DE60203433T2 - Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk - Google Patents

Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk Download PDF

Info

Publication number
DE60203433T2
DE60203433T2 DE60203433T DE60203433T DE60203433T2 DE 60203433 T2 DE60203433 T2 DE 60203433T2 DE 60203433 T DE60203433 T DE 60203433T DE 60203433 T DE60203433 T DE 60203433T DE 60203433 T2 DE60203433 T2 DE 60203433T2
Authority
DE
Germany
Prior art keywords
external
proxy server
network
proxy
network device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60203433T
Other languages
English (en)
Other versions
DE60203433D1 (de
Inventor
Gavan Rochester Tredoux
Xin Palo Alto Xu
Bruce C Victor Lyon
Randy L Plano Cain
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xerox Corp
Original Assignee
Xerox Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xerox Corp filed Critical Xerox Corp
Application granted granted Critical
Publication of DE60203433D1 publication Critical patent/DE60203433D1/de
Publication of DE60203433T2 publication Critical patent/DE60203433T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2876Pairs of inter-processing entities at each side of the network, e.g. split proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/2895Intermediate processing functionally located close to the data provider application, e.g. reverse proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Description

  • Die voliegende Erfindung betrifft Schutz- und Zugriffsprotokolle für Netzwerke, wie Computernetzwerke und dergleichen. Insbesondere betrifft die vorliegende Erfindung ein Schema, das Zugang zu und von Vorrichtungen auf geschützten Netzwerken von außerhalb der geschützten Netzwerke gestattet.
  • Netzwerke, die mit dem Internet verbunden sind, verlassen sich auf Firewalls und Proxyserver, um die Netzwerke vor dem Eindringen unbefugter Personen zu schützen. Firewalls erlauben typischerweise nur ankommende Verbindungen zu bestimmten Maschinen und/oder über besondere Protokolle (TCP/IP, HTTP, FTP usw.), während sie jeglichen anderen Verkehr unterbinden. Firewalls können, genauso wie ausgehende Proxyserver, auch den Verkehr von dem Netzwerk zum Internet einschränken, durch Einschränken von Zielen und/oder durch Protokolle. Diese Sicherheitsbeschränkungen vereiteln jedoch oft einige Anwendungen des Internet für rechtmäßige Zwecke. Zum Beispiel werden die Diagnose und Wartung von entfernten Netzwerkvorrichtungen durch Firewalls stark beeinträchtigt, wenn nicht gänzlich unterbunden.
  • Einige Firewalls können modifiziert und/oder rekonfiguriert werden, um den Eintritt von Verkehr zu erlauben, aber dies kann den Kauf zusätzlicher Hardware und/oder Software erfordern. Die mit dem Kauf von Hardware und/oder Software verbundenen Kosten, verbunden mit der Schwierigkeit, eine Änderung in der Firmenpolitik bezüglich der Netzwerksicherheit zu bewirken, würde wahrscheinlich ein bedeutsames Hindernis für die Verwirklichung solcher Modifikationen sein. Außerdem setzen viele Firewalls und/oder Router Adressen-Verschleierung und Netzwerkadressen-Übersetzung (NAT) ein. Verschleierung und NAT erlauben den Gebrauch von internen Netzwerk-Adressräumen, verhindern aber typischerweise, dass ankommender Verkehr die internen Adressen erreicht, da die internen Adressen nicht routbar und nicht einmalig sind. Keine kommerziell genutzte oder verfügbare Technik scheint in der Lage zu sein, all diese Probleme ohne Änderungen von Firewall-/Proxyserver-Konfigurationen, Firewall-/Proxyserver-Fähigkeiten und/oder der Netzwerk-Sicherheitspolitik zu lösen. Viele virtuelle Privatnetzwerk- (VPN) Schemas stellen Zugang zu privaten Netzwerken über das Internet bereit, aber alle benötigen umfangreiche Änderungen an den Firewalls, Proxyservern und/oder der Sicherheitspolitik der verbundenen Netzwerke.
