-
Gebiet der
Erfindung
-
Die
vorliegende Erfindung betrifft das Sicherheitsmanagement von Computernetzwerken.
Insbesondere betrifft die Erfindung Verfahren und Systeme zur Verhinderung
eines Downloads und der Ausführung
unerwünschter
ausführbarer
Objekte auf einem Arbeitsplatzrechner (Workstation) eines Computernetzwerks.
-
Hintergrund
der Erfindung
-
Das
Internet hat sich sowohl im Hinblick auf dessen Inhalte als auch
im Hinblick auf die eingesetzte Technologie sehr entwickelt, seit
es vor wenigen Jahren gestartet ist. Während den ersten Tagen des Internets
umfassten Webseiten nur Text, und nach einer gewissen Zeit wurden
Grafiken eingeführt.
Als sich das Internet entwickelte, wurden viele komprimierte Standards,
wie Bilder, Stimme, Videodateien, und damit einhergehend Programme,
die zu deren Abspielen verwendet wurden ("Player" genannt), entwickelt. Anfänglich wurden
solche Dateien auf den Arbeitsplatzrechner des Benutzers nur auf
dessen Anforderung heruntergeladen (downgeloaded), und nur von dem
passenden Player extrahiert und nach einem spezifischen Befehl des
Benutzers.
-
Als
beim natürlichen
Verlauf der Entwicklung des World Wide Web die Suche nach einer
Möglichkeit
begann, Webseiten schöner,
interaktiv und animiert darzustellen, entwickelte Sun Microsystems Inc.
Java – eine
Sprache, die es dem Webmaster erlaubt, ein Programm zu schreiben,
eine Liste von Befehlen – Netzwerk
ausführbare
Programme – die
auf den Arbeitsplatzrechner des Benutzers ohne dessen Kenntnis heruntergeladen
werden und von seinem Browser auf seinem Arbeitsplatzrechner ausgeführt werden.
Die ausführbaren
Programme wurden benutzt, beispielsweise um fotografische Animation
und andere Grafiken auf dem Bildschirm des Webservers bereitzustellen.
Solche ausführbaren
Programme haben Möglichkeiten,
die Ressourcen des Arbeitsplatzrechners des Benutzers zu erreichen,
was zu einem großem
Sicherheitsproblem führt.
Obgleich einige Sicherheitsebenen in der Java-Sprache definiert
wurden, dauerte es nicht lange, bis ein großes Sicherheitsloch in der
Sprache gefunden wurde.
-
Seit
Java entwickelt wurde, entwickelte Microsoft ActiveX, was ein anderes
netzwerkausführbares
Format ist, das ebenfalls in den Arbeitsrechner geladen wird. ActiveX
hat ebenfalls Sicherheitsprobleme der gleichen Art.
-
Das
Internet wurde mit "netzwerkausführbaren
Programmen bzw. Codes" überflutet,
die heruntergeladen werden können – absichtlich
oder ohne Kenntnis der Benutzer – in die Arbeitsplatzrechner
innerhalb Organisationen. Diese Codes enthalten allgemein ungefährliche
Funktionen. Obgleich in der Regel sicher, erfüllen sie nicht die erforderliches
Sicherheitspolitik bzw. Grundsätze
der Organisation.
-
Einmal
ausgeführt
können
Codes das Netzwerk verstopfen, beträchtliche irreversible Schäden an den
lokalen Datenbanken, Arbeitsplatzrechnern und Servern hervorrufen,
oder zum unautorisierten Erlangen von Informationen aus den Servern/Arbeitsplatzrechnern
führen.
Solche Elemente können auf
Java-Applets, ActiveX-Komponenten, DLLs und anderen Objektcodes
erscheinen, und deren Benutzung steigt in ungleicher Geschwindigkeit.
Die Mehrheit dieser kleinen Programme werden in die Organisation
unaufgefordert und ungesteuert heruntergeladen. Das Unternehmen
hat keine Möglichkeit,
deren Existenz oder deren Ausführung
zu kennen, und es gibt kein System zum frühen Erkennen und Verhindern
der Ausführung
dieser Codes. Einige dieser Probleme werden in dem Artikel "Screening for applets", von Sharon Machlis,
COMPUTERWORLD, Vol. 31, No. 6, 10. Februar 1997, USA, Seiten 51-52,
diskutiert.
