Beschreibung

Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, Kommunikationssystem und Verfahren zum Betreiben eines Kommu- nikationssystems

Die Erfindung betrifft einen Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk, ein Kommunikationssystem sowie ein Verfahren zum Betreiben eines Kommunikationssystems.

In einem herkömmlichen Kommunikationssystem sind eine Mehrzahl an Teilnehmerkomponenten über jeweilige Teilnehmerleitungen mit einem Netzwerkzugangsknotenrechner gekoppelt, welcher die Verbindung der Teilnehmerkomponenten zu einem Kommu- nikationsnetzwerk herstellt. Bei dem Kommunikationsnetzwerk kann es sich beispielsweise um eine Vielzahl an miteinander gekoppelten Rechnern handeln, welche auf Basis des Internet Protokolls (IP) miteinander kommunizieren. Ein derartiges Kommunikationsnetzwerk wird auch als Internet bezeichnet. Aufgrund der immer häufigeren Nutzung des Internets durch die Teilnehmerkomponenten, welche stets oder auch nur zeitweilig über den Netzwerkzugangsknotenrechner mit dem Kommunikationsnetzwerk eine Verbindung aufweisen, stellt die Sicherheit einen immer wichtigeren Themenkomplex dar.

Die Teilnehmerkomponenten sind gegen die nachfolgend aufgelisteten und von dem Kommunikationsnetzwerk ausgehenden Bedrohungen zu schützen: Viren, Würmer, Trojanische Pferde, De- nial of Service-Attacken (Dos-Attacken) , wie z.B. IP- Spoofing, SynFlood-Attacken sowie Unsolicited BuIk E-mail (UBE), wie z.B. Spam-E-mails.

Mit der breiten Anbindung der Teilnehmerkomponenten an das Internet über als Digital Subscriber Lines (DSL) -Leitungen bezeichnete Teilnehmerleitungen sind zunehmend auch private Nutzer und kleinere Firmen oder Büros von den oben genannten Bedrohungen betroffen und müssen dagegen geeignete Schutzmaßnahmen treffen.

Teilweise gezielt ausgeführte Attacken auf Teilnehmerkomponenten oder auch auf Rechner des Kommunikationsnetzwerks verursachen hohe Kosten für den jeweiligen Betreiber. Die Scha- densbegrenzung ist umso aufwendiger, je später ein Angriff erkannt wird.

Die oben bezeichneten Bedrohungen werden technisch durch Virenscanner, Systeme zur automatischen Erkennung eines uner- laubten oder zufälligen Zugriffs (Intrusion Detection System IDS), Systeme zum Unterbinden eines unerlaubten oder zufälligen Zugriffs (Network Intrusion Prevention System NIPS oder IPS) , Firewalls, Virtual Private Networks (VPN) sowie Verschlüsselungs- und Authentifizierungsverfahren, wie z.B. SSH, SSL oder TLS, abgewehrt.

Typischerweise werden eine oder mehrere der Schutzmaßnahmen durch den Nutzer oder Betreiber der Teilnehmerkomponente eingesetzt. Dies erfolgt dadurch, indem zwischen eine Teilneh- merkomponente und das Kommunikationsnetzwerk eine Firewall installiert, ein Virenscanner auf der Teilnehmerkomponente eingerichtet oder eine Kommunikationsverbindung über das Kommunikationsnetzwerk durch den Einsatz von VPN aufgebaut wird. Dabei wird das Kommunikationsnetzwerk als Transportmedium und ungeschützter Bereich betrachtet.

Die Aufgabe der vorliegenden Erfindung ist es daher, eine Möglichkeit zu schaffen, welche den Schutz von Teilnehmerkomponenten vor Bedrohungen der oben genannten Art erleichtert.

Diese Aufgabe wird durch einen Netzwerkzugangsknotenrechner gemäß den Merkmalen des Patentanspruches 1, durch ein Kommunikationssystem mit den Merkmalen des Patentanspruches 13 sowie durch ein Verfahren zum Betreiben eines Kommunikations- Systems mit den Merkmalen des Patentanspruches 16 gelöst.