  • WO-A-01/65768, veröffentlicht am 7. September 2001 und somit Bestandteil des Standes der Technik unter Artikel 54 (3) EPC, offenbart ein Zugangssystem, bei dem ein Proxyserver und ein Abrufserver auf entgegengesetzten Seiten einer Firewall angeordnet sind. Der Abrufserver befragt periodisch den Proxyserver durch die Firewall, um festzustellen, ob Anwendungsdaten in einer Warteschlange des Proxyservers warten.
  • Nach einem Aspekt der vorliegenden Erfindung umfasst ein Rückwärts-Proxynetzwerk-Kommunikationsschema:
    einen Proxyagenten, der innerhalb eines geschützten Netzwerks gelegen ist und durch wenigstens eine interne Netzwerkvorrichtung adressierbar ist, wobei der Proxyagent ausgehende Netzwerkverbindungen herstellt;
    eine Sicherheitsvorrichtung, durch die jeder Verkehr zwischen dem geschützten Netzwerk und externen Netzwerken laufen muss, wobei die Sicherheitsvorrichtung wenigstens ausgehende Verbindungen über wenigstens ein vorbestimmtes Netzwerkprotokoll gestattet;
    einen externen Proxyserver außerhalb des geschützten Netzwerks und erreichbar durch den Proxyagenten über ausgehende Netzwerkverbindungen durch die Sicherheitsvorrichtung, wo wobei der externe Proxyserver auch durch wenigstens eine externe Netzwerkvorrichtung adressierbar ist, um dadurch Kommunikation zwischen der wenigstens einen externen Netzwerkvorrichtung und der wenigstens einen internen Netzwerkvorrichtung zu gestatten, wobei der Proxyagent und der externe Proxyserver eingerichtet sind, zu kommunizieren, indem der Proxyagent veranlasst wird, sich mit dem externen Proxyserver zu verbinden, um anhängigen Verkehr zu prüfen, wobei der externe Proxyserver einen langsamen Strom von unechten Bytes zurückgibt, der von dem Proxyagenten ignoriert wird, wenn nichts anhängig ist, und der externe Proxyserver sofort Daten an den Proxyagenten sendet, wenn der externe Proxyserver Daten von einem Client empfängt, um so die Verbindung zu schließen, um jegliche durch eingreifende (ausgehende) Proxyserver durchgeführte Pufferung auszuspülen.
  • Nach einem zweiten Aspekt der vorliegenden Erfindung umfasst ein Verfahren, um auf eine interne Netzwerkvorrichtung auf einem geschützten Netzwerk, das eine Sicherheitsvorrichtung enthält, zuzugreifen, die folgenden Schritte:
    Speichern von Daten, die an die interne Netzwerkvorrichtung adressiert sind, in einem externen Proxyserver;
    Unterhalten eines Proxyagenten auf dem geschützten Netzwerk, wobei der Proxyagent die folgenden Schritte ausführt:
    Abfragen des externen Proxyservers nach Daten, die an die interne Netzwerkvorrichtung adressiert sind;
    Befördern aller Daten, die sich auf dem externen Proxyserver befinden und an die interne Netzwerkvorrichtung adressiert sind, zu der internen Netzwerkvorrichtung, und
    Befördern aller Daten, die an eine externe Vorrichtung in Kommunikation mit dem externen Proxyserver adressiert sind, zu dem externen Proxyserver, wobei das Abfragen umfasst:
    Verbinden mit dem externen Proxyserver, um anhängigen Verkehr zu prüfen;
    Zurückgeben eines langsamen Stromes von unechten Bytes, die von dem Proxyagenten ignoriert werden, wenn nichts anhängig ist;
    sofortiges Senden von Daten von dem externen Proxyserver an den Proxyagenten, wenn der externe Proxyserver Daten von einem Client empfängt, um so die Verbindung zu schließen, um jegliche durch eingreifende (ausgehende) Proxyserver durchgeführte Pufferung auszuspülen.