-
Das
Sicherheitsproblem wurde teilweise von den Browser-Herstellern gelöst, die
es dem Benutzer ermöglichen,
die Benutzung von ausführbaren
Codes zu untersagen. Dies ist natürlich keine vernünftige Lösung, da
der gesamte elektronische Handel und die Werbung auf der Benutzung
von ausführbaren Codes
basiert. Das Sicherheitsproblem ist noch ernster, da ein solcher
ausführbarer
Code die Unternehmensserver, Datenbanken und andere Arbeitsplatzrechner
erreichen kann. Allerdings war bisher der Stand der Technik nicht
in der Lage, umfassende Lösungen
bereitzustellen, die sicher und schnell genug sind, um in der Praxis
nützlich
zu sein. Systeme wie "Firewall" oder "Finjan", die zur Benutzung
durch Internetbenutzer verteilt werden, stellen nur Teillösungen bereit
und sind ferner schwierig zu installieren und zu aktualisieren.
-
Eine
andere Lösung,
die in
EP 776 112 vorgeschlagen
wurde, umfasst das Vorsehen von Quell- und Ziel-Verifizierern, die
mit eingehenden Paketobjekten verknüpft sind, um deren Quelle und
Ziel zu verifizieren.
-
In
zwei anhängigen
Patentanmeldungen der gleichen Anmelder, IL 120420, eingereicht
am 10. März
1997, und IL 121815, eingereicht am 22. September 1997, gibt es
beschriebene Verfahren und Mittel zum Verhindern, dass ungewünschte ausführbare Objekte
das LAN/WAN, in dem gearbeitet wird, und schließlich die Arbeitsplatzrechner
und Server infiltrieren. Während
die in den zuvor erwähnten
zwei israelischen Patentanmeldungen beschriebenen Systeme sicher
sind und angenehm zu bedienen sind, haben sie einen Nachteil, wenn
sehr große
Organisationen betroffen sind, insofern als sie erforderlich machen,
dass jeder individuelle Benutzer (oder Arbeitsplatzrechner) gesteuert
wird, um zu gewährleisten,
dass er nach der gewünschten
Sicherheitspolitik arbeitet, oder mit anderen Worten, dass er in dem
Arbeitsplatzrechner geeignete Sicherheitsdaten installiert hat,
oder dass sie erforderlich machen, dass die Kontrolle der Sicherheitspolitik
zentral auf der Gatewayebene ausgeführt wird und nicht auf der Arbeitsplatzrechner-Ebene.
In großen
Organisationen, in denen neue User ständig hinzukommen, erfordert
somit das Durchsetzen der Pflege der Sicherheitspolitik ständige Verwaltungsanstrengungen,
falls der Sicherheitsagent auf den einzelnen Arbeitsplatzrechnern
zu installieren ist. Es versteht sich, dass das Installieren des
Sicherheitsagenten auf dem einzelnen Arbeitsplatzrechner viele Vorteile
liefert, insbesondere wo Betriebsgeschwindigkeit und Kosten der zentralen
Geräte
betroffen ist, und wo eine zentralisierte Sicherheitsdurchsetzung
erforderlich ist.
-
Zusammenfassung
der Erfindung
-
Es
ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren und ein
Mittel zum Durchsetzen der Sicherheitspolitik einer Organisation
für alle
und jedes Mitglied der Organisation bereitzustellen, um damit selektiv
das Herunterladen und Ausführen
unerwünschter
ausführbarer
Objekte in einem Computer zu verhindern, was die Notwendigkeit nach
einer ständigen
zentralen Verwaltung und Überwachung der
Aktivitäten
der einzelnen innerhalb der Organisation unnötig macht und die ermöglichen,
einen Teil der Sicherheitspolitik-Durchsetzungsverfahren auf den
einzelnen Arbeitsplatzrechnern der Organisation zu bewirken.
-
Es
ist eine weitere Aufgabe der vorliegenden Erfindung, ein solches
System bereitzustellen, das leicht zu installieren ist, und das
schnell und einfach aktualisiert werden kann.
-
Es
ist eine weitere Aufgabe der Erfindung, ein solches Verfahren vorzusehen,
das mit einer großen
Anzahl von Gateways, LANs und Arbeitsplatzrechnern benutzt werden
kann.
-
Es
ist noch eine weitere Aufgabe der Erfindung, ein solches Sicherheitsmanagement
bzw. Verwaltungssystem zu schaffen, dass unabhängig von der physikalischen
Infrastruktur und dem Netzwerklayout ist.
-
Die
Erfindung ist ebenfalls gerichtet auf ein Computersystem, das das
Verfahren der Erfindung benutzt.
