-
Erfindungsgebiet
-
Die
vorliegende Erfindung bezieht sich auf Netzsicherheit und insbesondere
auf persönliche Firewalls.
-
Hintergrund
der Erfindung
-
Üblicherweise
wird eine Firewall als eine Reihe von Komponenten angesehen, die
zwischen zwei oder mehr Netzen einen Zugang bilden. Somit ist ein Firewall
ein Zugang, der gleichzeitig als Verbinder und Separator zwischen
den Netzwerken in dem Sinne arbeitet, daß die Firewall den durch sie
laufenden Verkehr von dem einen Netz zum anderen in Gang hält und Verbindungen
sowie Pakete, die von dem Administrator des Systems als unerwünscht bezeichnet
werden, beschränkt.
Physikalisch gesehen ist eine Firewall eine Maschine mit geeigneter
Software, um die ihr zugewiesenen Aufgaben zu erfüllen. Sie kann
ein Steuerer, ein Personalcomputer (PC) oder irgendeine andere Vorrichtung
sein, die sich für
derartige Zwecke verwenden läßt. Obgleich
Firewalls meistens zur Verbindung von Local Area Networks (LANs)
verwendet werden, d. h. internen Netzen für das Internet und zum Schutz
gegen Angreifer oder im allgemeinen unerwünschten Verkehr, lassen sie
sich auch zu Sicherheitszwecken zur Trennung und Verbindung unterschiedlicher
Segmente des inneren Netzes benutzen. Die Vorteile einer Firewall
sind zahlreich. Eine Firewall sichert das Netz und kann als Werkzeug
zur Überwachung
des Verkehrs, insbesondere von außerhalb ins Innere des Netzes,
dienen, das von einer Firewall geschützt wird. Da der ganze Verkehr,
der für
das innere Netz gedacht ist, durch die Firewall laufen muß, können die
meisten Netzsicherheitsaktionen und Aufgaben auf diesen besonderen
Punkt konzentriert werden. Dies ist natürlich ein kosten- und verwaltungstechnischer
Vorteil.
-
Heutzutage
werden Laptop-Computer und andere tragbare Computervorrichtungen
weitläufig benutzt.
Obwohl außerhalb
des internen Netzes kann der Laptop dennoch von dem Schutz, der
durch die herkömmliche
Firewall des "Gateway-Typs" geboten wird, profitieren.
Deshalb wurden Vorgehensweisen zur Verbesserung des Schutzes eines
Benutzers in einem fremden Netz (ein öffentliches Netz oder ein internes
Netz einer fremden Organisation) vorgeschlagen. Diese Vorge hensweisen
beruhen auf dem Schutz des Laptops selbst mit Hilfe eines lokalen
Sicherheitsmechanismus, hier genannt eine persönliche Firewall, die in dem
Laptop installiert ist (zusätzlich
oder anstelle einer Firewall in einem internen Netz, die die mit
dem internen Netz verbundenen Computer schützt). Die persönliche Firewall
kann in Form einer Software in der Computereinrichtung installiert
werden oder als separate elektronische Einrichtung, die mit der
Computereinrichtung verbunden ist.
-
Das
europäische
Patent
EP 0 952 715 offenbart
eine Firewall-Sicherheitsvorrichtung, die mit einem externen Kommunikationsanschluß einer
Computereinrichtung verbunden ist. Der einkommende Kommunikationsstrom
für die
Computereinrichtung aus einem beispielsweise öffentlichen Netz wird durch
die Firewall-Sicherheitseinrichtung
geschickt. Die Firewall-Einrichtung verwendet Standardsicherheitsmaßnahmen,
um dadurch die Computereinrichtung zu schützen.
-
EP 0 854 621 offenbart ein
System und ein Verfahren, die eine ebenbürtige Zugangskontrolle für ein Netz
bieten. Die ebenbürtige
lokale Regelbasis wird in einen Filter geladen, nachdem die Ebenbürtigkeit
bzw. Gleichheit festgestellt worden ist, und wird gelöscht, sobald
die Gleichheit nicht mehr besteht.
-
Vorzugsweise
wird der Laptop automatisch mit einem ausreichenden Niveauschutz
versehen, sobald er an ein fremdes Netz angeschlossen wird. Manuelle
Bedienung reicht nicht aus, da die Laptops oftmals durch technisch
ungebildetes Personal bedient werden, was das Risiko, daß Sicherheitsaspekte übersehen
werden, vergrößert. Laptops
enthalten empfindliches Material, beispielsweise Benutzer-E-Mails.