  • Verschiedene Ausführungen der Erfindung erlauben, dass Verkehr von außerhalb eines geschützten Netzwerks mit einer internen Netzwerkvorrichtung des geschützten Netzwerks durch eine zum Schützen des Netzwerks konfigurierte Firewall verbunden wird. Zum Beispiel kann TCP/IP-Verkehr, der über das Internet zu dem geschützten Netzwerk läuft, einen beabsichtigten Computer auf dem internen Netzwerk erreichen. Die eingesetzte Technik erfordert wenig oder keine Veränderung der beabsichtigten internen Netzwerkvorrichtung, des Proxyservers oder der sicherheitspolitischen Konfiguration, solange ausgehende Verbindungen über wenigstens ein Protokoll, wie z. B. HTTP, erlaubt sind. Die ausgehenden Verbindungen können, wenn nötig, über einen Proxyserver hergestellt werden. Selbst wenn die ausgehende Verbindung auf ein Protokoll begrenzt werden kann, ist ankommender Verkehr dennoch nicht auf das eine Protokoll begrenzt und kann jedes Protokoll einsetzen, das das Internet und das geschützte Netzwerk sowie die beabsichtigte Vorrichtung zu übertragen und/oder zu handhaben imstande sind. Öffentliche Adressierbarkeit des geschützten Netzwerks ist nicht erforderlich, was einen Zugang zu dem privaten, nicht einmaligen Adressraum ermöglicht, der gewöhnlich von Clients außerhalb des geschützten Netzwerks nicht erreichbar ist. Dennoch bewahrt die Technik die Netzwerksicherheit durch mehrere eingebaute Sicherheitsmaßnahmen.
  • Die von verschiedenen Ausführungen der Erfindung angewandte Technik wird als "Reverse Proxying" bezeichnet, zum Teil deshalb, weil sie zwei Hauptkomonenten umfasst: einen Pro xyagenten, der sich innerhalb des geschützten Netzwerks befindet, und einen externen Proxyserver, der sich außerhalb des geschützten Netzwerks (z. B. auf dem Internert) an einer Stelle befindet, die durch den Proxyagenten erreichbar ist. Der externe Proxyserver speichert Verkehr, der an Vorrichtungen innerhalb des geschützten Netzwerks adressiert ist, bis ein Proxyagent in eine Warteschlange gestellten Verkehr entdeckt, der für das geschützte Netzwerk bestimmt ist, wobei dann der externe Proxyserver diesen Verkehr zu der oder den beabsichtigten internen Netzwerkvorrichtung(en) befördert. Der Proxyserver wiederum leitet alle Antworten, die er von der oder den internen Netzwerkvorrichtung(en) empfängt, zurück zu dem externen Proxyserver, der die Antworten an die beabsichtigten Clients sendet.
  • Der externe Proxyserver repräsentiert Clients, die mit den internen (geschützten) Netzwerkvorrichtungen verbunden sind. Zum Beispiel können Clients TCP/IP-Verbindungen zu dem Proxyserver herstellen und Daten an den/von dem externen Proxyserver auf designierten TCP/IP-Ports senden bzw. empfangen, die tatsächlich durch den externen Proxyserver zu dem Proxyagenten befördert werden. Desgleichen ist der Proxyagent mit den ansonsten unzugänglichen internen Netzwerkvorrichtungen verbunden und sendet/empängt Daten, als ob er der Client wäre. Für einen wirklichen externen Client ist der externe Proxyserver die interne Netzwerkvorrichtung. Der externe Proxyserver verkleidet sich daher als die interne Netzwerkvorrichtung oder "gibt vor", diese zu sein. Für eine interne Netzwerkvorrichtung ist der Proxyagent der externe Client. Der Proxyagent verkleidet sich daher als Client oder "gibt vor", dieser zu sein. Die Verbindung zwischen dem externen Proxyserver und dem Proxyagenten ist sowohl für den externen Client als auch die interne Netzwerkverbindung transparent und stellt kein Problem für sie dar.