-
Die
Erfindung ist auf ein Verfahren zum Durchsetzen einer Sicherheitspolitik
zum selektiven Verhindern des Herunterladens und Ausführens von unerwünschten
ausführbaren
Objekten in einem einzelnen Arbeitsplatzrechner gerichtet, mit den
Schritten:
- (1) Bereitstellen eines Sicherheitsagenten,
der geeignet ist, in einer einzelnen Arbeitsstation bzw. Arbeitsplatzrechner
installiert zu werden, wobei der Sicherheitsagent mit Mitteln zum
Einführen von
zumindest einer Hinweismarke in ein oder mehrere Datenpakete versehen
ist, die von einer Arbeitsstation und an einen Server über ein
Gateway übertragen
werden, wobei zumindest eine Hinweismarke anzeigt, dass ein Sicherheitsagent in
der sendenden Arbeitsstation installiert ist;
- (2) Bereitstellen eines Mittels in oder in Verbindung mit dem
Gateway, um das erste oder mehrere Datenpakete zu analysieren, die
von einer sendenden Arbeitsstation empfangen werden, die eine Kommunikation
mit einem entfernten Server anstößt, um zu
bestimmen, ob das erste oder mehrere Datenpakete zumindest eine
Hinweismarke aufweisen, die anzeigt, dass ein geeigneter Sicherheitsagent
in der sendenden Arbeitsstation installiert ist;
- (3) falls zumindest eine Hinweismarke, die anzeigt, dass ein
geeigneter Sicherheitsagent in der sendenden Arbeitsstation installiert
ist, in dem ersten oder mehreren Datenpaketen erkannt wird, Löschen der
Hinweismarke(n) aus dem ersten oder mehreren Datenpaketen, und Zulassen, dass
die Datenpakete an ihr Ziel gesendet werden; und
- (4) falls keine Hinweismarke, die anzeigt, dass ein geeigneter
Sicherheitsagent in der sendenden Arbeitsstation installiert ist,
in dem ersten oder mehreren Datenpaketen erkannt wird, verhindern, dass
jegliche Datenpakete, die von dem Server empfangen werden, an dem
die Arbeitsstation angeschlossen ist, zu der Arbeitsstation übertragen werden.
-
Details
der Sicherheitspolitik bzw. Grundsätze, ihre Verteilung auf verschiedene
Gateways innerhalb der Organisation und die Analyse der empfangenen
Daten werden im Detail in den anhängigen israelischen Patentanmeldungen
des gleichen Anmelders beschrieben, wobei deren Beschreibung hier durch
Bezugnahme mit aufgenommen wird, und deshalb nachfolgend im Detail
aus Vereinfachungsgründen
nicht diskutiert werden.
-
Entsprechend
einer bevorzugten Ausführungsform
der Erfindung umfasst das Verfahren ferner den Schritt: Zwingen
der Arbeitsstation, die das bzw. die Datenpakete gesendet hat, die
keine Hinweismarke enthalten, die anzeigt, dass ein geeigneter Sicherheitsagent
installiert ist, dazu, einen geeigneten Sicherheitsagenten zu installieren.
Auf diese Weise wird die Sicherheitspolitik in Echtzeit durchgesetzt.
wie nachfolgend weiter beschrieben werden wird, kann ferner, falls
der installierte Sicherheitsagent nicht aktuell ist und die am Gateway
empfangene Hinweismarken-Information diese Tatsache anzeigt, ein
aktualisierter Sicherheitsagent installiert werden, oder eine Aktualisierung
der Sicherheitspolitik Information zu dem Benutzer gebracht werden. Eine
solche Installation (die wie nachfolgend benutzt, auch das Aktualisieren
von abgelaufenen Sicherheitspolitik-Daten umfasst) kann entweder
automatisch von dem System oder interaktiv in Zusammenwirken mit
dem Benutzer der Arbeitsstation durchgeführt werden.
-
Entsprechend
einer bevorzugten Ausführungsform
der Erfindung wird, wenn die Installation eines Sicherheitsagenten
benötigt
wird, ein Paket, das eine HTML-Seite mit Installationsinformation
für den
Sicherheitsagenten zu der Arbeitsstation von dem Gateway oder von
damit verbundenen Mitteln, beispielsweise in Form einer Email und
einem Datenanhang zurückgeführt. Entsprechend
einer bevorzugten Ausführungsform
der Erfindung wird ferner die Identität der Arbeitsstation und/oder
des Benutzers mit der ihm zugeordneten Sicherheitsebene vergleichen,
und der geeignete Sicherheitsagent und/oder Sicherheitspolitik-Daten,
die auf der Arbeitsstation installiert werden sollen, ausgewählt.