Wenn ein Laptop ungeschützt
ist, sobald er mit einem fremden Netz verbunden wird, und zwar selbst
für eine
nur kurze Zeitspanne, besteht ein Risiko dafür, durch die Gastanwendung
infiziert zu werden. Eine derartige Anwendung kann später aktiviert werden,
sobald der Laptop mit dem internen Netz verbunden ist und Inside-Hilfe
gegen Attacken geboten wird. Andererseits kann dann, wenn der Laptop mit
einem internen Geschäftsnetz
verbunden wird, eine solche persönliche
Firewall in gewisser Weise einen wesentllichen Verkehr unangemessen
verhindern. So sollte beispielsweise die persönliche Firewall zulassen, daß ein Laptap
zuhause (internes Netz) benutzt wird und Zugang zu allen Diensten
ermöglichen,
beispielsweise gemeinsame Festplatten-Benutzung. In einem Heimnetz
werden sogar manchmal Nicht-IP-Protokolle benutzt. Daher ist es nicht
möglich,
eine persönliche
Firewall ganzzeitlich laufen zu lassen, zumindest nicht mit derselben
Konfiguration, da die Schutzanforderungen in einem internen Netz
sich von denjenigen in einem fremden Netz unterscheiden.
-
Somit
besteht ein Bedarf an einer ortsabhängigen Steuerung für eine persönliche Firewall.
Außerdem
gibt es andere Funktionen, beispielsweise ein zentrales Management
einer persönlichen
Firewall, die Vorteile daraus ziehen können, daß der Ort der Firewall mit
einem ausreichendem Maß an
Sicherheit bekannt ist.
-
Ein
Weg zur Bestimmung der gegenwärtigen Lage
der Computervorrichtung stützt
sich auf eine augenblicklich verwendete IP-Adresse für die Computervorrichtung.
Dies basiert auf der allgemeinen Praxis, daß eine Computervorrichtung
in verschiedenen Netzwerken eine unterschiedliche IP-Adresse aufweist,
entweder eine fixe Adresse oder eine dynamische Adresse. Die IP-Adresse
kann dafür
zur Identifizierung des gegenwärtigen
Netzes und der Lage der Computervorrichtung dienen. Es gibt jedoch
Situationen, in denen die auf der Grundlage der gegenwärtigen IP-Adresse
bestimmte Lage unsicher ist, d. h. die IP-Adresse kann die gegenwärtige Lage
des Laptops nicht bestimmen. Wenn die IP-Adresse nicht zu dem gegenwärtigen Netz
paßt,
ist die Verwendung des Internetprotokolls (IP) zum Angriff auf den
Laptop unwahrscheinlich, und man kann vermuten, daß in einem
solchen Fall eine persönliche
Firewall nicht benutzt zu werden braucht. Es gibt jedoch noch eine Möglichkeit,
daß bei
Verwendung anderer Protokolle, beispielsweise NetBEUI oder IPX,
ein Angriff erfolgt. Wenn eine Situation entdeckt wird, in der die IP-Adresse
des Laptops nicht eine IP-Adresse des gegenwärtigen Netzes ist, besteht
die Möglichkeit, solche
Protokolle zu blockieren, während
sie in fremden Netzen sind. Darüber
hinaus werden häufig
NAT (Network Address Translation) und private IP-Adressen benutzt.
D. h., daß dieselbe
IP-Adresse in verschiedenen Netzen verwendet werden kann. In diesem
Fall reicht es nicht aus, nur der IP-Adresseninformation zu vertrauen,
wenn die Lage des Netzes bestimmt wird. Es ist sogar möglich, daß das DHCP (Dynamic
Host Configuration Protocol), während
es mit einem Gastnetz verbunden ist, die gewöhnliche IP-Adrsse liefert,
um es leichter zu machen, den Laptop anzugreifen. Grundsätzlich ermöglicht das
DHCP individuellen Computern in einem Netz, einen DHCP-Server anzuschließen und
einer dynamischen IP-Adresse des laufenden Netzes zugeordnet zu werden.
-
Zusammenfassung der Erfindung
-
Eine
Aufgabe der Erfindung besteht darin, ein Verfahren zur Bestimmung
eines Ortes einer persönlichen
Firewall zu entwickeln. Diese Aufgabe wird erfindungsgemäß durch
die in den Ansprüchen
angegebenen Merkmale gelöst.
Bevorzugte Ausführungsformen
der Erfindung sind in den abhängigen
Ansprüchen
offenbart.