  • Um die transparente Verbindung zu bewerkstelligen, setzt die Erfindung "trickle down polling" ein, um Latenz zu verringern und hoch ansprechenden Servive bereitzustellen, ohne die hohen Netzwerkbelasungen aufzubürden, die aus zu häufigem Abfragen entstehen können. Außerdem können verschiedene Sicherheitsmaßnahmen eingebaut sein, um sicherzustellen, dass sie nicht benutzt werden kann, um die Integrität und Vertraulichkeit des Netzwerks, das sie bedient, zu verletzen, bis zu den höchsten Standards, die von gegenwärtigen Internet-Anwendungen erfüllt werden. Zum Beispiel kann die Kommunikation zwischen dem Proxyagenten und dem externen Proxyserver mit einem Verschlüsselungssystem, z. B. der Industrie-Standard Secure Sockets Layer (SSL) für HTTP, verschlüsselt werden, um Belauschen zu verhindern. Die Beglaubigung des Agenten und des Servers kann durchgeführt werden, indem z. B. x.509 Zertifikate für beide verlangt werden, oder mit einer anderen Beglaubigungstechnik, z. B. anderen "public key" basierten Verschlüsselungssystemen, und können durch eine vertraute Zertifizierungs-Autorität verifiziert werden. Der externe Proxy server implementiert auch einen Cookie-Umschreibprozess, der sicherstellt, dass alle Cookies wirklich einmalige Identifizierer haben. Sollte ein Browser versuchen, ein Cookie zu einem Ziel zu senden, für das es nicht gedacht ist, wird der externe Proxyserver stillschweigend das Cookie aus der Anforderung entfernen. Des Werteren kann Netzwerk-Administratoren eine feinkörnige Kontrolle über das Reverse Proxying System eingeräumt werden.
  • Einige Beispiele von erfindungsgemäßen Schemas und Verfahren werden nun mit Verweis auf die begleitenden Zeichnungen beschrieben. Inhalt der Zeichnungen:
  • 1 veranschaulicht ein typisches geschütztes Netzwerk, das mit dem Internet verbunden ist.
  • 2A zeigt ein vereinfachtes Schaltbild der Verbindungen zwischen einer Client-Maschine auf einem geschützten Netzwerk und einem Server auf dem Internet.
  • 2B zeigt ein vereinfachtes Schaltbild der Verbindungen zwischen einer Client-Maschine auf dem Internet und einem Server auf einem geschützten Netzwerk nach den Prinzipien der in dieser Anmeldung beschriebenen Erfindung.
  • 3 zeigt ein ausführlicheres Schaltbild der Verbindungen zwischen Client-Maschinen und Servern auf geschützten Netzwerken nach den Prinzipien der in dieser Anmeldung beschriebenen Erfindung.
  • 4 zeigt zwei exemplarische private Netzwerke, mit denen ein Web-Browser durch einen Rückwärts-Proxyserver verbunden ist. Die zwei getrennten Netzwerke besitzen identische private Netzwerkadressen, und die Zeichnung zeigt, wie Cookies, die von diesen Netzwerken herrühren, durch den Browser verwechselt werden können.
  • 5 zeigt eine exemplarische Zeitlinie eines HTTP-Cookie-Protokolls, das in Ausführungen der Erfindung benutzt werden kann, wo ein Browser mit einem einmaigen Netzwerk-Adressraum verbunden ist.
  • 6 zeigt eine exemplarische Zeitlinie eines HTTP-Cookie-Protokolls, das in Ausführungen der Erfindung benutzt werden kann, wo duplizierte private Netzwerk-Adressräume verwechselt werden.