Vorteilhafte Ausgestaltungen ergeben sich jeweils aus den abhängigen Patentansprüchen.

Der erfindungsgemäße Netzwerkzugangsknotenrechner zu einem Kommunikationsnetzwerk ist über eine Kommunikationsleitung an das Kommunikationsnetzwerk und über zumindest eine Teilnehmerleitung mit einer Teilnehmerkomponente verbindbar. Der Netzwerkzugangsknotenrechner ist dazu eingerichtet, einen Datenstrom zwischen dem Kommunikationsnetzwerk und der zumindest einen Teilnehmerkomponente zu transportieren. Er weist weiterhin eine Schutzvorrichtung auf, durch welche der Datenstrom leitbar ist und die dazu eingerichtet ist, den Daten- ström zu erfassen, zu analysieren und bei Vorliegen vorgegebener Bedingungen zu verändern.

Bei dem Netzwerkzugangsknotenrechner handelt es sich um eine Komponente, welche eine Konzentration der Datenströme einer Mehrzahl an Teilnehmerkomponenten, die über jeweils eine

Teilnehmerleitung mit dem Netzwerkzugangsknotenrechner verbunden sind, auf einen Gesamt-Datenstrom vornimmt, der über die den Netzwerkzugangsknotenrechner mit dem Kommunikationsnetzwerk verbindende Kommunikationsleitung geführt wird.

Die Erfindung sieht nun vor, Schutzmechanismen, die bislang in den Teilnehmerkomponenten eingerichtet und betrieben wurden, in den Netzwerkzugangsknotenrechner zu verlagern. Hierdurch werden die Betreiber der Teilnehmerkomponenten von der Aufgabe befreit, sich um den Schutz ihrer Teilnehmerkomponente selbst kümmern zu müssen. Die Netzwerkzugangsknotenrechner befinden sich üblicherweise in der Einflusssphäre des Betreibers des Kommunikationsnetzwerks, welcher auf einfache Weise entsprechende Schutzvorrichtungen bereitstellen kann. Dabei ist es insbesondere möglich, mit lediglich einer einzigen Schutzvorrichtung eine Mehrzahl an Teilnehmerkomponenten, nämlich diejenige Anzahl an Teilnehmerkomponenten, die mit dem Netzwerkzugangsknotenrechner verbunden sind, zu schützen.

Die Schutzvorrichtung kann eine Mehrzahl an unterschiedlichen Schutzkomponenten aufweisen. Gemäß einer Ausführungsform weist die Schutzvorrichtung als erste Schutzkomponente eine Firewall-Funktionalität auf. Eine Firewall kann dabei auf

Schicht 2 oder Schicht 3 des OSI-Referenzmodells eingesetzt werden. Dabei kann die Firewall durch den Betreiber des Kommunikationsnetzwerkes eingerichtet und den Teilnehmerkomponenten zur Verfügung gestellt werden. Da der Betreiber ledig- lieh begrenzte Informationen über die Teilnehmerkomponente besitzt, muss hinsichtlich der Konfiguration der Firewall ein Kompromiss für die häufigsten Fälle eingegangen werden. Eine transparente Firewall auf Schicht 2 kann hierbei eine vorteilhafte Lösung darstellen. In dieser könnten z.B. Service- leistungen zum Schutz vor unerwünschten Inhalten angeboten werden. Die erste Schutzkomponente kann einmalig für sämtliche der Teilnehmerknoten in der Schutzvorrichtung vorgesehen sein. Denkbar ist jedoch auch, jeder Teilnehmerkomponente eine separate erste Schutzkomponente zuzuweisen.