-
Eine
Computereinrichtung, die an ein Heimnetz angeschlossen werden kann
(beispielsweise ein internes Netz einer Gesellschaft oder anderer
Organisationen, bei der der Benutzer beschäftigt ist) sowie an ein Fremdnetz
(beispielsweise ein öffentliches oder
ein internes Netz einer fremden Organisation), ist mit einem lokalen
Sicherheitsmechanismus versehen, hier genannt einer persönlichen
Firewall, um die Computereinrichtung gegen Angriffe aus einem fremden
Netz zu schützen,
und zwar zusätzlich
oder anstelle einer Firewall im internen Netz, die den Computer
schützt,
sobald er an das interne Netz angeschlossen ist. Die persönliche Firewall
ist so angeordnet, daß sie
ihre gegenwärtige
Lage feststellt, d. h. das Netz ermittelt, an das sie in jedem speziellen Moment
gekoppelt ist, um ihren Betrieb entsprechend zu steuern. Die gegenwärtige Lage
der Computereinrichtung wird zunächst
auf der Grundlage einer gegenwärtig
verwendeten IP-Adresse der Computereinrichtung bestimmt. Dann wird
diese Lage, die auf der Grundlage der gegenwärtigen IP-Adresse der Computereinrichtung
festgestellt worden ist, mit Hilfe einer zusätzlichen lokalen Verifikationsprozedur
mit einem vorbestimmten Netzelement verifiziert.
-
Bei
einer Ausführungsform
der Erfindung wird das Vorhandensein dieses vorbestimmten Netzelementes
in Bezug auf die gegenwärtige
IP-Adresse überprüft. Das
vorbestimmte Netzelement ist derart, daß es nur dann antwortet, wenn
die Computereinrichtung in dem Netzwerk liegt, in dem sie angenommenermaßen auf
der Grundlage der gegenwärtigen IP-Adresse
liegen soll. Wenn das vorbestimmte Netzelement antwortet und sich
richtig selbst identifiziert, gilt die gegenwärtige Lage, bestimmt auf der
Basis der gegenwärtigen
IP-Adresse, als verifiziert. Sonst wird festgestgellt, daß die gegenwärtige IP-Adresse nicht
die gegenwärtige
Lage der Computereinrichtung anzeigt. Der zusätzliche Verifikationsprozeß macht
es sogar möglich,
automatisch einen gesicherten Tunnel zu erzeugen, beispielsweise
einen VPN-Tunnel für
ein Heimnetz, selbst wenn die Computereinrichtung dieselbe IP-Adresse
an dem gegenwärtigen
Ort benutzt wie in dem internen (Heim-)Netz.
-
Gemäß einer
Ausführungsform
der Erfindung wird die Ortsinformation zur Auswahl aktiver Sicherheitsregeln
für eine
persönliche
Firewall gemäß der gegenwärtigen Position
benutzt.
-
Gemäß einer
weiteren Ausführungsform
der Erfindung wird die Ortsinformation zum ortsabhängigen Aktualisieren
von Sicherheitsregeln von einer zentralen Managementeinheit benutzt.
-
Gemäß noch einer
weiteren Ausführungsform
der Erfindung wird die Ortsinformation zum ortsabhängigen Behandeln
von Log-Dateien in einer persönlichen
Firewall verwendet.
-
Kurze Beschreibung
der Zeichnungen
-
Bevorzugte
Ausführungsformen
der Erfindung werden nunmehr unter Bezug auf die angefügten Zeichnungen
beschrieben, in denen
-
1 ein
schematisches Blockdiagramm für eine
beispielhafte Netzwerkkonfiguration ist, in der die vorliegende
Erfindung Anwendung finden kann;
-
2 einen
beispielhaften Protokollstapel einer Computereinrichtung zeigt,
die eine erfindungsgemäße persönliche Firewall
enthält;
-
3 und 4 Fließdiagramme
beinhalten, die den Ort der Verifikationsprozedur gemäß einer
Ausführungsform
der Erfindung zeigen.
-
Bevorzugte
Ausführungsformen
der Erfindung
-
Die
vorliegende Erfindung läßt sich
für persönliche Firewalls
in einer Computereinrichtung anwenden, die bewegt werden kann und
an verschiedene Netzwerke angeschlossen wird. Typischerweise sind
derartige Einrichtungen portable Computereinrichtungen, beispielsweise
Laptop-Computer, PDAs, Commicatoren, PDA-Telefone, intelligente Telekommunikationseinrichtungen,
usw. Bei den folgenden beispielhaften Ausführungsformen der Erfindung wird
ein Laptop-Computer als Beispiel für geeignete Computereinrichtungen
benutzt.