  • Bei verschiedenen Ausführungen der Erfindung kann Kommunikation zwischen einer internen Vorrichtung eines geschützten Netzwerks und einer externen Vorrichtung eines geschützten Netzwerks zustande gebracht werden, wo herkömmliche Sicherheitsvorrichtun gen wie Firewalls und/oder Proxyserver eine solche Kommunikation nicht zulassen würden. Zum Beispiel können ankommende TCP/IP-Verbindungen von einem Netzwerk 10, z. B. dem Internet, außerhalb eines Firewall-geschützen Netzwerks 50 mit geschützten/internen Vorrichtungen auf dem geschützten Netzwerk vorkommen. Die in verschiedenen Ausführungen benutzte Technik verlangt keine Änderung der Firewall 20 Konfiguration oder der bestehenden Sicherheitspolitik, vorausgesetzt dass die Firewall 20 ausgehende HTTP-Verbindungen von der geschützten/internen Vorrichtung erlaubt. Ankommende Verbindungen sind nicht auf ein bestimmtes Protokoll, z. B. HTTP, beschränkt, können aber geeignete Netzwerkprotokolle sein, z. B. FTP, Gopher, Smtp, Pop, HTTP, Rtsp und IPX und andere. Die ausgehenden Verbindungen sind nicht auf HTTP begrenzt, können aber jedes geeignete Protokoll sein, das die Netzwerke, die Firewall und/oder die Proxyserver handhaben können. Weder ist eine Änderung der typischerweise mit einem geschützten Netzwerk verbundenen Vorrichtungen erforderlich, noch erfordert ein nach den Prinzipien der Erfindung eingesetztes System, dass das geschützte Netzwerk öffentlich adressierbar ist. In diesem Beispiel enthält das geschützte Netzwerk 50 eine Anzahl von Desktop-Vorrichtungen 52 einen Internet-Web-Server 51, der mit einem Router 53 verbunden ist. Die verwendete Technik wird unverändert in einem privaten, nicht einmaligen Adressraum funktionieren, der gewöhnlich für Clients auf dem Internet 10 nicht erreichbar ist. Mehrere eingebaute Sicherheitsmaßnahmen bewahren die Vertraulichkeit des mit einer Firewall versehenen Netzwerks.
  • 1 veranschaulicht eine hoch sichere Netzwerkkonfiguration mit doppelten Firewalls 20, einem öffentlichen "Demilitarisierte-Zone"- (DMZ) Segment 30 mit einem Webserver 31 und Mailserver 32, die durch einen Router 33 verbunden sind, und einem privaten Adressraum 50, der für äußere Hosts völlig unzugänglich ist und mit dem DMZ-Segment 30 über eine NAT-Verschleierungs-Firewall 40 verbunden ist. Vorrichtungen und Server zum internen Gebrauch würden auf dem privaten Segment untergebracht werden und würden daher gewöhnlich von dem Internet 10 völlig isoliert sein.
  • Durch Anwenden der Techniken von verschiedenen Ausführungen der Erfindung ist Netzwerkverkehr zwischen externen Netzwerkvorrichtungen und hinter der Sicherheitsvorrichtung 20 verborgenen internen Netzwerkvorrichtungen möglich, selbst wenn das geschützte Netzwerk einen privaten Adressraum verwendet. Zum Beispiel können Ausführungen ähnlich der in 2B gezeigten TCP/IP-Konnektivität zwischen einer externen Vorrichtung und hinter Firewalls 20 verborgenen Vorrichtung aufweisen. Die einzige Annahme, die getroffen wird ist, ist die, dass ausgehende Verbindungen, z. B. Internet-Verbindungen, durch die externe Firewall-Konfiguration erlaubt sind, möglicherweise durch einen ausgehenden Proxyserver und durch Firmen-Sicherheitspolitik. Keine Änderungen sind nötig an:
    • 1. Den Netzwerkvorrichtungen.
    • 2. Den zum Schützen des Netzwerks benutzten Firewalls.
    • 3. Der Firmen-Sicherheitspolitik.
    • 4. Den Adrressräumen.
    • 5. Den zum Verbinden mit den verborgenen Vorrichtungen verwendeten Clients.
    • 6. Dem von dem Client und dem Server verwendeten TCP/IP-Protokoll.
  • Das Nichtvorhandensein solcher Änderungen kann es einfach und billig machen, die Prozesse der vorliegenden Erfindung im Wesentlichen ohne Störung des bestehenden Netzwerks einzusetzen, was eine beträchtliche Verbeeserung gegenüber bestehenden Lösungen sein kann.
