Browse Prior Art Database

Eine Methode zur Synchronisation von Firewalls

IP.com Disclosure Number: IPCOM000020066D
Original Publication Date: 2003-Nov-25
Included in the Prior Art Database: 2003-Nov-25
Document File: 1 page(s) / 50K

Publishing Venue

Siemens

Related People

Juergen Carstens: CONTACT

Abstract

In IP-Netzen werden haeufig sogenannte Network Address Translation (NAT) Engines oder Firewalls eingesetzt. NAT-Engines aendern bei den IP-Paketen eventuell die IP Addressen und Portnummern. Eventuell werden auch noch Elemente der Payload geaendert. Um diese Umsetzung vorzunehmen, wird pro Verkehrsbeziehung ein Tabelleneintrag vorgehalten, in dem die Paare (IP-Addr', Port') - (IP-Addr'', Port'') stehen. Fuer TCP macht man sich dabei die fuer Verbindungsaufbau und Verbindungsabbau verwendeten Nachrichtenelemente zu Nutze, bei UDP erfolgt dies nur zeitbasiert. Wenn keine Verkehrsbeziehung mehr existiert, wird der Tabelleneintrag geloescht. Bei TCP Verbindungen besteht der Eintrag erst nach einem Verbindungsaufbau. Firewalls realisieren eine Paketfilterfunktion. Dazu wird in der Regel fuer verbindungsorientierte Transportprotokolle ein Verbindungsstatus in der Firewall gefuehrt, und die Filterfunktion ist abhaengig von diesem Status.

This text was extracted from a PDF file.
This is the abbreviated version, containing approximately 51% of the total text.

Page 1 of 1

S

© SIEMENS AG 2003 file: 2003J11198.doc page: 1

Eine Methode zur Synchronisation von Firewalls

Idea: Dr. Michael Tuexen, DE-Muenchen; Maximilian Riegel, DE-Muenchen

In IP-Netzen werden haeufig sogenannte Network Address Translation (NAT) Engines oder Firewalls eingesetzt. NAT-Engines aendern bei den IP-Paketen eventuell die IP Addressen und Portnummern. Eventuell werden auch noch Elemente der Payload geaendert. Um diese Umsetzung vorzunehmen, wird pro Verkehrsbeziehung ein Tabelleneintrag vorgehalten, in dem die Paare (IP-Addr', Port') - (IP- Addr'', Port'') stehen. Fuer TCP macht man sich dabei die fuer Verbindungsaufbau und Verbindungsabbau verwendeten Nachrichtenelemente zu Nutze, bei UDP erfolgt dies nur zeitbasiert. Wenn keine Verkehrsbeziehung mehr existiert, wird der Tabelleneintrag geloescht. Bei TCP Verbindungen besteht der Eintrag erst nach einem Verbindungsaufbau.

Firewalls realisieren eine Paketfilterfunktion. Dazu wird in der Regel fuer verbindungsorientierte Transportprotokolle ein Verbindungsstatus in der Firewall gefuehrt, und die Filterfunktion ist abhaengig von diesem Status.

Benutzt man nun ein Multilink-Protokoll und fuehren verschiedene Pfade ueber verschiedene NAT Engines bzw. Firewalls, so muessen diese synchronisiert werden. Dabei wird angenommen, dass die Verbindungen bei Multilink-Protokollen nur ueber einen Pfad aufgebaut werden. Beispiele hierfuer sind SCTP (RFC 2960) und SSCOP-MCE (ITU-T Q.2111). Fuer die NAT-Engines bzw. Firewalls ist es moeglich, die notwendige Synchronisation ueber ein proprietaeres Protokoll zu erreichen.

Bisher trat das Problem nicht auf, da die eingesetzten Transportprotokolle nicht multilinkfaehig waren. Um eventuelle Redundanz der NAT Engines bzw. Firewalls zu erreichen, wurden propietaere Erweiterungen benutzt.

Transportprotokolle weisen in der Regel Mechanismen zur Behandlung von Nachrichtenverdoppelung auf. SCTP und SSCOP-MCE sind solche Transportprotokolle. Die Idee ist nun einfach, die ersten Verbindungsaufbaunachrichten mehrfach zu senden, auf jedem Pfad einmal, um so den NAT Engines bzw. Firewalls Gelegenheit zu geben, ihre Tab...