Die Erfindung betrifft ein sicheres System für einen Zugriff auf Daten in einem internen Bereich. Insbesondere umfasst das System einen öffentlichen Bereich und einen geschlossenen Bereich. Der geschlossene Bereich weist einen internen Bereich, eine demilitarisierte Zone (DMZ) und ein Rechenzentrum auf. Der interne Bereich umfasst eine Vielzahl von Geräten, wie z.B. Mobiltelefone, Tablets, Laptops, Desktops,

Steuerrechner und dergleichen. Die DMZ umfasst mindestens einen Proxy, dem jeweils ein Pool zugeordnet ist. Das Rechenzentrum umfasst mindestens einen Server.

Ferner betrifft die Erfindung ein sicheres Verfahren für einen Zugriff auf Daten.

Die europäische Patentanmeldung EP 3 316 545 A1 offenbart ein Verfahren, bei dem von einem Server innerhalb einer Firewall (interner Server) eine Anfrage für einen bestimmten Service von einem Server außerhalb der Firewall (externer Server) über die Firewall hindurch empfangen wird. Die Firewall ist dabei derart gestaltet, dass es Einheiten innerhalb der Firewall möglich ist, Verbindungen zu Einheiten außerhalb der Firewall herzustellen. Ebenso ist es möglich Verbindungen, die originär von außerhalb der Firewall kommen, zu blockieren, wobei der Service hierzu innerhalb der Firewall vorgesehen ist. Mit dem Outbound Proxy Server (OPS) wird eine Verbindung erzeugt, wobei Daten an einen Server innerhalb der Firewall gesendet werden, der den bestimmten Service speichert. Letztendlich wird mit dem OPS die Anfrage über die erstellte Verbindung geleitet.

Die deutsche Übersetzung DE 1 1 2012 003 731 T5 der internationalen

Patentanmeldung WO 2013/036946 offenbart verschiedene Verfahren für den sicheren Austausch privater Schlüssel zur Authentifizierung eines Users bezüglich eines RDP- Service. Eine Anforderung kann empfangen werden, die eine Session-Information umfasst, um einem User einen Zugang zu einem RDP-Service zu verschaffen. Das Verfahren kann weiterhin ein Zuweisen eines Gültigkeitszeitraums zu dem Passwort umfassen. Des Weiteren kann das Verfahren ein Erzeugen eines ersten geheimen Schlüssels, der auf User-Information basiert, ein Erzeugen eines zweiten geheimen Schlüssels, der auf dem ersten geheimen Schlüssel und einem Salt basiert, und ein Verschlüsseln eines Pakets, das das Passwort und den Zeitraum aufweist, unter Verwendung des zweiten geheimen Schlüssels umfassen. Zusätzlich kann das

Verfahren ein Übermitteln des Usernamens und des verschlüsselten Pakets zu dem Gerät zum Authentifizieren des Users bezüglich des angeforderten RDP-Service umfassen.

Die deutsche Übersetzung DE 1 1 2005 002 614 T5 der internationalen

Patentanmeldung WO 2006/046973 offenbart ein Verfahren zur Steuerung des Zugriffs zwischen einem Computer und einem Netzwerk. Es werden Netzwerkanfragen erkannt, die mindestens einer Aufgabe zugeordnet sind, die auf besagtem Computer abläuft. Als Antwort auf eine erkannte Netzwerkanfrage wird die Aufgabe in die Lage versetzt, auf das Netzwerk zuzugreifen, wenn der Netzwerkzugriff für die Aufgabe gegenwärtig deaktiviert ist. Als Antwort auf ein Fehlen von mit der Aufgabe verbundener neuer Aktivität auf dem Netzwerk, wird mindestens eine Vorrichtung auf dem Netzwerk daran gehindert, auf mindestens einen Port zuzugreifen, der gegenwärtig auf dem Computer offen ist.

Die europäische Patentanmeldung EP 2 031 817 A1 offenbart ein System und ein Verfahren für das Streaming eines umgekehrten HTTP - Gateways. Ebenso ist ein Netzwerk offenbart, das dieses System bzw. Verfahren mit umfasst. Das umgekehrte HTTP - Gateway ist zwischen zwei Firewalls, also in der DMZ, von einem internen Server und dem Internet abgeschirmt. Das hier offenbarte System kommuniziert über ein HTTP - Protokoll.

Gemäß dem Stand der Technik sind Server als Senken zu betrachten. Beispielsweise erfolgt beim Abruf von Emails ein Zugriff vom Client auf den Server. Die Clients sind Quellen, wie z.B. Mobiltelefon, Tablet, Laptop oder Desktop. Zum Schutz der mindestens einen Server ist eine komplexe Firewall-Einstellung nötig. Das Problem bei der Firewall-Einstellung ist, dass je nach Anzahl der gewünschten Freischaltung der Ports der Firewall, die Übersicht der vorgenommenen Einstellung kompliziert wird. So kann es Vorkommen, dass sich bei einem Fehler in der Einstellung der Firewall ein Administrator ausschließen kann.