  • Wie z. B. in 2B und 36 gezeigt, umfasst "Reverse Proxying" hauptsächlich zwei Komponenten: Den Proxyagenten 240 und den externen Proxyserver 250. Der Proxyagent 240 befindet sich innerhalb des geschützten Netzwerks 50 und ist mit einer geschützten Vorrichtung 200 verbunden. Es wird angenommen, dass dieser Agent die Fähigkeit besitzt, ausgehende Netzwerkverbindungen, z. B. HTTP-Verbindungen, möglicherweise durch einen ausgehenden Proxyserver, mit dem Internet 10 herzustellen. Zu Zwecken der Erklärung von Ausführungen der Erfindung werden bestimmte Protokolle benutzt werden, aber die Erfindung ist nicht auf die in diesem Beispiel benutzten Protokolle begrenzt. In dem Beispiel von 2B befindet sich der externe Proxyserver 250 außerhalb des geschützten Netzwerks 50 auf dem Internet 10 an einer von dem Agenten erreichbaren Stelle und empfängt Verkehr von externen Vorrichtungen 230, der an die internen Netzwerkvorrichtungen 200 adressiert ist. Zwischen dem Proxyserver 250 und dem Proxyagenten 240 ist eine Firewall vorhanden. Der Proxyagent 240 befragt periodisch den externen Proxyserver 250, um nach für das geschützte Netzwerk bestimmtem in Warteschlange gestelltem Verkehr zu sehen. Wenn der Proxyagent 240 für interne Netzwerkvorrichtungen 200 bestimmten Verkehr entdeckt, befördert er diesen Verkehr zu den beabsichtigten Empfängern. Im Gegenzug wird der Proxyagent 240 alle Antworten, die er empfängt, zurück zu dem externen Proxyserver 250 befördem, der die Antworten zu den beabsichtigten externen Netzwerkvorrichtungs-Clients 230 senden wird. 3 veranschaulicht eine Ausführung dieser Architektur:
  • Für Clients, die mit den verborgenen (geschützten) internen Netzwerkvorrichtungen verbunden sind, stellt der externe Proxyserver diese Vorrichtungen dar und verkleidet sich somit als die internen Netzwerkvorrichtungen. In verschiedenen Ausführungen der Erfindung errichten Clients TCP/IP-Verbindungen zu dem externen Proxyserver 250 und senden und empfangen Daten an den bzw. von dem externen Proxyserver 250 auf designierten TCP/IP-Ports, die tatsächlich durch den externen Proxyserver 250 zu dem Proxyagenten 240 berfördert werden. Desgleichen verbindet sich der Proxyagent 240 mit den ansonsten verborgenen internen Netzwerkvorrichtungen und sendet und empfängt Daten, als ob er der externe Netzwerkvorrichtungs-Client ist. Der Proxyagent 240 verkleidet sich somit als der externe Netzwerkvorrichtungs-Client. Die Verbindung zwischen dem externen Proxyserver 250 und dem Proxyagenten ist sowohl für den externen Netzwerkvorrichtungs-Client als auch für die interne Netzwerkvorrichtung transparent und stellt kein Problem für sie dar.
  • Wie oben erwähnt, werden in verschiedenen Ausführungen der Erfindung Verbindungen und durch den externen Proxyserver 250 empfangene Daten zur späteren Rückgewinnung durch den Proxyagenten 240 gespeichert. Der Proxyagent befragt in regelmäßigen Abständen den externen Proxyserver 250 unter Verwendung von z. B. einer HTTP-Verbindung, um anhängige Verbindungen und Daten zu entdecken und Antworten von den beabsichtigten internen Netzwerkvorrichtungen zu liefern. In der Tat wird auf diese Weise der TCP/IP-Verkehr zwischen dem externen Netzwerkvorrichtungs-Client und der internen Netzwerkvorrichtung "getunnelt" durch HTTP, eingekapselt in HTTP-Anforderungen und Antworten mit Vorspann-Information, die Quellen- und Ziel-IP-Adressen und die beabsichtigten Ports angibt. Um die Effizienz zu verbessern, können mehrfache Anforderungen durch die gleiche HTTP-Verbindung gemultiplext werden.
  • Es ist lehrreich, das Reverse Proxying mit traditionellem "Forward" Proxying zu vergleichen. 2A und 2B veranschaulichen den Unterschied zwischen herkömmlichem Proxying (2A) und dem von Ausführungen der Erfindung eingesetzten Rückwärts-Proxying (2B).