Gemäß einer weiteren Ausführungsform weist die Schutzvorrichtung als zweite Schutzkomponente eine Virenscanner- Funktionalität auf, bei der der Datenstrom auf Virensignaturen überprüft wird. Die zweite Schutzkomponente ist dazu ein- gerichtet, den Datenstrom im Falle einer erkannten Virensignatur zu blockieren und/oder eine Nachricht mit einem, einen Alarm signalisierenden Attribut abzugeben. Der Alarm kann hierbei an den Sender und/oder den Empfänger des Datenstroms, das heißt an einen Rechner des Kommunikationsnetzwerks oder die Teilnehmerkomponente abgegeben werden.

Gemäß einer weiteren Ausführungsform des erfindungsgemäßen Netzwerkzugangsknotenrechners weist die Schutzvorrichtung als dritte Schutzkomponente ein System zur automatischen Erken- nung eines unerlaubten oder zufälligen Zugriffs von dem Kommunikationsnetzwerk auf die zumindest eine Teilnehmerkomponente und/oder von der zumindest einen Teilnehmerkomponente auf das Kommunikationsnetzwerk auf. Bei einem solchen System handelt es sich um ein Intrusion Detection System (IDS), mit dessen Hilfe Angriffe, insbesondere das Eindringen auf eine Teilnehmerkomponente, erkannt werden können.

Gemäß einer weiteren Ausführungsform weist die Schutzvorrichtung als vierte Schutzkomponente ein System zum Unterbinden eines unerlaubten oder zufälligen Zugriffs von dem Kommunikationsnetzwerk auf die zumindest eine Teilnehmerkomponente und/oder von der zumindest einen Teilnehmerkomponente auf das Kommunikationsnetzwerk auf. Dieses System, das als Network Intrusion Protection System (NIPS oder IPS) bekannt ist, geht über die Erkennung eines Angriffs hinaus und unterbindet diesen .

Die dritte und vierte Schutzkomponente können dabei zu einer funktionalen Einheit miteinander vereinigt sein.

Gemäß einer weiteren Ausführungsform ist vorgesehen, dass der Netzwerkzugangsknotenrechner dazu eingerichtet ist, die

Schutzvorrichtung zumindest einer der Teilnehmerleitungen zuzuweisen, so dass der Datenstrom dieser zumindest einen Teilnehmerleitung im Falle einer solchen Zuweisung über die Schutzvorrichtung geleitet wird. Ein derartiger Netzwerkzu- gangsknotenrechner ermöglicht es, technisch zur Verfügung stehende Schutzmaßnahmen, z.B. als kostenpflichtiger Dienst, dem Nutzer einer Teilnehmerkomponente anzubieten. Gemäß dieser Ausführungsform ist somit nicht vorgesehen, das der Datenstrom einer jeden Teilnehmerkomponente zu dem Kommunikati- onsnetzwerk zwangsläufig über die Schutzvorrichtung geleitet werden muss. Vielmehr kann der Netzwerkzugangsknotenrechner dazu eingerichtet sein, den Datenstrom einzelner Teilnehmerkomponenten selektiv über die Schutzvorrichtung zu leiten.

Eine feinere Steuerung des Datenstroms wird durch eine weitere Ausführungsform möglich, gemäß der der Netzwerkzugangsknotenrechner dazu eingerichtet ist, zumindest eine der Schutzkomponenten zumindest einer der Teilnehmerleitungen zuzuweisen, so dass der Datenstrom dieser zumindest einen Teilneh- merleitung im Falle einer solchen Zuweisung über die zumindest eine Schutzkomponente geleitet wird. Gemäß dieser Ausgestaltung können in verschiedenen Teilnehmerleitungen selek-

tiv bestimmte Schutzkomponenten zugewiesen werden, über welche dann der Datenstrom geleitet wird.