-
1 zeigt
ein schematisches Blockdiagramm einer beispielhaften Netzkonfiguration.
Die Konfiguration ist nur zur Erleichterung des Verständnisses
und der Beschreibung der Erfindung dargestellt. Die vorliegende
Erfindung soll nicht auf irgendeine spezielle Netzkonfiguration
beschränkt sein.
Darüber
hinaus werden zur Verbesserung der Klarheit nur Netzelemente in 1 gezeigt,
die mit der vorliegenden Erfindung in irgendeinem Zusammenhang stehen.
-
Wie
aus 1 ersichtlich, sind die privaten lokalen Netze 10 und 13 mit
einem öffentlichen
Netz über
Firewalls 5 bzw. 7 verbunden, beispielsweise dem
Internet 12. Natürlich
kann die Kopplung zwischen den privaten Netzen und dem öffentlichen
Internet 12 auch Router und Internet-Service-Provider (ISPs,
in 1 nicht gezeigt) enthalten. Wie auf diesem Gebiet
der Technik bekannt, können
private Netze 10 und 13 beispielsweise Firmennetze
sein, wie z. B. lokale Flächennetze
(LANs), die Benutzer und Quellen, so beispielsweise Workstations,
Server, Drucker und dergleichen der Firma verbinden. Ein privates
internes Netz kann auch aus mehreren Unternetzen bestehen, die durch
interne Firewalls getrennt sind. Bei der in 1 gezeigten
beispielsweisen Netzkonfiguration ist das private Firmenunternetz 11 über eine
Firewall 7 mit dem privaten lokalen Netz 10 verbunden.
Ein solches Unternetz 11 kann beispielsweise für eine spezielle
Abteilung der Organisation vorgesehen werden, beispielsweise der
Forschungs- und Entwicklungsabteilung (R & D), die einen beschränkten Zugang
und einen höheren Schutzlevel
im Vergleich zu anderen Teilen des Firmennetzes haben muß. Unternetze
der Firma, wie beispielsweise die lokalen Netze der Firmengeschäftsführung und
Zweigstellen, können
durch Sicherheitsverbindungen miteinander verbunden werden, beispielsweise
ein virtuelles privates Netz (VPN).
-
Wie
oben bereits beschrieben, sind die Firewalls 5, 6 und 7 Zugänge, die
zwischen den Netzen gleichzeitig als Verbinder und Separatoren in
einem Sinne arbeiten, daß die
Firewall den Verkehr, der durch sie von einem Netz zum anderen läuft, am
Laufen hält
und die Verbindungen und Pakete beschränkt, die durch den Administrator
des Systems als unerwünscht
festgestellt werden. Physikalisch gesehen ist eine Firewall eine
Maschine mit geeigneter Software, die die ihr übertragene Aufgabe erfüllt. Sie
kann ein Router, ein Personalcomputer (PC) oder irgendeine Einrichtung
sein, die sich zu diesen Zwecken benutzen läßt. Die Firewalls zwischen
Netzen oder ihr Zubehör
sind jedoch für
die vorliegende Erfindung nicht relevant.
-
Die
vorliegende Erfindung bezieht sich auf den Schutz einer Computereinrichtung,
d. h. eines Laptop selbst, mit Hilfe eines lokalen Sicherheitsmechanismus,
hier persönliche
Firewall genannt, installiert in dem Laptop zusätzlich oder anstelle einer
Firewall in einem privaten Netz. Die persönliche Firewall kann als Software
verwirklicht sein, die in der Computereinrichtung installiert ist
und in ihr läuft,
was eine bevorzugte Ausführungsform
ist, oder kann eine separate elektronische Einrichtung sein, die
mit der Computereinrichtung verbunden ist. In 1 stellen die
Laptops 1, 2, 3 und 4 Laptops
dar, die mit einer persönlichen
Firewall ausgestattet sind.