  • Das Bereitstellen von Zugang zu privaten IP-Adressen ist das, was den Erfolg und die Allgemeinheit dieses Schemas erlaubt. Die privaten IP-Adressräume 50 sind über das Internet 10 hinweg nicht einmalig, und viele verschiedene Organsisationen verwenden die gleichen IP-Adressräume 50 wieder. Damit die Adressräume 50 und die internen Netzwerkvorrichtungen 200, die darin residieren, durch externe Netzwerkvorrichtungs-Clients 230 adressierbar sind, unterhält der externe Proxyserver 250 einen Plan zwischen lokalen TCP/IP-Ports auf dem Proxyserver 250 und entfernten, privaten IP-Adressen, unerschieden durch den Identifizierer des zum Zugreifen auf sie verwendeten Proxyagenten. Proxyagenten veröffentlichen eine Liste von Adressen, die sie erreichen können, für den externen Proxyserver 250, und diese Liste wird von dem externen Proxyserver 250 verwendet, um den Plan zwischen lokalen Ports und Agenten/entfernten Adressen zu errichten.
  • Keine Annahmen müssen hinsichtlich des durch den externen Netzwerkvorrichtungs-Client verwendeten Netzwerkprotokolls gemacht werden, um mit der internen Netzwerkvorrichtung und/oder dem (verborgenen) Server auf dem geschützten Netzwerk zu kommunizieren. Aller Netzwerkverkehr, z. B. TCP/IP-Verkehr, wird durch den Proxyagenten 240 durch die exemplarische HTTP-Verbindung zwischen dem Proxyagenten 240 und dem externen Proxyserver 250 getunnelt, und es besteht grundsätzlich keine Notwendigkeit für sie, diese Daten zu ändern, mit einigen bemerkenswerten Ausnahmen. Bestimmte Protokolle können eine spezielle Behandlung erfordern, besonders HTTP selbst. Der Gebrauch von eingebetteten Hyperlinks in HTML-Seiten bedeutet, dass ein Client durch einen Link zu einem hinter der Sicherheitsvorrichtung/Firewall 20 verborgenen unzugänglichen URL weg von dem externen Proxyserver 250, der seinen Zugang zu dem verborgenen Netzwerk ermöglicht, umgeleitet werden kann. Um eine solche unerwünschte Umleitung zu verhindern oder zu minimieren, kann ein Web-Browser/externe Client-Vorrichtung 230 konfiguriert werden (durch Standard-Browser-Einstellungen), um den externen Proxyserver 250 als einen wahren HTTP-Proxyserver unter Verwendung des lokalen Ports auf dem oben beschriebenen Server zu verwenden. Dies stellt sicher, dass alle HTTP-Anforderungen unversehrt und uninterpretiert zu dem externen Proxyserver 250 befördert werden, der diese Anforderungen an den Proxyagenten 240 weiterleitet. Der Agent 240 gewinnt die verlangten URLs zurück, die ihm direkt zugänglich sind, da er sich hinter der Firewall 20 befindet.
  • Der Proxyagent 240 ist gezwungen, den externen Proxyserver 250 nach anhängigem Verkehr zu befragen, weil angenommen wird, dass nur ausgehende HTTP-Verbindungen durch die Netzwerksicherungs-Vorrichtung 20 erlaubt werden. Dies bringt ein Latenzproblem ein, da das Abfrageintervall das Ansprechverhalten des über die abgefragte HTTP-Verbindung getunnelten TCP/IP-Verkehrs bestimmt. Die Latenz bezieht sich auf Verzögerungen, die durch die Zeit eingebracht werden, die der Verkehr braucht, um von einem Ursprung zu einem Ziel und von dem Ziel zurück zu dem Ursprung zu laufen. Da der Verkehr durch den Proxyserver in eine Warteschlange gestellt wird, bis der Proxyagent ihn abfragt, gibt es eine Verzögerung zwischen der Ankunft des Verkehrs an dem Proxyserver und der Ankunft an dem Proxyagenten, was die Latenz vergrößert. Hohe Latenz, Verzögerungen in der Größe von Zehntelsekunden oder mehr zwischen Anforderungen und Antworten können die praktische Nutzbarkeit eines Systems, das Rückwärts-Proxying einsetzt, beeinträchtigen. Die Latenz kann durch ein verkleinertes Abfrageintervall verringert werden, aber dies bürdet dem Netzwerk eine zunehmende Belastung auf und kann durch die Mindestzeit begrenzt sein, die nötig ist, eine ausgehende HTTP-Anforderung zu errichten und zu vollenden.