Gemäß einer weiteren Ausführungsform ist vorgesehen, dass die erste Schutzkomponente und/oder die zweite Schutzkomponente und/oder die dritte Schutzkomponente und/oder die vierte Schutzkomponente in Hardware und/oder in Software realisiert sind. Die Realisierung, welche der Schutzkomponenten in Hard- und/oder Software realisiert wird, kann insbesondere anhand der Größe (Durchsatzrate) des Datenstroms festgelegt werden. Reine Softwarelösungen empfehlen sich für einen geringen Anteil an zu schützenden Teilnehmerkomponenten bzw. Teilnehmerleitungen. Hier ist die höchste Flexibilität in der Funktionalität bei einer geringen Performance zu erwarten. Bei sehr hohen Datendurchsatzraten können Teilfunktionen der Schutzkomponenten hingegen besser durch einen Prozessor und damit eine Realisierung in Hardware übernommen werden.

Gemäß einer Ausführungsform ist der Netzwerkzugangsknoten- rechner ein Digital Subscriber Line Access Multiplexer (DSLAM) , der den Zugang zu einem Breitband- Kommunikationsnetzwerk für eine Mehrzahl an Teilnehmerkomponenten darstellt. Die Teilnehmerleitung ist eine Digital Subscriber Line (DSL) -Kommunikationsleitung, welche eine Teilnehmerkomponente mit dem Netzwerkzugangsknotenrechner verbindet .

Ein erfindungsgemäßes Kommunikationssystem umfasst ein Kommunikationsnetzwerk, zumindest eine Teilnehmerkomponente sowie einen Netzwerkzugangsknotenrechner, der wie oben beschrieben ausgebildet ist. Ein erfindungsgemäßes Kommunikationssystem weist die gleichen Vorteile auf, wie sie vorstehend in Verbindung mit dem Netzwerkzugangsknotenrechner beschrieben wurden .

Bei der Teilnehmerkomponente kann es sich gemäß einer Ausführungsform um einen einzelnen Rechner oder um ein weiteres Kommunikationsnetzwerk, z.B. ein so genanntes Intranet oder

dergleichen, handeln. Das Kommunikationsnetzwerk ist gemäß einer Ausfuhrungsform ein Breitbandnetz, insbesondere ein A- synchronous Transport Module (ATM) -Kommunikationsnetzwerk o- der Ethernet basiertes Netzwerk.

Bei dem erfindungsgemaßen Verfahren zum Betreiben eines Kommunikationssystems mit einem Kommunikationsnetzwerk, zumindest einer Teilnehmerkomponente und einem Netzwerkzugangskno- tenrechner wird ein zwischen dem Kommunikationsnetzwerk und einer Teilnehmerkomponente übertragener Datenstrom in den

Netzwerkzugangsknotenrechner erfasst, analysiert und bei Vorliegen vorgegebener Bedingungen verändert. Mit anderen Worten wird der Datenstrom in dem Netzwerkzugangsknotenrechner einer überprüfung auf mögliche Bedrohungen für die Teilnehmerkompo- nente und/oder das Kommunikationsnetzwerk unterzogen. Insbesondere kann vorgesehen sein, dass der Datenstrom auf Virensignaturen und/oder einer Denial of Service (DoS) -Attacke und/oder Unsolicited BuIk E-mail (UBE) analysiert wird.

Die Erfindung wird nachfolgend anhand der einzigen Figur naher erläutert.

Die Figur zeigt in einer schematischen Darstellung ein erfin- dungsgemaßes Kommunikationssystem 1. Dieses weist ein Kommu- nikationsnetzwerk 10, beispielsweise ein auf Internet Protokollen (IP) basierendes Kommunikationsnetzwerk aus einer Vielzahl an miteinander gekoppelten Rechnern (nicht dargestellt) auf. Das Kommunikationsnetzwerk 10 ist über eine Kommunikationsleitung 11, die durch eine Breitbandleitung gebil- det ist, mit einem Netzwerkzugangsknotenrechner 20, z.B. einem Digital Subscriber Line Access Multiplexer (DSLAM) gekoppelt. Der Netzwerkzugangsknotenrechner 20 ist wiederum in bekannter Weise über eine Mehrzahl an Teilnehmerleitungen 31.1, ..., 31. n mit jeweiligen Teilnehmerkomponenten 30.1, ..., 30. n gekoppelt. Die Teilnehmerkomponente 30.1 ist beispielhaft als einzelner Rechner 32 ausgebildet, wahrend die Teilnehmerkomponente 30. n durch ein weiteres Kommunikationsnetzwerk 33 gebildet ist. Die Teilnehmerleitungen 31.1, ..., 31. n

stellen im Ausfuhrungsbeispiel so genannte DSL- Kommunikationsleitungen dar.