-
Die
Erfindung ist auch ausgerichtet auf ein System zum Durchsetzen einer
Sicherheitspolitik zur selektiven Verhinderung des Herunterladens
und Ausführens
von unerwünschten
ausführbaren
Objekten in einer einzelnen Arbeitsstation, mit:
- A.
einem Sicherheitsagent, der geeignet ist, um in einer einzelnen
Arbeitsstation installiert zu werden, wobei der Sicherheitsagent
Mittel zum Einführen
von zumindest einer Hinweismarke in ein oder mehrere Datenpakete
aufweist, die von einer Arbeitsstation über ein Gateway an einen Server gesendet
werden, wobei die zumindest eine Hinweismarke anzeigt, dass ein
Sicherheitsagent in der sendenden Arbeitsstation installiert ist;
- B. Gatewaymittel zum Steuern des Kommunikationsverkehrs einer
Vielzahl von Arbeitsstationen mit dem Internet oder einem Intranet;
- C. Erfassungsmittel, die in dem Gateway vorgesehen sind oder
mit diesem verbunden sind, um das erste oder mehrere Datenpakete
zu analysieren, die von einer sendenden Arbeitsstation empfangen
werden, die eine Kommunikation mit einem entfernten Server startet,
um zu bestimmen, ob das erste oder mehrere Datenpakete zumindest eine
Hinweismarke umfassen, die anzeigt, dass ein geeigneter Sicherheitsagent
in der sendenden Arbeitsstation installiert ist;
- D. Mittel zum Löschen
des/der Hinweismarke(n) aus dem ersten oder mehreren Datenpaketen
und Zulassen, dass die Datenpakete zu ihrem Ziel gesendet werden,
falls zumindest eine Hinweismarke, die anzeigt, dass ein geeigneter
Sicherheitsagent in der sendenden Arbeitsstation installiert ist, von
dem Erkennungsmittel in dem ersten oder mehreren Datenpaketen erkannt
wird; und
- E. Mittel zum Verhindern, dass beliebige Datenpakete, die von
dem Server empfangen werden, mit dem die Arbeitsstation verbunden
ist, an die Arbeitsstation übertragen
werden, falls keine Hinweismarke erkannt wird, die anzeigt, dass
ein geeigneter Sicherheitsagent in der sendenden Arbeitsstation
installiert ist, durch das Erfassungsmittel in dem ersten oder mehreren
Datenpaketen.
-
Entsprechend
einer bevorzugten Ausführungsform
der Erfindung umfasst das System ferner Mittel zum Zulassen oder
Erzwin gen der Installation eines geeigneten Sicherheitsagenten auf
einer Arbeitsstation. Solche Mittel können Mittel umfassen zum Erzwingen,
dass die Arbeitsstation, die ein Datenpaket bzw. Datenpakete gesendet
hat, die keine Hinweismarke enthalten, die anzeigt, dass ein geeigneter
Sicherheitsagent darin installiert ist, zwingt, einen geeigneten
Sicherheitsagent zu installieren. Diese Mittel können Mittel zum automatischen
Installieren des Sicherheitsagenten auf der Arbeitsstation sein,
oder Mittel zum Ausführen
der Installation interaktiv in Zusammenarbeit mit dem Benutzer der
Arbeitsstation.
-
Entsprechend
einer bevorzugten Ausführungsform
der Erfindung gibt es Mittel zum Zurücksenden eines Pakets an die
Arbeitsstation, das eine HTML-Seite enthält mit Installationsinformation
für den
Sicherheitsagenten. Entsprechend dieser bestimmten Ausführungsform
der Erfindung ist somit die Arbeitsstation über eine Verbindung verbunden, die
von dem Gateway bereitgestellt wird, mit einem entfernten Server,
der die Installationsprozedur leitet, und der die erforderliche
Information und Software bereitstellt. In einer bevorzugten Ausführungsform der
Erfindung wird die Installation nach dem Vergleichen der Identität der Arbeitsstation
und/oder des Benutzers mit der Sicherheitsebene, die dieser/diesem zugeteilt
ist, bewirkt, und die Auswahl des geeigneten Sicherheitsagenten
und der Sicherheitspolitik-Daten, die auf der Arbeitsstation zu
installieren sind.
-
Andere
Vorteile und Aufgaben der Erfindung ergeben sich im Laufe der Beschreibung.
-
Kurze Beschreibung
der Zeichnungen
-
1 ist
eine schematische Darstellung eines Sicherheitspolitikdurchsetzungsverfahrens
entsprechend einer bevorzugten Ausführungsform der Erfindung; und
-
2 stellt
die verschiedenen Elemente eines Systems entsprechend einer bevorzugten
Ausführungsform
der Erfindung und das Verhältnis
zwischen diesen dar.