-
2 verdeutlicht
das Grundprinzip der persönlichen
Firewall, installiert in einem Laptop. Physikalische und Netzwerkschichten 200 beziehen
sich auf alle Protokolle und physikalische Verbindungen, die zur Übertragung
von Protokolldateneinheiten (PDUs) der oberen Schichten erforderlich
sind. Die oberen Schichten 200 enthalten Anwendungen und irgendwelche
verwendeten Übertragungsprotokolle, beispielsweise
das Internetprotokoll (IP), Übertragungs-Steuerprotokolle
(TCP), NetBEUI, IPX, usw. Grundsätzlich
arbeitet die persönliche
Firewall-Schutzschicht 201 in einer Weise analog einer Firewall
zwischen Netzen. Im einzelnen arbeitet die persönliche Firewall-Schutzschicht 201 gleichzeitig als
Verbinder, also Connector und Separator zwischen darunterliegenden
Schichten und der oberen Schicht in einem Sinne, so daß die persönliche Firewall
den Verkehr, der durch sie von den darunterliegenden Schichten zu
den oberen Schichten läuft
und umgekehrt, am laufen hält
und Verbindungen sowie Pakete, die als unerwünscht entsprechend den benutzten
Sicherheitsregeln gelten, verhindert. Die persönliche Firewall-Schutzschicht 201 wird
durch einen persönlichen
Firewall-Anwendungslauf 203 im Laptop implementiert oder
gesteuert. In der bevorzugten Ausführungsform der Erfindung bewirkt
die persönliche
Firewall-Anwendung 203 die Durchführung der Ortsfeststellung
und der unbeschriebenen ortsabhängigen
Funktionen, so beispielsweise der Auswahl der aktiven Regelbasis
entsprechend dem gegenwärtigen
Ort des Laptops. Es wird jedoch darauf hingewiesen, daß die vorliegende
Erfindung nicht auf irgendeine spezielle praktische Anwendung der
persönlichen
Firewall beschränkt
sein soll.
-
Die
persönliche
Firewall gemäß der Erfindung
dient zur Ermittlung der gegenwärtigen
Lage, d. h. zur Bestimmung des Netzes, an das sie in dem jeweiligen
Augenblick angeschlossen ist, sowie zur Steuerung ihres entsprechenden
Betriebs. Der einfachste Weg zur Bestimmung der gegenwärtigen Lage
des Laptops ge schieht auf der Grundlage der gegenwärtig verwendeten
IP-Adresse. Wie auf diesem Gebiet der Technik bekannt, identifiziert
die IP-Adresse das Netz und läßt sich
somit zur Ermittlung des gegenwärtigen
Netzes benutzen. Die persönliche
Firewall kann beispielsweise auch in dem IP-Adressenraum des Heimnetzes
und wahlweise der Fremdnetze Informationen enthalten oder eine Adressenliste,
die für
den Laptop im Heimnetzwerk zur Verfügung steht. Wenn die gegenwärtige IP-Adresse des Laptops
mit einem gegebenen Adressenraum oder beispielsweise der Liste der Adressen
des Heimnetzes 10 übereinstimmt,
kann angenommen werden, daß der
Laptop in dem Heimnetz 10 liegt und die Regelbasis des
Heimnetzes 10 verwendet wird. Somit wird die gegenwärtige IP-Adresse
als Auswahlregel zur Aktivierung einer Regelbasis benutzt.
-
Der
gegenwärtige
Ort (das gegenwärtige Netz)
der Computereinrichtung wird zunächst
auf der Basis einer gegenwärtig
genutzten IP-Adresse des Laptop bestimmt. Dann wird dieser Ort,
der auf der Basis der gegenwärtigen
IP-Adresse für
die Computereinrichtung bestimmt ist, dadurch verifiziert, daß mit einem
vorbestimmten Netzwerkelement eine zusätzliche Ortsverifikationsprozedur
durchgeführt wird.
-
Bei
einer Ausführungsform
der Erfindung wird das Zur-Verfügung-stehen
des vorbestimmten Netzwerkelementes unter Bezug auf die gegenwärtige IP-Adresse überprüft. Das
vorbestimmte Netzwerkelement ist derart, daß es nur antwortet, wenn die Computereinrichtung
in dem Netz liegt, in dem sie angenommenermaßen auf der Basis der gegenwärtigen IP-Adresse
liegen soll. Wenn das vorbestimmte Netzelement bzw. Netzwerkelement
antwortet und sich selbst richtig identifiziert, gilt der gegenwärtige Ort,
bestimmt auf der Basis der gegenwärtigen IP-Adresse, als verifiziert. Sonst bestimmt
die Computereinrichtung, daß die
gegenwärtige
IP-Adresse die gegenwärtige
Lage der Computereinrichtung nicht anzeigen kann. Der zusätzliche
Verifikationsprozeß macht
es jedoch möglich,
automatisch einen gesicherten Tunnel zu erzeugen, beispielsweise
einen VPN-Tunnel für
ein Heimnetz, und zwar selbst dann, wenn die Computereinrichtung
dieselbe IP-Adresse
an dem gegenwärtigen
Ort benutzt wie das interne (Heim-)Netz.