Der Netzwerkzugangsknotenrechner 20 ist eine Netzkomponente zur Konzentration mehrerer xDSL-Verbindungen . Der Netzwerkzugangsknotenrechner 20 stellt einen Zugang zu dem als Breitbandnetz ausgebildeten Kommunikationsnetzwerk 10 dar. Zu seinen typischen Aufgaben gehören das Multiplexen und Aggregie- ren der Datenstrome, eine Bitratenanpassung an die Ubertra- gungsgeschwindigkeit der xDSL-Verbindung, die Bereitstellung von Netzwerkmanagement-Informationen, die Einrichtung permanenter virtueller Verbindungen (, Permanent Virtual Circuit PVC) , die Einrichtung und Auslosung gewählter virtueller Verbindungen (Switched Virtual Circuit SVC) sowie die Verkehrs- Steuerung (Policing) zur Gewahrleistung einer Dienstgute (Quality of Service QoS) .

Der Netzwerkzugangsknotenrechner 20 weist eine Schutzvorrichtung 21 auf, die im Ausfuhrungsbeispiel Schutzkomponenten 22, 23, 24, 25 umfasst. Die einzelnen Schutzkomponenten 22, 23, 24, 25 sind voneinander getrennt, so dass eine gegenseitige Beeinflussung ausgeschlossen ist. Die Schutzkomponenten können selektiv einer oder mehreren der Teilnehmerleitungen 31.1, ..., 31. n und damit den jeweils angeschlossen Teilneh- merkomponenten 30.1, ..., 30. n zugewiesen werden.

Der zwischen der Teilnehmerkomponente 30.1 und dem Kommunikationsnetzwerk 10 vorliegende Datenstrom ist mit dem Bezugszeichen 27 gekennzeichnet. Der zwischen der Teilnehmerkompo- nente 30. n und dem Kommunikationsnetzwerk 10 vorliegende Datenstrom ist mit dem Bezugszeichen 26 gekennzeichnet.

Im Ausfuhrungsbeispiel erfolgt eine derartige Zuweisung zu der Teilnehmerleitung 31. n und der damit gekoppelten Teilneh- merkomponente 30. n (Kommunikationsnetzwerk 33) . Wahrend der Datenstrom 27 von keinerlei Schutzmechanismen überwacht wird (es sei denn, eine Schutzkomponente ist in der Teilnehmerkomponente 30.1 selbst aktiv), wird der durch die Schutzvorrich-

tung 21 geleitete Datenstrom 26 beispielhaft samtlichen Schutzmechanismen der Schutzvorrichtung 21 unterworfen. In einer nicht dargestellten Ausfuhrungsform konnte der Datenstrom 27 auch nur einige, vorab bestimmte, Schutzkomponenten geleitet werden.

Bei der Schutzkomponente 22 handelt es sich beispielsweise um eine Firewall. Eine Firewall ist allgemein ein Konzept zur Netzwerksicherung an der Grenze zwischen zwei Kommunikations- netzen (hier Kommunikationsnetzwerk 10 und Teilnehmerkomponente 30. n), über das jede Kommunikation (Datenstrom) zwischen den beiden Netzen gefuhrt werden muss. Firewalls werden eingesetzt, um primär ein lokales Netz (Teilnehmerkomponente 30. n) gegen Angriffe aus dem Internet (Kommunikationsnetzwerk 10) zu schützen. Da die Kommunikation zwischen den Netzen in jedem Falle über die Firewall gefuhrt werden muss, ermöglicht diese die konsequente Durchsetzung einer Sicherheitspolitik. Die dabei eingesetzten Schutzmaßnahmen wirken in beiden Richtungen, können jedoch auch asymmetrisch eingesetzt, da den Teilnehmerkomponenten mehr Vertrauen entgegengebracht wird, als den Benutzern des Kommunikationsnetzwerks 10. Somit treffen die Benutzer des zu schutzenden Netzwerkes weniger restriktive Maßnahmen als die externen Benutzer.