In Deutschland empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz-Katalogen ein zweistufiges Firewall-Konzept vom internen Bereich zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.

Die Filterfunktionen können aber durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z. B. Wide Area Network (WAN) und Local Area Network (LAN)) und einen dritten für die DMZ.

Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden. Dies könnte z. B. eine

Segmentierung im Virtual Local Area Network (VLANs) sein oder Software-Firewalls auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.

Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz. Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk. Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel- Freischaltung. Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe: auf die innere Firewall direkt, auf andere Server in derselben DMZ, über Sicherheitslücken in Administrations- Werkzeugen, wie z.B. Telnet oder Secure Shell„SSH“ und auf Verbindungen, die regulär in der DMZ aufgebaut wurden. SSH bezeichnet sowohl ein Netzwerkprotokoll als auch entsprechende Programme, mit deren Hilfe man auf eine sichere Art und Weise eine verschlüsselte Netzwerkverbindung mit einem entfernten Gerät hersteilen kann. Häufig wird diese Methode verwendet, um lokal eine entfernte Kommandozeile verfügbar zu machen. Das heißt, auf einer lokalen Konsole werden die Ausgaben der entfernten Konsole ausgegeben und die lokalen Tastatureingaben werden an den entfernten Rechner gesendet. Genutzt werden kann dies beispielsweise zur

Fernwartung eines in einem entfernten Rechenzentrum stehenden Servers.

Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als„DMZ". Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können. Damit ist der Host (auch für potentielle Angreifer) aus dem Internet erreichbar. Eine Portweiterleitung der tatsächlich benutzten Ports ist dem— falls möglich—

vorzuziehen.

Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die

Portweiterleitungen auf die anderen Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf anderen Rechnern unwirksam macht.

Eine andere Möglichkeit der Absicherung kann eine„dirty DMZ“ sein. Als„dirty DMZ“ oder„dirty riet“ bezeichnet man üblicherweise das Netzsegment zwischen dem

Perimeter-Router und der Firewall des (internen) LAN. Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeter-Routers. Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeter- Router) gefiltert werden müssen.

Eine weitere Möglichkeit ist die individuelle Sicherheit der Firewall mittels einer „protected DMZ“. Als„protected DMZ“ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt. Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.

Gegenwärtig wird gemäß dem Stand der Technik der öffentliche Zugriff auf Daten in einem internen Bereich durch die Implementierung einer DMZ bewerkstelligt. Die DMZ trennt den öffentlichen Bereich vom internen Bereich. Gemäß dem momentanen Stand der Technik kann durch zwei Verfahren ermöglicht werden, Daten vom internen Bereich der Öffentlichkeit zugänglich zu machen. Zum einen werden die Daten in der DMZ gehalten. Auch kann ein Zugang auf die Daten über einen Korridor in den internen Bereich ermöglicht werden.

Das Dilemma beim Aufbau einer Verbindung ist, dass bei der Kompromittierung der DMZ durch einen Verbindungsaufbau in den öffentlichen Bereich ein Fluchtweg implementiert werden kann. Dies begünstigt den Diebstahl. Hinzu kommt, dass es laut dem BSI IT-Grundschutzkatalog keinen Verbindungsaufbau von der DMZ in den internen Bereich geben darf. Existiert ein solcher, ist laut Definition die DMZ keine DMZ mehr. Dennoch wird dieser Verbindungsaufbau geduldet, um auf Daten im internen Bereich zugreifen zu können, da es bis jetzt keine bekannte Technik gibt, die Daten auf andere Weise bereitstellt.

Daher liegt der gegenwärtigen Erfindung die Aufgabe zugrunde, ein System für einen Zugriff aus einem öffentlichen Bereich (z.B. Internet) auf Daten in einem internen Bereich zu schaffen, wobei trotz der Bereitstellung des öffentlichen Zugriffs der Schutz vor Angriffen auf und vor Diebstahl von Daten im internen Bereich ermöglicht ist.

Diese Aufgabe wird durch ein System für einen öffentlichen Zugriff auf Daten in einem internen Bereich gelöst, das die Merkmale des Anspruchs 1 umfasst.

Ferner ist es Aufgabe der vorliegenden Erfindung, ein Verfahren für einen öffentlichen Zugriff auf Daten in einem internen Bereich zu schaffen, das trotz der Bereitstellung des öffentlichen Zugriffs den Schutz vor Angriffen auf und vor Diebstahl von Daten im internen Bereich ermöglicht.

Die obige Aufgabe wird durch ein Verfahren für einen öffentlichen Zugriff auf Daten in einem internen Bereich gelöst, das die Merkmale des Anspruchs 9 umfasst.