-
Detaillierte
Beschreibung von bevorzugten Ausführungsformen
-
Das
Verfahren der Erfindung arbeitet zusammen mit dem System aus IL
120420 zum selektiven Verhindern des Herunterladens und Ausführens von unerwünschten
ausführbaren
Objekten in einem Computer, der kurz zusammengefasst entsprechend den
nachfolgenden Schritten arbeitet:
- (a) Bereitstellen
einer oder mehrerer Kontrollcenter, die jeweils mit einem oder mehreren
Gateways verbunden sind, die zwischen einem LAN und einem externen
Computerkommunikationsnetzwerk liegen;
- (b) Bereitstellen von Mitteln, die mit jedem der Gateways verbunden
sind, um ausführbare
Objekte zu erkennen, die das Gateway erreichen, um den Kopf (Header)
jedes der ausführbaren
Objekte zu analysieren und die Ressourcen des Computers zu erkennen,
die das ausführbare
Objekt zur Ausführung
benötigt;
- (c) Bereitstellen von Mitteln, die mit jedem der Gateways verbunden
sind, um eine Sicherheitspolitik eines Nutzers zu speichern, die
die Ressourcen darstellt oder eine Kombination der Ressourcen, die
der Benutzer innerhalb seines LAN zur Benutzung durch ein ausführbares
Objekt freigibt oder nicht freigibt, wobei die Sicherheitspolitik empfangen
wird von und/oder gespeichert wird in jedem der einen oder mehreren
Kontrollcenter;
- (d) wenn ein ausführbares
Objekt an dem Gateway erkannt wird:
1. Analysieren des Kopfs
des ausführbaren
Objekts;
2. Bestimmen der Ressourcen des Computers, die das
ausführbare
Objekt zur Ausführung
benötigt;
3.
Vergleichen der Ressourcen des Computers, die das ausführbare Objekt
zur Ausführung
benötigt
mit der Sicherheitspolitik und;
- (i) falls die Ressourcen des Computers, die das ausführbare Objekt
zur Ausführung
benötigt,
in der Liste der Ressourcen enthalten ist, die von der Sicherheitspolitik
zur Benutzung erlaubt sind, zulassen, dass das ausführbare Objekt
das Gateway passiert und den Computer erreicht, der das Herunterladen
initiiert hat; und
- (ii) falls die Ressourcen des Computers, die das ausführbare Objekt
zur Ausführung
benötigt,
in der Liste der Ressourcen enthalten sind, die von der Sicherheitspolitik
zur Ausführung
verboten sind, verhindern, dass das ausführbare Objekt das Gateway passiert,
um damit zu ver hindern, dass es den Computer erreicht, der das Herunterladen
initiiert hat.
-
Ein
Kontrollcenter (CC) kann eine zentrale Steuerungs- bzw. Kontrolleinheit
sein, beispielsweise ein PC oder ein anderer Computer, der mit einer
Vielzahl von Gateways verbunden ist, und der die Speichermittel,
die die relevanten Daten enthalten, aktualisiert, beispielsweise
die Sicherheitspolitik. Wie sich aus der nachfolgenden Beschreibung
ergeben wird, werden alle Gateways auf einmal aktualisiert, sobald das
CC aktualisiert ist, beispielsweise durch Hinzufügen einer zusätzlichen
Beschränkung
der Sicherheitspolitik. Die Benutzung des CC zur Steuerung des Betriebs
der Sicherheitselemente der Gateways macht die Notwendigkeit (die
in früheren
Systemen existierte) zur Aktualisierung jedes Gateways bei jeder
durchgeführten Änderung
der Politik überflüssig.
-
Ein
LAN (Local Area Network) kann (aber nicht beschränkt darauf) beispielsweise
ein Netzwerk von Computern sein, die in einem Büro oder einem Gebäude vorhanden
sind. Das LAN ist typischerweise verbunden mit außerhalb
liegenden Kommunikationsnetzwerken, wie beispielsweise das World
Wide Web oder zu begrenzteren LANs, beispielsweise eines Kunden
oder eines Lieferanten über
ein oder mehrere Gateways. Je größer die
Organisation, desto größer ist
die Anzahl der verwendeten Gateways, um die Kommunikation auf einer
vernünftigen
Geschwindigkeit zu halten.
-
Allgemein
gesprochen kann ein LAN auch aus einer Vielzahl von kleineren LANs
bestehen, die geografisch nahe beieinander oder weit entfernt liegen,
aber selbst wenn kleine LANs inner halb der gleichen Organisation
vorgefunden werden, können
die Sicherheitsanforderungen von einer Abteilung zur Anderen variieren,
und es kann notwendig sein, hohe Sicherheitsebenen aufrecht zu erhalten,
selbst innerhalb der gleichen Organisation, und damit zu verhindern,
dass ausführbare
Objekte von einer Abteilung zur anderen wandern.