-
Wie
oben erwähnt,
gibt es Situationen, in denen die Lage (das gegenwärtige Netz)
auf der Basis der gegenwärtigen
IP-Adresse als ungewiß festgestellt
wird, d. h. die IP-Adresse kann nicht die gegenwärtige Lage des Laptop anzeigen.
Somit wird erfindungsgemäß, wie oben
beschrieben, zusätzlich
zur Feststellung der Lage auf der Basis der gegenwärtigen IP-Adresse
eine weitere Ortsverifikationsprozedur mit einem vorbestimmten Netzelement
ausgeführt,
das vorzugsweise nur von dem zu verifizierenden Ort erreichbar ist.
Im allgemeinen wird das Netzelement so ausgewählt, daß es auf die Verifikationsforderung
nur anspricht, wenn die Forderung von dem Ort (d. h. dem Netz),
der zu verifizieren ist, herrührt.
Vorzugsweise ist das spezielle Netzelement mit einem Ortsverifikationsservice
versehen, der die erfindungsgemäße Verifikation
unterstützt.
Die Verifikationsprozedur erfordert, daß das Verifikationsverfahren
für die
persönliche
Firewall spezifiziert wird, und zwar vorzugsweise zur gleichen Zeit,
wenn die verschiedenen Orte spezifiziert werden. Mit anderen Worten,
die Verfahren zum Nachweis des Ortes sind beispielsweise in der
ursprünglichen
Konfiguration für
die persönliche
Firewall spezifiziert. Auch ist es möglich, daß die Verifikationsverfahren
mit Hilfe der unten beschriebenen Aktualisierungsprozedur in einer
Weise, ähnlich
den anderen Sicherheitsregeln, aktualisiert oder geändert werden.
-
Ein
allgemeines Ortsverifikationsverfahren gemäß einer Ausführungsform
der Erfindung ist unter Bezug auf die 3 und 4 beschrieben.
Zunächst
wird der gegenwärtige
Ort (das gegenwärtige Netz)
auf der Basis der gegenwärtig
benutzten IP-Adresse in der oben beschriebenen Weise (Schritt 301)
bestimmt. Danach wählt
die persönliche
Firewall ein vorbestimmtes Netzelement aus, das für die Verifikation
von dem vorbestimmten gegenwärtigen Ort
zur Verfügung
stehen sollte (Schritt 302). Daraufhin sendet die persönliche Firewall
an das gewählte Netzelement
eine Aufforderung, eine Antwort auf einige Daten zu senden, die
die Identität
des Netzelementes beweisen (Schritt 303). Was nun 4 anbelangt,
so empfängt
das nachweisende Netzelement die Verifikationsaufforderung von einer
persönlichen Firewall
(Schritt 401). Daraufhin wird immer dann entweder in Beantwortung
der Verifikationsaufforderung oder wenn die vorbestimmten Anfragen
gestellt werden, das Netzelement veranlaßt, die Antwort auf die verlangten
Identitätsdaten
an die persönliche
Firewall zu senden (Schritt 402). Was nun wieder 5 anbelangt, so wartet die persönliche Firewall
auf eine Antwort (Schritt 304), und wenn keine Antwort
erhalten wird (vorzugsweise innerhalb einer bestimmten Zeitspanne),
wird der auf der Basis der gegenwärtigen IP-Adresse festgestellte
Ort zurückgewiesen
und der Ort als unbekannt bezeichnet (Schritt 305). In
diesem Fall kann ein fehlerhafter Ort benutzt werden. Der fehlerhafte
Ort ist typischerweise keine feindliche Umgebung, in der ein hohes
Schutzniveau benötigt wird,
beispielsweise das öffentliche
Internet.
-
Wenn
jedoch die Antwort von dem Netzelement in der Stufe 504 erhalten
wird, verifiziert die persönliche
Firewall die Identität
des Netzelementes auf der Grundlage der empfangenen Identitätsdaten,
d. h. durch Vergleich der empfangenen Identitätsdaten mit den in der persönlichen
Firewall gespeicherten Identitätsdaten
(Schritt 306). Wenn die Verifikation der Identität nicht
erfolgreich ist (Schritt 307), läuft die Prozedur zur Stufe 305 weiter,
wie oben beschrieben. Wenn jedoch die Verifikation der Identität des Netzelementes
erfolgreich ist, ist auch der Ort des Laptops, der auf der Basis
der gegenwärtigen
IP-Adresse bestimmt worden ist, erfolgreich verifiziert worden und kann
akzeptiert werden.