Das erfindungsgemäße System ermöglicht einen sicheren öffentlichen Zugriff auf Daten in einem internen Bereich. Das System umfasst einen öffentlichen Bereich, wie z.B. das Internet, und einen geschlossenen Bereich. Der geschlossene Bereich ist aus einem internen Bereich, einer DMZ und einem Rechenzentrum aufgebaut. Der interne Bereich umfasst eine Vielzahl von Geräten. Die DMZ besitzt mindestens einen Proxy mit jeweils einem zugeordneten Pool. Das Rechenzentrum umfasst mindestens einen Server, wobei jedem der Server jeweils ein Hive zugeordnet ist. Jede Kombination aus Hive und Server kann eine protokollfreie Verbindung zum öffentlichen Bereich und eine

protokollfreie Verbindung zur DMZ des geschlossenen Bereichs bereitstellen. Ebenso stellt der interne Bereich des geschlossenen Bereichs eine protokollfreie Verbindung zur DMZ des geschlossenen Bereichs bereit. Durch die bereitgestellten Verbindungen kann ein eingehender Datenfluss durch ausgehende Verbindungen ermöglicht werden.

Der interne Bereich und die Geräte des internen Bereichs sind jeweils Quellen. Ebenso sind das Rechenzentrum und die im Rechenzentrum vorgesehene, mindestens eine Kombination aus je einem Server mit je einem Hive als eine Quelle ausgebildet.

Die DMZ und der mindestens eine Proxy mit dem jeweils einem zugeordneten Pool sowie der öffentliche Bereich sind Senken. Die Quellen des Systems sind über die Verbindungen mit den Senken verbunden. Die Bezeichnung als Quelle bezieht sich nicht auf Daten, sondern auf die Möglichkeit des Aufbaus einer Verbindung von der Quelle zu einer Senke. Die andere Richtung von der Senke zur Quelle ist nicht möglich.

Dies bedeutet, dass sich zwei Quellen nicht miteinander verbinden können. Ebenso können sich zwei Senken nicht miteinander verbinden. Um zwei Quellen miteinander zu verbinden ist eine Senke erforderlich. Bei dieser Konstellation können Daten einer Quelle zur anderen über die Senke ausgetauscht werden.

Rechner im Sinne der Beschreibung können virtuell oder physisch ausgebildet sein. Private Rechner sind Quellen. Ebenso sind private Netzwerke Quellen. Private Rechner stehen in privaten Netzwerken (interne Bereiche). Öffentliche Rechner (wie. z.B. Server) sind Senken. Auch öffentliche Netzwerke sind Senken. Öffentliche Rechner stehen in öffentlichen Netzwerken. Eine DMZ ist öffentlich und somit eine Senke. Ebenso ist das Internet mit all den Anwendungen öffentlich und somit eine Senke. Die DMZ kann gemäß einer möglichen Ausführungsform mit einer ersten Firewall und einer zweiten Firewall versehen sein. Die erste Firewall stellt eine Senke für die

Verbindungen vom internen Bereich dar. Die zweite Firewall stellt eine Senke für die Verbindungen vom Rechenzentrum dar.

Erfindungsgemäß sind die Hives, die den entsprechenden Servern zugeordnet sind, jeweils Klone von einem zuvor im Rechenzentrum installierten Hive. Der Klon eines Hives (Rechner) kann durch einfaches Kopieren hergestellt werden. Der Klon des Hives kann sich wieder mit dem Pool des Proxy verbinden, da die Konfiguration des Klons des Hives durch das Kopieren nicht geändert wurde.

Das Klonen der Hives hat den Vorteil, dass ein„hot update“ des Serverdienstes und/oder des Betriebssystems möglich ist. Durch das Klonen und die Updates können mehrere Versionen gleichzeitig laufen. Das Abschalten der„alten“ Versionen ist jederzeit möglich.

Bei jeder Kombination aus Hive und Server hat jeder Hive auf den ihm zugeordneten Server einen Zugriff. Gemäß einer möglichen Ausführungsform können der mindestens eine Server und der ihm zugeordnete Hive auf zwei getrennten Rechnern installiert sein. Ebenso und eine Software für den entsprechenden Hive auf dem separaten, getrennten Rechner installiert sein. Über den Zugriff sind der Hive und der Server verbunden.

Gemäß einer möglichen weiteren Ausführungsform können der mindestens eine Server und der ihm zugeordnete Hive ein einziger Rechner sein. Der Hive und der Server sind als Software auf dem einzigen Rechner installiert.

Gemäß einer möglichen Ausführungsform der Erfindung kann der interne Bereich mindestens einen Server umfassen, der eine Senke für den Hive darstellt. Ebenso können der Pool und der Proxy der DMZ wie auch der Hive des internen Bereichs einen Server oder einen virtuellen Server umfassen. Der Pool der DMZ richtet eine Anfrage an den Hive, um mindestens einen der freien Korridore zu belegen. Bei Erlaubnis des Zugriffs auf den internen Bereich, wird von einem Port eine Verbindung zum mindestens einen Server des internen Bereichs hergestellt. Der interne Bereich ist eine Senke. Gemäß dem erfindungsgemäßen System kann über mindestens ein externes Gerät des öffentlichen Bereichs, das eine Quelle ist, mittels eines Ports durch die erste Firewall eine Verbindung zu der DMZ aufgebaut werden.