-
Die
Mittel, die mit jedem der Gateways verbunden sind, um ausführbare Objekte
zu erkennen, die das Gateway erreichen, den Kopf jedes der ausführbaren
Objekte zu analysieren und die Ressourcen des Computers zu bestimmen,
die das ausführbare
Objekt zur Ausführung
benötigt,
können
unterschiedliche Typen sein. Typischerweise wird das ausführbare Objekt "eingefangen" und an dem Gateway
analysiert, indem auf der Kommunikationsleitung die Kommunikationsprotokolle,
wie beispielsweise TCP/IP, NETBUI, IPX/SPX, oder Andere sowie die
Objektübertragungsprotokolle,
wie SMTP, HTTP, FTP, NMTP, IMAP, etc. abgehört werden. Das Einhaken in
die Kommunikationsleitung und das Extrahieren des Inhalts des Kopfs
(Header) des ausführbaren Objekts
sind Schritte, die von einem Fachmann verstanden werden, und die
mittels herkömmlicher
Programmierung ausgeführt
werden können,
und die deshalb aus Verkürzungsgründen hier
nicht im Detail beschrieben werden.
-
Sobald
der Kopf des ausführbaren
Objekts (EO) analysiert ist, kann das Vergleichen der Ressourcen
des Computers, die das EO zur Ausführung benötigt, mit der Sicherheitspolitik
einfach durchgeführt
werden, beispielsweise durch deren Vergleich mit einer Lookup-Tabelle,
die von dem CC am Gateway bereitgestellt wird und die die Sicherheitspolitik darstellt.
Ein Vergleich kann auch gegen die in dem CC gespeicherten Daten
ausgeführt werden,
und in einem solchen Fall sind spezifische Speichermittel und Vergleichsmittel
in dem Gateway nicht notwendig. Allerdings fordern die Geschwindigkeits-
und Leistungsbetrachtungen häufig,
dass solche Operationen im Gateway selbst ausgeführt werden.
-
Das
Gateway muss in jedem Internetserver innerhalb der Organisation
installiert sein. Es umfasst eine kleine Echtzeitdatenbank, die
die gesamte relevante Betriebsinformation für das Gateway enthält. Das
Gateway "lauscht" den Daten, die zwischen
dem Unternehmen und dem Internet übertragen werden. Es weiß, wann
ein Objekt in das LAN kommt, es analysiert das Objekt und vergleicht
es mit der Sicherheitspolitik, um zu entscheiden, welche Aktion
durchgeführt
werden soll.
-
Entsprechend
einer bevorzugten Ausführungsform
von IL 120420, wie angegeben, werden, falls die Ressourcen des Computers,
die das ausführbare
Objekt zur Ausführung
benötigt,
in der Liste der Ressourcen enthalten ist, die zur Benutzung von der
Sicherheitspolitik erlaubt sind, keine Schritte von dem System unternommen,
um ein Passieren des ausführbaren
Objekts durch den Gateway und das Erreichen des Computers, der das
Herunterladen initiiert hat, zu verhindern. Falls jedoch die Ressourcen des
Computers, die das ausführbare
Objekt zur Ausführung
benötigt,
in der Liste der Ressourcen enthalten sind, die von der Sicherheitspolitik
zur Benutzung verboten sind, werden Schritte ergriffen, um das ausführbare Objekt
daran zu hindern, das Gateway zu passieren. Solche Schritte können beispielsweise
ein Rerouting (neu- oder zurückrouten)
des ausführbaren
Objekts zu einem Ziel außerhalb
des Gateways umfassen, Löschen
oder Verfälschen
eines Teils davon, um es inaktiv zu machen, etc.
-
Das
Verfahren ist nicht auf irgendein spezifisches EO begrenzt. Erläuternde
Beispiele von EO's umfassen
unter anderem Java-Applets, ActiveX, OCX, Win32 ausführbare Objekte,
DLLs oder ähnliche
ausführbare
Objekte. Wie sich für
den Durchschnittsfachmann jedoch ergibt, werden EO's ständig entwickelt,
und die tatsächliche
Natur des EO ist nicht von kritischer Bedeutung.
-
Viele
andere Merkmale und Vorteile des Systems werden im Detail in der
Beschreibung von IL 120420 beschrieben, die wie angegeben hier durch Bezugnahme
mit aufgenommen wird.
-
Entsprechend
der vorliegenden Erfindung ist ein Verfahren vorgesehen, gemäß dem der
Benutzer gezwungen wird, einen Sicherheitsagenten gemäß der Sicherheitspolitik
der Organisation zu installieren, wann immer er versucht, sich mit
einem Server über das
Gateway zu verbinden. Das Gateway kann irgendeins einer Vielzahl
von Gateways sein, die in der Organisation existieren.