-
Dazu
kommt, daß es
möglich
ist, daß eine IP-Adresse
in mehr als einer gewählten
Regel in der persönlichen
Firewall enthalten ist. In diesem Fall wird, wenn die Verifikation
des Laptop in einem ersten Netz angezeigt wird, die gegenwärtige IP-Adresse als falsch
festgestellt wird, überprüft, ob der
Laptop in einem zweiten Netz liegt, angezeigt durch die laufende
IP-Adresse.
-
Es
gibt verschiedene Möglichkeiten,
die oben beschriebene allgemeine Ortsverifikationsprozedur durchzuführen. Die
einfachste Weise, den Ortsverifikationsservice durchzuführen, ist
die, ein gewisses bekanntes Element (bekannt der persönlichen
Firewall) zu überprüfen. So
ist es beispielsweise möglich,
die MAC-Adresse des bekannten Netzelementes, das in dem Heimnetz
liegt und eine bekannte IP-Adresse
hat, zu ertragen. Das Netzelement gibt in Beantwortung die MAC-Adresse zurück, und
wenn die AMC-Adresse diejenige ist, die angenommen wird, (d. h.
mit der MAC-Adresse, die in der persönlichen Firewall gespeichert
ist, übereinstimmt) ist
nachgewiesen, daß der
Laptop in dem Heimnetz liegt. Wenn die MAC-Adresse nicht korrekt
ist, wird festgestellt, daß der
Laptop außerhalb
des internen Netzes liegt.
-
Eine
mögliche
Durchführung
besteht darin, daß der
Ortsverifikationsservice für
ein solches Netzelement in einem internen Netz angewendet wird, das
nur von innerhalb des internen Netzes erreicht werden kann. So kann
beispielsweise die Firewall, die das interne Netz schützt, beispielsweise
die Firewall 5 in 1, so geartet
sein, daß alle
Verbindungen von außerhalb
des internen Netzes mit diesem Netzelement aufgegeben werden. Wenn
die persönliche
Firewall in der Lage ist, dieses spezielle Netzelement zu erreichen,
ist nachgewiesen, daß die
persönliche
Firewall innerhalb des internen Netzes liegt. Sonst befindet sich
die persönliche
Firewall außerhalb
des internen Netzes. Es kann mehrere solcher Ortsverifi kationsdienste
in einer Vielzahl von internen Netzen oder Unternetzen geben, und
wenn der persönliche
Firewall keines von ihnen erreichen kann, ist anzunehmen, daß sie außerhalb
dieser vielen internen Netze oder Unternetze liegt.
-
Der
Ortsverifikationsdienst kann Teil der Netzfirewall sein, wie dies
der Ortsverifikationsdienst 50 im Firewall 5 in 1 zeigt.
Beispielsweise können
Verifikationsanfragen nur von der Richtung des internen Netzes (beispielsweise
des Heimnetzes 10) durch den Ortsverifikationsservice 50 beantwortet werden.
Diese Arbeitsweise ist ziemlich einfach, da die vorhandenen Firewalls
leicht in der Lage sind, festzustellen, aus welcher Richtung, d.
h. von welchem Interface ein Datenpaket kommt.
-
In
jedem Fall soll die persönliche
Firewall vorzugsweise mit dem Ortsverifikationsservice unter Benutzung
eines kryptografisch starken Verfahrens kommunizieren, so beispielsweise
als öffentliche
Verschlüsselung.
Zum Beispiel kann SSL benutzt werden. Die Sicherheit der Ortsverifikation
läßt sich
weiter durch Einsatz des TTL-(time-to-live)-Feldes
bei der Ortsverifikationsanfrage auf einen relativ niedrigen Wert
verbessern, so daß die
Anfrage in der Lage ist, nur einen nahegelegenen Ortsverifikationsservice zu
erreichen. Der TTL-Wert wird jedesmal dann, wenn die Verifikationsanfrage
durch einen Router läuft,
der verschiedene Netze oder Netzwerksegmente verbindet, gedämpft. Wenn
der TTL-Wert beispielsweise auf Null eingestellt wird, kann die
Verifikationsanfrage mit Hilfe eines Routers durch ein anderes Netz
oder Netzwerksegment laufen.