Der Proxy der DMZ sendet durch die durch die erste Firewall aufgebaute Verbindung zur DMZ eine Mitteilung an den Pool. Auf die Mitteilung hin initiiert der Pool eine

Belegung eines des vom Hive bereitgestellten freien Korridors, so dass der mindestens eine Korridor belegt ist.

Vom Hive wird über den Port und die Verbindung zum mindestens einen Server die mindestens eine Anfrage aus dem öffentlichen Bereich an den Server des internen Bereichs geleitet.

Das erfindungsgemäße Verfahren für einen öffentlichen Zugriff auf Daten in einem geschlossenen Bereich zeichnet sich durch mehrere Schritte aus. Zunächst wird ein öffentlicher Bereich vorgesehen, der als eine Senke konfiguriert ist. Dem öffentlichen Bereich wird ein geschlossener Bereich zugeordnet. Der geschlossene Bereich umfasst einen internen Bereich, der eine Quelle ist. Eine DMZ ist eine Senke. Ein

Rechenzentrum ist eine Quelle. Zum Zugriff auf Daten werden von den Quellen protokollfreie Verbindungen zu den Senken ausgebildet.

Der Vorteil dieses Verfahrens ist darin begründet, dass nur von Quellen ausgehend die Verbindungen zu den Senken aufgebaut und über die Verbindungen Daten ausgetaucht werden können, so dass ein externer Zugriff auf Daten oder ein Datendiebstahl aus dem internen Bereich (der Quellen) nicht möglich ist. Durch die Erfindung wird somit die Datensicherheit erhöht.

Gemäß der Erfindung umfasst das Rechenzentrum mindestens einen Server, wobei jedem Server über einen Zugriff ein Hive zugeordnet wird. Das Rechenzentrum kann somit mindestens eine protokollfreie Verbindung zum öffentlichen Bereich und mindestens eine protokollfreie Verbindung zu mindestens einem Proxy der DMZ aufbauen. Der interne Bereich besteht aus einer Vielzahl von Geräten (wie. z.B.

Mobiltelefone, Tablets, Laptops, Desktops, Steuerrechner und dergleichen), von denen mindestens eine protokollfreie Verbindung zu mindestens einem Proxy zur DMZ aufgebaut wird. Für den Fall, dass die Geräte als Rechner ausgebildet sind, kann dieser physisch oder virtuell realisiert sein.

Mittels der DMZ wird ein Datenaustausch zwischen dem Rechenzentrum und dem internen Bereich ermöglicht. Dem mindestens einen Proxy der DMZ wird jeweils ein Pool zugeordnet. Der mindestens eine Hive verbindet sich mit dem Pool und der Pool konfiguriert den mindestens einen Proxy der DMZ. In der DMZ sind nur Proxys und keine Daten vorgesehen. Da die DMZ als eine Senke konfiguriert wird, können Zugriffe von außen nur durch einen offenen Port des Proxys erfolgen. Die DMZ ist von innen her geschlossen (Senke). Der Aufbau einer Verbindung zu einer Quelle ist nicht möglich. Es wird eine Notifikation beim dynamischen Schließen oder Öffnen eines Ports des mindestens einen Proxys gesendet.

Ebenso wird ein Zugriff des mindestens einen Hives auf den jeweils zugeordneten Server überwacht. Bei nicht Verfügbarkeit eines Dienstes wird dieser Zugriff des entsprechenden Servers und/oder der dynamisch geöffnete Port des mindestens einen Proxys geschlossen, wenn keine Verbindungen bestehen.

Ein automatisches Schließen der dynamisch erstellten Ports eines Proxys kann dann erfolgen, wenn für den Port des Proxys keine Verbindungen bestehen. Dies ist z.B. der Fall, wenn die Kombination aus Server und Hive„down“ ist.

Eine besonders vorteilhafte Ausführungsform der gegenwärtigen Erfindung ist, wenn die im System verwendeten Hives die Klone eines vorhergehenden Hives sind. Jeder der geklonten Hives kann sich somit selbst mit dem Pool des mindestens einen Proxys verbinden.

Die DMZ kann auch ein einzelner Rechner sein, wie z.B. ein Rechner von einem

Internetprovider.