-
Das
System arbeitet wie folgt: Wann immer ein Benutzer versucht, sich
mit einem Server zu verbinden, um Zugang zu einem Zielserver im
Internet oder in einem Intranet zu erlangen, wird ein "Verbindungsprozess" ausgeführt, bei
dem ein erstes Paket a von der Station zu dem Zielserver gesendet
wird, wobei das Paket keine Daten enthält. Entsprechend der vorliegenden
Erfindung wird private Information in das erste Paket aufgenommen,
die nachfolgend als "Hinweismarkeninformation" bezeichnet wird.
Die Hinweismarke zeigt an, dass ein Agent in der Arbeitsstation
vorhanden ist, die die Verbindung sucht. Mit anderen Worten, wann
immer der Kommunikationsprozess von einem Benutzer gestartet wird,
falls ein Sicherheitsagent auf der Arbeitsstation vorhanden ist,
wird der Sicherheitsagent das erste Paket so modifizieren, dass
eine Hinweismarke eingefügt
wird, die die Tatsache anzeigt, dass der Agent auf der Arbeitsstation
installiert ist. Falls kein Sicherheitsagent auf der Arbeitsstation
installiert ist, wird das erste Paket, das von der Arbeitsstation
während
des Verbindungsprozesses gesendet wird, leer sein oder wird zumindest
keine Hinweismarke enthalten, die das Vorhandensein eines geeigneten
Sicherheitsagenten auf der Arbeitsstation anzeigt. Mittels der Hinweismarke
wird das Gateway, das zur Ausführung
der Sicherheitspolitik der Organisation verantwortlich ist, über die
Tatsache alarmiert, dass eine Arbeitsstation, auf der kein Sicherheitsagent
installiert ist, versucht, sich mit einem Server außerhalb
der Organisation, oder außerhalb
eines Bereichs der Organisation für die Durchsetzung der Sicherheitspolitik
gefordert ist, zu verbinden.
-
Dieser
Prozess ist weiter in 1 dargestellt. In der Figur
ist der Betrieb des Gateways schematisch dargestellt. Das Gateway,
das alle eingehenden und ausgehenden Datenpakete empfängt, empfängt ein
erstes Paket, das von einer vorgegebenen Arbeitsstation gesendet
wird, und analysiert es. Das Gateway überprüft, ob das erste Paket Hinweismarken-Daten
enthält,
wie zuvor definiert. Falls geeignete Hinweismarken von dem Gateway
gefunden werden, entfernt das Gateway die Hinweismarken aus dem
Paket, bevor es zu seinem Ziel weitergeführt wird, um damit nicht mit
anderen Analysen in Konflikt zu kommen, die an dem Paket am Empfangsende durchgeführt werden.
Das Gateway erlaubt dann der Arbeitsstation, sich mit dem Ziel zu
verbinden.
-
Falls
ein Gateway in dem ersten Paket Hinweismarken nicht erkennen kann,
ermöglicht
es der Arbeitsstation nicht, sich mit dem Ziel zu verbinden, und
anstelle der Verbindung mit diesem gewünschten Ziel gibt es der Arbeitsstation
einen Link zu einem entfernten Server zurück, der die erforderliche Software
zur Ausführung
einer gezwungenen Installation eines Sicherheitsagenten auf der
spezifischen Arbeitsstation enthält.
Eine gezwungene Installation einer Software, wie beispielsweise
des Sicherheitsagenten, kann in einer Vielzahl von Weisen bewirkt werden,
die für
den Fachmann bekannt sind, und die deshalb hier nicht im Detail
aus Gründen
der Kürze beschrieben
werden. Eine solche Installation kann unter Nutzung von Programmen
ausgeführt
werden, die in der Java-Sprache geschrieben sind, auf jeden anderen
geeigneten Weg oder selbst interaktiv mit dem Benutzer, indem er
angewiesen wird, dass es ihm nicht erlaubt ist, sich mit dem Gateway
zu verbinden, solange nicht die spezifisch erforderlichen Operationen
ausgeführt
sind, die zu der Installation des gewünschten Sicherheitsagenten
auf seiner Arbeitsstation führen.
-
Entsprechend
einer bevorzugten Ausführungsform
der Erfindung wird die Verbindung des Benutzers mit dem Server,
der die Installation des Sicherheitsagenten auf der Arbeitsstation
des Nutzers ausführen
wird, oder von dem der Benutzer die Installation entsprechend ihm
gegebener Instruktionen ausführen
wird, dadurch bewirkt, dass es dem leeren Paket, das von dem Benutzer
zum Gateway gesendet wird (das erste Paket, das keine Hinweismarke enthält), ermöglicht wird,
den Zielserver zu erreichen, und, wenn ein Antwortpaket von dem
Zielserver empfangen wird, das an den Benutzer adressiert ist, das Gateway
es durch ein Paket ersetzt, das eine HTTP-Seite enthält, die
die Information zur Installation des Sicherheitsagenten enthält.
