzuführen, gekennzeichnet durch Bestimmen der gegenwärtigen Position der persönlichen Firewall auf der Basis einer Internetprotokoll (IP)-Adresse, die gegenwärtig von dem Benutzercomputer verwendet wird, und Verifizieren der gegenwärtigen Position, die auf der Basis der gegenwärtigen IP-Adresse des Benutzercomputers bestimmt worden ist, indem eine Ortsverifikationsprozedur mit einem vorbestimmten Netzelement ausgeführt wird.
  12. Computerprogramm, gekennzeichnet durch eine Programmcodeeinrichtung zur Durchführung der Schritte irgendeines der Ansprüche 1 bis 9, sobald das Programm in einem Computer läuft.
DE60213391T 2001-11-19 2002-11-14 Persönlicher Firewall mit Positionsdetektion Expired - Lifetime DE60213391T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/988,355 US7360242B2 (en) 2001-11-19 2001-11-19 Personal firewall with location detection
US988355 2001-11-19

Publications (2)

Publication Number Publication Date
DE60213391D1 DE60213391D1 (de) 2006-09-07
DE60213391T2 true DE60213391T2 (de) 2006-12-07

Family

ID=25534064

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60213391T Expired - Lifetime DE60213391T2 (de) 2001-11-19 2002-11-14 Persönlicher Firewall mit Positionsdetektion

Country Status (3)

Country Link
US (1) US7360242B2 (de)
EP (1) EP1379046B1 (de)
DE (1) DE60213391T2 (de)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6131811A (en) 1998-05-29 2000-10-17 E-Micro Corporation Wallet consolidator
US20030149743A1 (en) * 2002-02-06 2003-08-07 Shumeet Baluja Data logging for resident applications within portable electronic devices
US20040133772A1 (en) * 2003-01-07 2004-07-08 Battelle Memorial Institute Firewall apparatus and method for voice over internet protocol
JP4119295B2 (ja) * 2003-04-07 2008-07-16 東京エレクトロン株式会社 保守・診断データ蓄積サーバ、保守・診断データの蓄積・取得システム、保守・診断データの蓄積・提供システム
US7522594B2 (en) * 2003-08-19 2009-04-21 Eye Ball Networks, Inc. Method and apparatus to permit data transmission to traverse firewalls
US7523494B2 (en) * 2004-02-05 2009-04-21 International Business Machines Corporation Determining blocking measures for processing communication traffic anomalies
US7594263B2 (en) * 2004-02-05 2009-09-22 International Business Machines Corporation Operating a communication network through use of blocking measures for responding to communication traffic anomalies
JP2005250881A (ja) * 2004-03-04 2005-09-15 Sony Corp 情報処理装置、および情報処理方法、並びにコンピュータ・プログラム
US7437447B2 (en) * 2004-11-12 2008-10-14 International Business Machines Corporation Method and system for authenticating a requestor without providing a key
CN103002066A (zh) * 2005-02-03 2013-03-27 西门子公司 用于经由网间连接器路由因特网连接的方法
US8190773B2 (en) * 2005-06-03 2012-05-29 Nokia Corporation System and method for accessing a web server on a device with a dynamic IP-address residing behind a firewall
US20080276302A1 (en) 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US8869270B2 (en) * 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US20070147397A1 (en) * 2005-12-22 2007-06-28 Jeffrey Aaron Methods, communication networks, and computer program products for configuring a communication tunnel for traffic based on whether a network element can be trusted
US7992206B1 (en) * 2006-12-14 2011-08-02 Trend Micro Incorporated Pre-scanner for inspecting network traffic for computer viruses
JP4045461B1 (ja) * 2006-12-28 2008-02-13 富士ゼロックス株式会社 電子機器および画像形成装置
US8561166B2 (en) * 2007-01-07 2013-10-15 Alcatel Lucent Efficient implementation of security applications in a networked environment
US8332928B2 (en) * 2007-02-22 2012-12-11 Hewlett-Packard Development Company, L.P. Location attestation service
US8316427B2 (en) * 2007-03-09 2012-11-20 International Business Machines Corporation Enhanced personal firewall for dynamic computing environments
US8695081B2 (en) * 2007-04-10 2014-04-08 International Business Machines Corporation Method to apply network encryption to firewall decisions
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
US8789202B2 (en) 2008-11-19 2014-07-22 Cupp Computing As Systems and methods for providing real time access monitoring of a removable media device
US9313085B2 (en) 2010-12-16 2016-04-12 Microsoft Technology Licensing, Llc DNS-based determining whether a device is inside a network
US8949411B2 (en) 2010-12-16 2015-02-03 Microsoft Corporation Determining whether a device is inside a network
US9047109B1 (en) 2012-06-20 2015-06-02 Palo Alto Networks, Inc. Policy enforcement in virtualized environment
US8930529B1 (en) * 2011-09-27 2015-01-06 Palo Alto Networks, Inc. Policy enforcement with dynamic address object
US9537891B1 (en) 2011-09-27 2017-01-03 Palo Alto Networks, Inc. Policy enforcement based on dynamically attribute-based matched network objects
US20140045596A1 (en) * 2012-08-07 2014-02-13 Lawrence Cameron Vaughan Methods and systems for determining the location of online gaming clients
EP2907043B1 (de) 2012-10-09 2018-09-12 Cupp Computing As Transaktionssicherheitssysteme und -verfahren
US8931109B2 (en) * 2012-11-19 2015-01-06 International Business Machines Corporation Context-based security screening for accessing data
US9069752B2 (en) 2013-01-31 2015-06-30 International Business Machines Corporation Measuring and displaying facets in context-based conformed dimensional data gravity wells
US10152526B2 (en) 2013-04-11 2018-12-11 International Business Machines Corporation Generation of synthetic context objects using bounded context objects
US9348794B2 (en) 2013-05-17 2016-05-24 International Business Machines Corporation Population of context-based data gravity wells
US11157976B2 (en) 2013-07-08 2021-10-26 Cupp Computing As Systems and methods for providing digital content marketplace security
WO2015123611A2 (en) 2014-02-13 2015-08-20 Cupp Computing As Systems and methods for providing network security using a secure digital device
US10873566B2 (en) * 2016-02-23 2020-12-22 Nicira, Inc. Distributed firewall in a virtualized computing environment
US11038845B2 (en) 2016-02-23 2021-06-15 Nicira, Inc. Firewall in a virtualized computing environment using physical network interface controller (PNIC) level firewall rules
US11005845B2 (en) * 2018-10-18 2021-05-11 International Business Machines Corporation, Armonk, Ny Network device validation and management
JP7243211B2 (ja) * 2019-01-22 2023-03-22 日本電気株式会社 通信管理システム、管理サーバ、vpnサーバ、通信管理方法、及びプログラム
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11606310B2 (en) 2020-09-28 2023-03-14 Vmware, Inc. Flow processing offload using virtual port identifiers
US11212308B1 (en) * 2020-12-31 2021-12-28 CYBERTOKA Ltd. Methods and systems for identifying and classifying locations of networked devices
US11995024B2 (en) 2021-12-22 2024-05-28 VMware LLC State sharing between smart NICs
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4700176A (en) * 1985-02-05 1987-10-13 Zenith Electronis Corporation Tough control arrangement for graphics display apparatus
US4645870A (en) * 1985-10-15 1987-02-24 Zenith Electronics Corporation Touch control system for use with a display panel or other touch controlled device
US5149986A (en) * 1989-06-20 1992-09-22 Otis Elevator Company Electronic control button operated by sound absorption
US5177327A (en) * 1990-11-16 1993-01-05 Exzec, Inc. Acoustic touch position sensor using shear wave propagation
US5573077A (en) * 1990-11-16 1996-11-12 Knowles; Terence J. Acoustic touch position sensor
AU7970094A (en) * 1993-10-18 1995-05-08 Carroll Touch, Inc. Acoustic wave touch panel for use with a non-active stylus
TW241352B (en) * 1994-03-30 1995-02-21 Whitaker Corp Reflective mode ultrasonic touch sensitive switch
JPH08263208A (ja) * 1995-02-24 1996-10-11 Whitaker Corp:The 弾性波タッチパネル及びその製造方法
US5591945A (en) * 1995-04-19 1997-01-07 Elo Touchsystems, Inc. Acoustic touch position sensor using higher order horizontally polarized shear wave propagation
CN1161726C (zh) * 1996-12-25 2004-08-11 埃罗接触***公司 声学触摸传感装置,基底及探测触摸的方法
US6233686B1 (en) 1997-01-17 2001-05-15 At & T Corp. System and method for providing peer level access control on a network
US6158008A (en) 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
US6078315A (en) * 1997-11-03 2000-06-20 Microtouch System Inc. Touch panel using acoustic wave reflection
US6087599A (en) * 1997-11-24 2000-07-11 The Whitaker Corporation Touch panels having plastic substrates
US6085576A (en) * 1998-03-20 2000-07-11 Cyrano Sciences, Inc. Handheld sensing apparatus
USH1944H1 (en) 1998-03-24 2001-02-06 Lucent Technologies Inc. Firewall security method and apparatus
JP4154058B2 (ja) * 1998-04-20 2008-09-24 富士通コンポーネント株式会社 座標検出装置
US6473075B1 (en) * 1999-09-29 2002-10-29 Elo Touchsystems, Inc. Adaptive frequency touchscreen controller employing digital signal processing
US6965929B2 (en) * 2001-06-29 2005-11-15 Intel Corporation Configuring a network device
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US7222359B2 (en) * 2001-07-27 2007-05-22 Check Point Software Technologies, Inc. System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices

Also Published As

Publication number Publication date
EP1379046A1 (de) 2004-01-07
EP1379046B1 (de) 2006-07-26
DE60213391D1 (de) 2006-09-07
US7360242B2 (en) 2008-04-15
US20030097589A1 (en) 2003-05-22

Similar Documents

Publication Publication Date Title
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE60121483T2 (de) Sicherheitkommunikationsverfahren, System und Vorrichtung welche erlauben den Sicherheitstyp zu wechseln
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60310347T2 (de) Verfahren und System zur Regelassoziation in Kommunikationsnetzen
DE10052312B4 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE60200451T2 (de) Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE102014113582B4 (de) Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE10249428A1 (de) System und Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
WO2018073082A1 (de) Computersystem-architektur sowie computernetz-infrastruktur, umfassend eine mehrzahl von solchen computersystem-architekturen
DE102008011191A1 (de) Client/Server-System zur Kommunikation gemäß dem Standardprotokoll OPC UA und mit Single Sign-On Mechanismen zur Authentifizierung sowie Verfahren zur Durchführung von Single Sign-On in einem solchen System
DE60201716T2 (de) Verfahren und Vorrichtung zum Schutz von E-Commerce-Site gegen Distributed-Denial-of-Service Angriffen
DE102019203773A1 (de) Dynamische Firewall-Konfiguration und -Steuerung zum Zugreifen auf Dienste, die in virtuellen Netzwerken gehostet werden
EP3152884B1 (de) Verfahren zur weiterleitung von daten zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
EP1494401A2 (de) Router and Verfahren zur Aktivierung eines deaktivierten Computers
DE10146361A1 (de) Vorrichtung und Verfahren zur Etablierung einer Sicherheitspolitik in einem verteilten System
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem

Legal Events

Date Code Title Description
8364 No opposition during term of opposition