Anhand der beigefügten Zeichnungen werden nun die Erfindung und ihre Vorteile durch Ausführungsbeispiele näher erläutert, ohne dadurch die Erfindung auf das gezeigte Ausführungsbeispiel zu beschränken. Die Größenverhältnisse in den Figuren entsprechen nicht immer den realen Größenverhältnissen, da einige Formen vereinfacht und andere Formen zur besseren Veranschaulichung vergrößert im Verhältnis zu anderen Elementen dargestellt sind. Dabei zeigen:

Figur 1 eine schematische Darstellung eines einstufigen Firewall-Konzepts des

Standes der Technik;

Figur 2 eine schematische Darstellung eines zweistufigen Firewall-Konzepts des

Standes der Technik;

Figur 3 eine schematische Darstellung einer Quelle im Sinne der Erfindung;

Figur 4 eine schematische Darstellung einer Senke im Sinne der Erfindung;

Figur 5A eine schematische Darstellung eines erlaubten bzw. möglichen

Verbindungsaufbaus;

Figur 5B eine schematische Darstellung eines nicht erlaubten bzw. nicht möglichen

Verbindungsaufbaus;

Figur 6 eine schematische Ansicht der Verbindung zweier Quellen;

Figur 7 eine schematische Darstellung eines Pools im Sinne der Erfindung;

Figur 8 eine schematische Darstellung eines Hives im Sinne der Erfindung;

Figur 9 eine schematische Darstellung der Vermittlung von Verbindungen an den

Pool;

Figur 10 eine schematische Darstellung der erfindungsgemäßen Zuordnung von öffentlichen Anfragen;

Figur 11 eine schematische Darstellung des erfindungsgemäßen Systems und

dessen Zusammenwirken von Senken und Quellen;

Figur 12 eine schematische Veranschaulichung einer Ausführungsform des

erfindungsgemäßen Systems; Figur 13 eine schematische Veranschaulichung einer weiteren Ausführungsform des erfindungsgemäßen Systems; und

Figur 14 eine schematische Darstellung der Kombination aus Server und Hive.

Für gleiche oder gleich wirkende Elemente der Erfindung werden identische

Bezugszeichen verwendet. Ferner werden der Übersicht halber nur Bezugszeichen in den einzelnen Figuren dargestellt, die für die Beschreibung der jeweiligen Figur erforderlich sind. Die Figuren stellen lediglich Ausführungsbeispiele der Erfindung dar, ohne jedoch die Erfindung auf die dargestellten Ausführungsbeispiele zu beschränken.

Figur 1 zeigt die Darstellung eines einstufigen Firewall-Konzepts des Standes der Technik. Eine demilitarisierte Zone 4 (DMZ) ist über eine Firewall 6 mit einem Intranet 2 (wie z.B. LAN) verbunden. Das Intranet 2 wird durch die Firewall 6 gegen andere Netze 8, wie z.B. Internet oder LAN, abgeschirmt. Durch die Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z.B. E-Mail, www, o.ä.) gestattet und gleichzeitig das Intranet 2 (internes Netz) vor ungerechtfertigten Zugriffen aus den anderen Netzen 8 geschützt werden. Die Schutzwirkung der DMZ 4 wird durch die Isolation eines Systems gegenüber zwei oder mehr Netzen erreicht. Bei der hier dargestellten Ausführungsform kann die DMZ 4 drei Server bzw. Systeme, wie z.B. WWW 1 1 , SMTP 12 und DNS 13 umfassen.

Figur 2 zeigt eine schematische Darstellung eines einstufigen Firewall-Konzepts des Standes der Technik. Die DMZ 4 ist bei dieser Ausführungsform durch eine erste Firewall 6 und eine zweite Firewall 7 geschützt. Die erste Firewall 6 trennt die DMZ 4 von den externen Netzen 8 bzw. dem Internet. Die zweite Firewall 7 trennt das Intranet 2 von der DMZ 4.

Figur 3 zeigt eine schematische Darstellung einer Quelle 20 im Sinne der Erfindung. Eine Quelle 20 im Sinne der Erfindung kann Verbindungen 21 aufbauen. Die Quelle 20 ist schematisch mit einer durchgezogenen Linie 18 und einer gestrichelten Linie 19 dargestellt. Eine Verbindung 21 kann nur von der Quelle 20 ausgehend aufgebaut werden. In anderen Worten, die Verbindung 21 kann nur von der gestrichelten Linie 19 ausgehend aufgebaut werden. Eine Annahme von Verbindungen 21 durch die Quelle 20 über die durchgezogene Linie 18 ist nicht möglich. Über die Verbindung 21 können Daten aus einer Senke 22 (siehe Figur 4) des erfindungsgemäßen Systems an die Quelle 20 gesendet werden.

In Figur 4 ist schematisch eine Senke 22 dargestellt, wie sie im erfindungsgemäßen System Verwendung findet. Die Senke 22 kann Verbindungen 21 annehmen. Ein Aufbau von Verbindungen 21 zu anderen Elementen des Systems ist nicht möglich. Die Senke 22 lässt sich ebenfalls schematisch mit einer durchgezogenen Linie 18 und einer gestrichelten Linie 19 darstellen. Eine Verbindung 21 kann nur von der Senke 22 angenommen werden. Wie in Figur 5 verdeutlicht, umgibt die gestrichelte Line 19 die durchgezogene Linie 18.