-
Natürlich können zusätzliche
Verfahren verwendet werden, um das gleiche Ergebnis zu erzielen. Beispielsweise
umfasst eine weniger bequeme, einfachere aber dennoch wirksame Prozedur
das Analysieren des ersten Pakets an dem Gateway, wie zuvor erläutert, und
dann Zurückgeben
an den Benutzer oder den Sicherheitsadministrator, nur eine Nachricht,
dass diese Arbeitsstation sich nicht mit dem Gateway verbinden darf,
da kein Sicherheitsagent darauf installiert ist. Eine solche Benachrichtigung kann
die Information umfassen, von wo oder von wem die zur Installation
des Sicherheitsagenten erforderliche Software zu erhalten ist. Während dies
ein weniger angenehmes längeres
und zeitverbrauchendes Verfahren ist, ergibt sich für den Fachmann,
dass es nichtsdestotrotz so wirksam wie jedes andere fortschrittlichere
Installationsverfahren zum Zwecke der Aufrechterhaltung der Sicherheit
und der Überwachung
der Sicherheitspolitik der Organisation ist.
-
Entsprechend
einer anderen bevorzugten Ausführungsform
der Erfindung wird ebenfalls eine Analyse der Identität der Arbeitsstation
und/oder des Nutzers durch das Gateway und/oder durch den entfernten
Server durchgeführt,
um die Sicherheitspolitik festzulegen, die für ihn anzuwenden ist. Dies
ist in Organisationen wichtig, bei denen unterschiedliche Sicherheitspolitiken
anzuwenden sind, beispielsweise wo unterschiedliche Abteilungen
oder unterschiedliche Personen oder Ebenen innerhalb einer Abteilung
unterschiedliche Sicherheitspolitiken zugeordnet sind. Ein solcher
Schritt ist natürlich
nicht notwendig, falls die gesamte Organisation eine einheitliche
Sicherheitspolitik verwendet.
-
Betrachtet
man nun 2, sind drei Sicherheitsebenen
eines Systems entsprechend einer bevorzugten Ausführungsform
der Erfindung dargestellt. Die Box "A" ist
der Management- bzw. Verwaltungsanwendungsblock, der das Kontrollcenter
enthält,
das alle Sicherheitsoperationen des Systems steuert. Das Kontrollcenter
ist mit den Verwaltungsmodulen, wie beispielsweise dem Politikmanager verbunden,
der Daten für
die Sicherheitspolitik des Systems für verschiedene Gateways, Benutzer
etc. enthält,
oder der Audit Betrachter, der es einem Bediener erlaubt, die Operation
des Systems in Echtzeit zu betrachten oder jede andere Hilfsoperation,
die auf der Kontrollcenterebene (schematisch in Figuren als "..." Box angedeutet)
arbeiten soll.
-
Das
Kontrollcenter ist einerseits mit dem Distributionsserver (Verteilungsserver)
und andererseits mit einem oder mehreren Gateways (nur ein Gateway
ist aus Vereinfachungsgründen
in der Figur gezeigt) verbunden. Der Distributionsserver, der zu dem
Verwaltungsanwendungsblock gehört,
ist mit dem Kontrollcenter über
TCP-/IP-(oder Paketebene)-Verbindungen verbunden, und hat die Funktion, auf
Arbeitsstationsebene Betriebsinformationen und Daten für den Sicherheitsagenten,
der auf Arbeitsstationsebene läuft,
bereitzustellen. Der Agent (Box C) ist logisch verbunden einerseits
mit dem Distributionsserver und andererseits mit dem Gateway, das mit
Gatewayebenen-Sicherheitsanwendungen (Block
B) versehen ist, die sich um die Sicherheitsoperationen kümmern, die
auf einem Gateway selbst ausgeführt
werden, wie zuvor erläutert.
-
Die
Beschreibung der bevorzugten Ausführungsformen wurde zum Zwecke
der Erläuterung
angegeben und ist nicht dazu gedacht, die Erfindung in irgendeiner
Weise zu beschränken,
mit Ausnahme der Definition durch die Ansprüche. Viele Modifikationen können bei
der Erfindung ausgeführt
werden. Viele unterschiedliche Hinweismarken können vorgesehen werden, um
anzugeben, dass ein Sicherheitsagent auf einer vorgegebenen Arbeitsstation
beispielsweise installiert ist, unterschiedliche Typen von Analysen
können
von oder im Gateway oder von unterschiedlichen Agenten, die mit
dem Gateway verbunden sind, ausgeführt werden, und viele unterschiedliche
Mittel und Verfahren zum Bewirken der Installation des Sicherheitsagenten
in einer Arbeitsstation können
vorgesehen werden, ohne den Umfang der Erfindung zu verlassen.