Zu den möglichen Schutzmaßnahmen einer Firewall zahlen unter anderem die Beschrankung der in dem vertrauensunwurdigen Netz nutzbaren Dienste, die Reduzierung der Anzahl der zu schutzenden Kommunikationsrechner, die strukturierte Beschrankung von Zugriffsrechten, die Filterung des Datenstroms, eine Au- dit-Funktion (das heißt überwachung und Nachvollziehbarkeit von Zugriffen und Datenverkehr) , eine Authentifizierung und Identifikation sowie eine verschlüsselte, chiffrierte übertragung.

Eine Firewall kann sowohl in Hardware als auch in Software realisiert sein. Denkbar ist beispielsweise eine Firewall jedem der zu schutzenden Teilnehmerleitungen 31.1, 31. n zuzuweisen .

Bei der Schutzkomponente 23 kann es sich um einen Virenscanner handeln, der typischerweise in Software realisiert wird. Eine Instanz des Virenscanners kann einer entsprechenden Teilnehmerleitung (hier: Teilnehmerleitung 30. n) zugeordnet werden. Der Virenscanner scannt den ein- und ausgehenden Datenstrom 27 auf bekannte Virensignaturen. Bei Erkennen eines Virus kann dann ein Alarm ausgelöst und der entsprechende Datenstrom gesperrt werden.

Bei der Schutzkomponente 24 handelt es sich um ein Intrusion Detection System (IDS), die in Form von Software realisiert ist und mit deren Hilfe Angriffe auf die Teilnehmerkomponente 30. n erkannt werden können. Damit in Verbindung steht die Schutzkomponente 25, die als Network Intrusion Protection

System (NIPS) ausgebildet ist und einen erkannten Angriff unterbindet .

Die Erfindung lässt sich insbesondere im Bereich von DSL- Kommunikationsverbindungen jeweiliger Teilnehmerkomponenten mit einem Kommunikationsnetzwerk vorteilhaft einsetzen. Hierbei ergeben sich sowohl Vorteile für den Nutzer der Teilnehmerkomponente als auch für den Betreiber des Kommunikationsnetzwerks .

Der Nutzer wird von der Aufgabe befreit, sich um geeignete Schutzmaßnahmen seiner Teilnehmerkomponente kümmern zu müssen. Der Aufwand umfasst die Beschäftigung mit der Thematik, die Installation geeigneter Schutzmaßnahmen und die Pflege bzw. die Datenaktualität der Schutzmechanismen. Für Nutzer, die sich mit dieser Thematik nicht auseinandersetzen wollen oder können, bedeutet dies eine erhebliche Entlastung. Weiterhin bringt eine dezidierte Lösung Sicherheitsvorteile, da eine Attacke oder auch ein Virus bereits vor dem Erreichen der Teilnehmerkomponente abgewehrt werden kann.

Auch der Betreiber eines Kommunikationsnetzwerkes hat ein zunehmendes Interesse, das Kommunikationsnetzwerk gegen Atta-

cken und Bedrohungen zu schützen. Viren, Würmer, Denial of Service-Attacken und ähnliches führen bei den Betreibern der Kommunikationsnetzwerke zunehmend zu Ausfällen und damit zu hohen Kosten. Mit dem Schutz der Teilnehmerleitung bzw. der damit gekoppelten Teilnehmerkomponente, wird das Kommunikationsnetzwerk am Eintrittspunkt geschützt. Damit können Angriffe frühestmöglich abgewehrt werden. Die Erfindung stellt damit einen wichtigen Baustein zur Erhöhung der Kommunikationsnetzwerksicherheit bereit.