Figur 5A verdeutlicht in welcher Richtung der Aufbau einer Verbindung 21 möglich ist. Es ist egal ob Senke 22 oder Quelle 20, die Verbindung 21 kann nur von der

gestrichelten Linie 19 über die durchgezogene Linie 18 erfolgen.

Figur 5B verdeutlicht in welcher Richtung der Aufbau einer Verbindung 21 nicht möglich ist. Die durchgezogene Linie 18 ermöglicht keinen Aufbau einer Verbindung 21. Folglich ist eine Verbindung 21 von der durchgezogenen Linie 18 über die gestrichelte Linie 19 nicht möglich.

Figur 6 zeigt eine schematische Ansicht der Verbindung zweier Quellen 20. Zwei Quellen 20 können sich nur über eine Senke 22 verbinden. Es ist nicht möglich, dass sich zwei Quellen 20 oder zwei Senken 22 miteinander verbinden. Eine der Quellen 20 stellt eine Verbindung 21 mit der Senke 22 her. Ebenso stellt die andere Quelle 20 eine Verbindung 21 mit der Senke 22 her. Über die hergestellten Verbindungen 21 können nun Daten über die Senke 22, von einer Quelle 20 mit der anderen Quelle 20

ausgetauscht werden. In der Senke 22 sind keine Daten vorhanden.

Figur 7 zeigt einen Pool 23, der beim dem erfindungsgemäßen System Verwendung findet. Ein Pool 23 ist eine Senke 22 und kann mindestens eine Verbindung 21 annehmen, sammeln und verwalten. Die dargestellte Anzahl der Verbindungen 21 ist lediglich beispielhaft und soll nicht als eine Beschränkung der Erfindung aufgefasst werden.

In Figur 8 ist ein Hive 24 dargestellt. Der Hive 24 ist eine Quelle 20 des Systems, die mindestens eine Verbindung 21 aufbauen kann.

Figur 9 zeigt einen Pool 23 der mit einen internen Zugriff 26 auf den Proxy 25 zugreift, um Ports des Proxys 25 für die Verbindungen (nicht dargestellt) von den Quellen 20 zu ermöglichen. Fig. 9 zeigt den prinzipiellen Aufbau einer DMZ 4. Es ist selbstverständlich, dass eine DMZ 4 mehr als einen Proxy 25 mit Pool 23 umfassen kann. Die hier gezeigte Darstellung dient zum Zwecke der Beschreibung und ist nicht als Beschränkung der Erfindung aufzufassen.

Figur 10 zeigt eine schematische Darstellung einer möglichen Ausführungsform des Systems 1 der Erfindung. Die DMZ 4 ist eine Senke 22. Die DMZ 4 umfasst, wie bereits erwähnt, den Pool 23 und den Proxy 25. Der Pool 23 sammelt die Verbindungen 21 aus dem internen Bereich 2 (Quelle 20), wie z.B. Intranet. Die Verwaltung und Zuordnung der Verbindungen 21 (siehe Figur 12) aus dem öffentlichen Bereich 8 (öffentliche Netze, Internet; Quelle 20) werden von dem Proxy 25 der DMZ 4 übernommen.

Figur 11 zeigt eine schematische und vereinfachte Darstellung des erfindungsgemäßen Systems 1 und das Zusammenwirken von Senken 22 und Quellen 20. Aus dem internen Bereich 2 (Quelle 20) gelangen die Daten 28 über die Verbindung 21 zu einer Senke 22, die die DMZ 4 (Senke 22) mit dem zumindest einen Proxy 25 darstellt. Auf Anfrage aus dem öffentlichen Bereich 8 können die Daten 28 aus dem internen Bereich 2 mittels der hergestellten Verbindungen 21 über die DMZ 4, die ebenfalls eine Senke 22 ist, zu dem Rechenzentrum 5 (Quelle 20) geleitet werden. Die DMZ 4 verwaltet die Anfragen (siehe Figur 12 und 13) aus dem öffentlichen Bereich 8 und stellt die erforderlichen

Verbindungen 21 her. Wird z.B. die Senke 22 kompromittiert, ist es nicht möglich, Daten nach außen zu schaffen, da eine Senke 22 keine Verbindung 21 (Fluchtweg) nach außen, zu den Quellen 20 aufbauen kann. Figur 12 zeigt eine mögliche Ausführungsform des erfindungsgemäßen Systems 1. Zwischen einer Quelle 20, die ein interner Bereich 2 (wie z.B. ein Local Area Network (LAN) oder Intranet) ist und einem Rechenzentrum 5, das ebenfalls eine Quelle 20 ist, ist die DMZ 4 vorgesehen, die eine Senke 22 ist. Ein geschlossener Bereich 100 des erfindungsgemäßen Systems 1 umfasst den internen Bereich 2 (wie z.B. ein Local Area Network (LAN) oder Intranet), die DMZ 4 ist und das Rechenzentrum 5.