-
Die
Benutzung einer zusätzlichen
Ortsverifikation macht es sogar möglich, automatisch einen VPN-Tunnel
für das
Heimnetz zu erzeugen, und zwar selbst dann, wenn die gegenwärtige Lage
(eines fremden Netzes) dieselbe IP-Adresse benutzt wie in dem internen
Netz.
-
Gemäß einer
Ausführungsform
der Erfindung hat eine persönliche
Firewall unterschiedliche Regelsätze
für das
Heimnetz (so beispielsweise das private Firmennetz 10)
und das fremde Netz, wie beispielsweise das öffentliche Internet 12 oder
das fremde private Netz 13 oder ein Netz einer anderen
Abteilung der Firma. Es ist auch möglich, daß alle Protokolle und Verbindungen
in dem Heimnetz zugelassen werden. Die persönliche Firewall verwendet das
erfindungsgemäße Verfahren
zur Bestimmung und Verifizierung der gegenwärtigen Lage und wählt und
aktiviert automatisch den geeigneten Regelsatz gemäß dem gegenwärtigen Ort
des Laptops.
-
Alle
oben beschriebenen Ausführungsformen
sind sowohl für
alleinstehende Computer als auch für zentral gemanagte Computer
wirksam. Das zentrale Management der persönlichen Firewalls ermöglicht ein
einheitliches Schutzniveau in allen Computereinrichtungen, die das
private Netz benutzen. Ein Merkmal des zentralen Managments ist
darin zu sehen, daß vorzugsweise
alle persönlichen
Firewalls im wesentlichen die gleichen Sicherheitsregeln haben.
Auch sollte es möglich
sein, diese zu aktualisieren. Es ist vorteilhaft, daß die Regelaktualisierungen in
den persönlichen
Firewalls so bald wie möglich
Anwendung finden, nachdem sie in dem zentralen Management durchgeführt worden
sind. Da es nicht ausreicht, sich auf manuelles Aktualisieren durch
den Benutzer zu verlassen, muß der
Prozeß des
Aktualisierens der Regeln automatisch erfolgen. Die Verteilung der
aktualisierten Regeln durch eine Übertragung von dem zentralen
Management ist jedoch für den
Fall keine ausreichende Option, bei dem die persönlichen Firewalls sich von
dem einen Netz zum anderen bewegen können. Deshalb werden gemäß einem
anderen Merkmal der Erfindung die persönlichen Firewalls angeordnet,
um periodisch das Vorhandensein von aktualisierten Regeln des zentralen Managements
zu erfragen. Die Abfrage wird nur dann gemacht, wenn der Laptop
mit dem Heimnetz verbunden ist. Die Ortsbestimmung basiert auf den oben
beschriebenen erfindungsgemäßen Verfahren.
-
Es
ist außerdem
vorteilhaft, wenn die Logs, die sich auf die Kommunikationsverbindungen
des Laptops beziehen, an einem zentralen Ort gehandhabt werden.
Da die Laptops häufig
von dem Heimnetz getrennt sind, müssen Logs lokal gesammelt werden.
Um eine zentrale Handhabung zu ermöglichen, müssen die Logs an einen zentralen
Logserver übermittelt
werden, beispielsweise das persönliche Firewall-Management 8,
wenn ein solches zur Verfügung
steht. Dies sollte automatisch stattfinden, sobald die Computereinrichtung
mit einer persönlichen Firewall
an das Heimnetz angeschlossen ist. Die persönliche Firewall bestimmt den
gegenwärtigen
Ort des Laptops auf der Grundlage der erfindungsgemäßen, oben
beschriebenen Ortsbestimmungsverfahren. Wenn der Ort des Laptops
das Heimnetz ist, sendet die persönliche Firewall die Logdatei
sofort an den zentralen Logserver 8. Wenn jedoch der gegenwärtige Ort
des Laptops nicht das Heimnetz ist, wird die Logdatei lokal gespeichert.
In ähnlicher
Weise werden eine Anzahl Logdateien lokal gesammelt, während der
Laptop von dem Heimnetz getrennt ist. So bald die persönliche Firewall
das nächste
Mal feststellt, daß die
Computereinrichtung wieder im Heimnetz angeordnet ist, schickt sie
die gesammelten Logdateien an den zentralen Logserver 8.
Wahlweise kann die persönliche
Firewall die gesammelten Logdateien auch an das persönliche Firewall-Management 8 schicken,
sobald der Laptop eine Verbindung (beispielsweie VPN) zu dem Heimnetz
hergestellt hat.