Browse Prior Art Database

Autorisierung von Remote Services ueber eine Firewall

IP.com Disclosure Number: IPCOM000124432D
Original Publication Date: 2005-May-20
Included in the Prior Art Database: 2005-May-20
Document File: 2 page(s) / 45K

Publishing Venue

Siemens

Related People

Juergen Carstens: CONTACT

Abstract

Firewalls werden haeufig dafuer eingesetzt, gewisse Dienste innerhalb eines zu schuetzenden Bereiches zu verweigern oder nur fuer bestimmte IP-Adressen (Internet Protocol) zuzulassen. Ein Beispiel fuer derartige Dienste ist eine Fernsteuerung von Anlagen, die hierzu einen „Remote Service“ vorsehen. Zur Berechtigung bzw. Autorisierung einer Ausfuehrung bestimmter Dienste an diesen Anlagen ist unter anderem eine manuelle Verwaltung aller IP-Adressen der zu schuetzenden Anlagen erforderlich, welche ueblicherweise in Autorisierungsregeln erfolgt. Die Berechtigungsueberpruefung selbst erfolgt in der Firewall. Die Autorisierungsregeln werden lokal in den Firewalls vorgehalten. Aenderungen der Berechtigungen werden in Form von Aenderungen der Autorisierungsregeln vorgenommen, werden aber erst nach einer Neuberechnung dieser Autorisierungsregeln (Recompile) wirksam. Diese in der Firewall ausgefuehrte Neuberechnung fuehrt jedoch zu einem voruebergehenden Ausfall der jeweiligen Firewall. Mit steigender Anzahl von Autorisierungsregeln steigt die benoetigte Zeit fuer die Neuberechnung und damit die Ausfallzeit. Eine Steigerung der Sicherheit wird erreicht, indem sich Benutzer, die ueber die Firewall eine Verbindung zu geschuetzten Geraeten herstellen wollen, authentifizieren muessen. Dieses Verfahren erfordert zusaetzlich eine manuell zu pflegende Benutzerverwaltung. Zur Umgehung einer manuellen Pflege der Benutzerverwaltung wurde vorgeschlagen, diese an ein externes Authentifizierungssystem auszulagern. Das Autorisierungssystem verbleibt bislang jedoch in den Firewalls, so dass in der Firewall nach wie vor eine Liste der zu schuetzenden Ziel-IP-Adressen vorgehalten und gepflegt werden muss.

This text was extracted from a PDF file.
At least one non-text object (such as an image or picture) has been suppressed.
This is the abbreviated version, containing approximately 52% of the total text.

Page 1 of 2

S

Autorisierung von Remote Services ueber eine Firewall

Idee: Georg Mészáros, AT-Graz; Klaus Mittermayer, AT-Wien; Martin Kammerhofer, AT-Graz

Firewalls werden haeufig dafuer eingesetzt, gewisse Dienste innerhalb eines zu schuetzenden Bereiches zu verweigern oder nur fuer bestimmte IP-Adressen (Internet Protocol) zuzulassen. Ein Beispiel fuer derartige Dienste ist eine Fernsteuerung von Anlagen, die hierzu einen "Remote Service" vorsehen.

Zur Berechtigung bzw. Autorisierung einer Ausfuehrung bestimmter Dienste an diesen Anlagen ist unter anderem eine manuelle Verwaltung aller IP-Adressen der zu schuetzenden Anlagen erforderlich, welche ueblicherweise in Autorisierungsregeln erfolgt. Die Berechtigungsueberpruefung selbst erfolgt in der Firewall. Die Autorisierungsregeln werden lokal in den Firewalls vorgehalten. Aenderungen der Berechtigungen werden in Form von Aenderungen der Autorisierungsregeln vorgenommen, werden aber erst nach einer Neuberechnung dieser Autorisierungsregeln (Recompile) wirksam. Diese in der Firewall ausgefuehrte Neuberechnung fuehrt jedoch zu einem voruebergehenden Ausfall der jeweiligen Firewall. Mit steigender Anzahl von Autorisierungsregeln steigt die benoetigte Zeit fuer die Neuberechnung und damit die Ausfallzeit. Eine Steigerung der Sicherheit wird erreicht, indem sich Benutzer, die ueber die Firewall eine Verbindung zu geschuetzten Geraeten herstellen wollen, authentifizieren muessen. Dieses Verfahren erfordert zusaetzlich eine manuell zu pflegende Benutzerverwaltung. Zur Umgehung einer manuellen Pflege der Benutzerverwaltung wurde vorgeschlagen, diese an ein externes Authentifizierungssystem auszulagern. Das Autorisierungssystem verbleibt bislang jedoch in den Firewalls, so dass in der Firewall nach wie vor eine Liste der zu schuetzenden Ziel-IP-Adressen vorgehalten und gepflegt werden muss.

Wenn sich nun Aenderungen im Netzwerk ergeben (z.B. neue Anlagen, Aenderungen von IP- Adressen, Entfernen vo...