Der interne Bereich 2 kann eine Vielzahl von Geräten 32i, 32 ₂ , ...32 _N umfassen, die ebenfalls Quellen 20 sind. Die Geräte 32i, 32 ₂ , ...32 _N des internen Bereichs 2 können z.B. Mobiltelefone, Tablets, Laptops, Desktoprechner, ein Steuerrechner oder eine Vorrichtung, die eine Fernwartung benötigt, sein. Ein Beispiel für ein Gerät 32i,

32 ₂ ....32 _n , das eine Fernwartung benötigt, kann z.B. ein Röntgengerät sein. Ein öffentlicher Zugriff ist als Zugriff definiert, der nicht zum internen Bereich 2 gehört. Die Firewall-Einstellung der einzelnen Geräte 32i, 32 ₂ , ...32 _N ist statisch. Wie für eine Quelle 20 definiert, ist diese von außen geschlossen und von innen offen. Der Quelle 20 ist es folglich nur möglich eine Verbindung 21 aufzubauen.

Die DMZ 4 kann mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P umfassen. Der mindestens eine Proxy 25i , 25 ₂ , ... ,25 _P kann als Server und/oder virtueller Server ausgestaltet sein.

In der DMZ 4 sind keine Daten vorhanden. Auf den mindestens einen Proxy 25i,

25 ₂ .... .25 _P kann von außen zugegriffen werden. Die Geräte 32i, 32 ₂ , ...32 _N des internen Bereichs 2 können die Verbindungen 21 zu dem mindestens einen Proxy 25i,

25 ₂ .... ,25 _P aufbauen. Folglich ist, wie es für eine Senke 22 definiert ist, der mindestens eine Proxy 25i, 25 ₂ , ... ,25 _P von außen offen und von innen geschlossen. Jedem der Proxy 25i, 25 ₂ , ... ,25 _P kann auch ein Pool 23 (hier nicht dargestellt; siehe Fig. 10) zugeordnet sein. Die Proxy 25i, 25 ₂ , ... ,25 _P sind Portproxy. Die Pools 23 sind Poolproxy.

Das Rechenzentrum 5 ist eine Quelle 20, die mindestens einen Server 30i, 30 ₂ , ... ,30 _s mit jeweils einem zugeordneten Hive 24i, 24 ₂ , ... ,24 _s umfasst. Jeder der Server 30i,

30 ₂ .... .30 _S kann eine Verbindung 21 zu dem mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P der DMZ 4 aufbauen. Ebenso kann jeder Server 30i , 30 ₂ , ... ,30 _s des Rechenzentrums 5 eine Verbindung 21 zu einem öffentlichen Bereich 8 aufbauen, der z.B. das Internet ist aufbauen. Der öffentlichen Bereich 8 (Internet) umfasst eine Vielzahl von Anwendungen 40i, 40 ₂ , ... ,40 _k , auf die das erfindungsgemäße System 1 zugreifen kann.

Der Verbindungsaufbau aus dem Rechenzentrum 5 (Quelle 20) mit der DMZ 4 erfolgt derart, dass sich zumindest ein Hive 24i, 24 ₂ , ... ,24 _s mit dem Pool 23 (Poolproxy) verbindet. Der zumindest eine Hive 24i, 24 ₂ , ... ,24 _s konfiguriert dynamisch über den Pool 23 den zumindest mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P (Portproxy).

Anhand des folgenden Beispiels wird der oben beschriebene Verbindungsaufbau von Pool 23 (Poolproxy) und dem mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P (Portproxy) verdeutlicht. Der Pool 23 (Poolproxy) kört auf z.B. auf Port 8001 . Einer der Hives 24i,

24 ₂ .... ,24 _s , wie z.B. Hive 24i, verbindet sich mit Port 8001. Der Hive 24i, öffnet auf dem Proxy 25i (Portproxy) den Port 443. Der Hive 24i ist auf dem zugeordneten Server 30i mit Port 443 verbunden. Somit ist ein Datenaustausch vom Port 443 des Proxy 25i (Portproxy) zum Port 443 des Servers 30i möglich.

Der zumindest eine Hive 24i, 24 ₂ , ... ,24 _s und der mindestens eine Proxy 25i, 25 ₂ , ... ,25 _P sind von einem Protokoll, wie z.B. http, unabhängig. Die Konfiguration des mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P ist statisch. Die Konfiguration des mindestens einen zugeordneten Hives 24i , 24 ₂ , ... ,24 _s ist semi-statisch, nur der Port des mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P (Portproxy) und der Port des mindestens einen Servers 30i,

30 ₂ .... .30 _S können geändert werden.

Beim Öffnen eines Ports für mindestens einen Proxy 25i , 25 ₂ , ... ,25 _P erfolgt eine

Notifikation. Ebenso erfolgt eine Notifikation beim Schließen eines Ports für mindestens einen Proxy 25i , 25 ₂ , ... ,25 _P . jeder Hive 24i , 24 ₂ , ... ,24 _s der dem entsprechenden Server 30i, 30 ₂ , ... ,30 _S des Rechenzentrums zugeordnet ist, kann über einen internen Zugriff überwacht werden. Der Zugriff des entsprechenden Hives 24i, 24 ₂ , ... ,24 _s auf den ihm zugeordneten Server 30i, 30 ₂ , ... ,30 _s kann geschlossen werden, wenn der

entsprechende Server 30i , 30 ₂ , ... ,30 _s nicht verfügbar ist.

Es kann ein automatisches Schließen des dynamisch konfigurierten Ports des mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P (Portproxy) erfolgen, wenn die Verbindunganzahl des mindestens einen Proxy 25i, 25 ₂ , ... ,25 _P (Portproxy) null ist. Dies ist zum Beispiel der Fall, wenn der Zusammenschluss des mindestens einen Servers 30i, 30 ₂ , ... ,30 _S mit dem entsprechenden Hive 24i, 24 ₂ , ... ,24 _s „down“ ist, wie z.B. durch einen Stromausfall.

Werden weitere Zuordnungen aus Server 30i, 30 ₂ , ... ,30 _s (Rechner) und Hive 24i,

24 ₂ .... .24 _S benötigt, erfolgt dies durch Klonen eines der bestehenden Hives 24i,

24 ₂ .....24 _s . Der geklonte Hive 24i, 24 ₂ , ... ,24 _s verbindet sich wieder mit dem Pool 23 (Poolproxy), da die Konfiguration des geklonten Hives 24i, 24 ₂ , ... ,24 _s nicht geändert wurde.

Der öffentliche Bereich 8, z.B. das Internet, umfasst eine Vielzahl von externen Geräten und Dienste (nicht dargestellt). Der öffentliche Bereich 8 ist eine Senke 22 und von dem Rechenzentrum 5, das eine Quelle 20 ist, durch eine Firewall 6 abgeschirmt, Das Rechenzentrum 5 baut, falls Anfragen aus dem internen Bereich 2 (wie z.B. Intranet) vorliegen, eine Verbindung zu einem Proxyserver 40 im öffentlichen Bereich 8 auf. Die Anwendungen 40i, 40 ₂ , ... ,40 _K (Geräte und/oder Dienste) des öffentlichen Bereichs 8 bauen Verbindungen 21 zum dem Proxyserver 40 auf, der nicht öffentlich ist. verbinden können, um Anfragen an den internen Bereich 2 zu stellen. Damit die Anfragen vom öffentlichen Bereich 8 zum internen Bereich 2 des geschlossenen Bereichs gelangen, müssen die entsprechenden Verbindungen 21 die erste Firewall 6 und die zweite Firewall 7 (siehe Figur 13) der DMZ 4 passieren durch das System 1 erstellt werden.

Figur 13 zeigt eine weitere mögliche Ausführungsform des Systems 1 der

gegenwärtigen Erfindung. Der Aufbau der Ausführungsform der Fig. 13 unterscheidet sich von dem bereits in Fig. 12 beschriebenen Aufbau dadurch, dass eine zweite Firewall 7 vorgesehen ist. Der Proxyserver 40 ist somit durch die erste Firewall 6 und die zweite Firewall 7 abgeschirmt. Die Konfiguration entspricht der einer DMZ 4. Alle weiteren Merkmale des erfindungsgemäßen Systems 1 sind bereits ausführlich in der Beschreibung zu Fig. 12 beschrieben worden.

Es wird angenommen, dass das System und das Verfahren der vorliegenden

Offenbarung und vieler ihrer begleitenden Vorteile durch die vorstehende Beschreibung verständlich ist. Ferner ist es offensichtlich, dass verschiedene Änderungen in der Form, Anzahl, Konstruktion und der Anordnung der Komponenten vorgenommen werden können, ohne von dem offenbarten Gegenstand abzuweichen oder ohne alle ihre materiellen Vorteile zu opfern. Die beschrieben Form ist lediglich erklärend.

Die Erfindung wurde in Bezug auf bevorzugte Ausführungsformen beschrieben. Es ist für einen Fachmann selbstverständlich, dass Abwandlungen und Änderungen der Erfindung gemacht werden können, ohne dabei den Schutzbereich der nachstehenden Ansprüche zu verlassen.

Bezugszeichenliste System

interner Bereich, Intranet

demilitarisierte Zone, DMZ

Rechenzentrum

erste Firewall

zweite Firewall

öffentlicher Bereich (Internet, Netzwerke) WWW SMTP DNS

durchgezogene Linie

gestrichelte Linie

Quelle

Verbindung

Senke

Pool

Hive

i, 24 ₂ , ... ,24 _S Hive

Proxy

i, 25 ₂ , ... ,25 _P Proxy

interner Zugriff

Daten

Server

i, 30 ₂ , ... ,30 _s Server

i, 32 ₂ , ...32 _N Geräte

Proxyserver

i, 40 ₂ , ... ,40 _K Anwendung

0 geschlossener Bereich