  • Um einen geeigneten Kompromiss zwischen Latenzverringerung und Netzwerkbelastung zu erreichen, setzt die Erfindung "trickle down" Polling ein, um Latenz zu vorringern und hoch ansprechenden Service bereitzustellen, ohne die höheren Netzwerklasten aufzubürden, die sich durch zu häufiges Abfragen ergeben. Der Proxyagent 240 verbindet sich mit dem externen Proxyserver 250, um anhängigen Verkehr zu entdecken. Wenn nichts anhängig ist, gibt der externe Proxyserver 250 eine langsamen Strom von unechten Bytes zurück, die von dem Proxyagenten 240 ignoriert werden. Wenn der externe Proxyserver 250 Daten von einer externen Netzwerkvorrichtung oder Client/Browser 230 empfängt, werden sie sofort zu dem Proxyagenten 240 übertragen, und die Verbindung wird geschlossen, um jede durch eingreifende (ausgehende) Proxyserver durchgeführte Pufferung auszuspülen. Um Reaktionszeiten zu verbessern, kann der Agent 240 mehrere Verbindungen zu dem Proxyserver 250 öffnen, um die Wahrscheinlichkeit zu verringern, dass keine Verbindungen offen sein werden, wenn Verkehr eintrifft. Das Herabsickern von unechten Bytes verhindert Timeouts auf ausgehenden HTTP-Anforderungern, was durch eingreifende ausgehende Proxyserver bestärkt werden kann. In dieser Weise wird ein hoch ansprechender Sevice garantiert, da der Proxyagent 240 gewöhnlich sofort über ankommenden Verkehr informiert werden kann, um die unerwünsche Latenz zwischen der Zeit, dass dieser Verkehr auf dem externen Proxyserver 250 in Warteschlange gestellt wird, und der Zeit zu entfernen, dass der Proxyagent 240 ihn zurückgewinnt. Das Internet 10 selbst kann jedeoch der Latenz eine niedrigere Schranke auferlegen, da es die Zeit bestimmen kann, die gebraucht wird, um Anforderungen und Antworten zu übertragen, und durch das Internet verwendete Protokolle, z. B. TCP/IP, keinen garantierten Service bereitstellen.
  • Mehrere Sicherheitsmaßnahmen können in die Erfindung eingebaut werden, um sicherzustellen, dass sie nicht benutzt werden kann, um die Integrität und Vertraulichkeit des Netzwerks, das sie bedient, zu beeinträchtigen, bis zu den höchsten Standards, die von gegenwärtigen Internet-Anwendungen erfüllt werden.
  • Die Kommunikation zwischen dem Proxyagenten 240 und dem externen Proxyserver 250 kann z. B. unter Verwendung eines Verschlüsselungssystems, wie z. B. das Industrie Standard Secure Socket Layer (SSL) für HTTP, verschlüsselt werden, um Belauschen zu verhindern. Die Beglaubigung des Agenten 240 und des Servers 250 kann durchgeführt werden, indem z. B. X.509 Zertifikate von beiden verlangt werden, oder eine andere Beglaubigungstechnik verwendet wird, z. B. andere "Public Key"-basierte Verschlüsselungssysteme, und kann durch eine vertraute Zertifizierungs-Autorität verifiziert werden. Der externe Proxyserver 250 kann auch einen Cookie-Umschreibprozess implementieren, z. B. den in 46 gezeigten exemplarischen Prozess, um sicherzustellen, dass alle Cookies wahrlich einmalige Identifizierer aufweisen.
  • Wie in 5 gezeigt, können Webserver 200 verlangen, dass Clients 230 (Web-Browser) einen Status durch einen als "Cookies" bekannten Mechanismus unterhalten. Um Cookies zu bewerkstelligen, fügen Server zusätzliche Vorspanne in Antwoerten auf HTTP-Anforderungen ein, die benannte "Echo"-Daten spezifizieren, die der Browser zurück zu dem Server wiederholen sollte, wenn auf bestimmte in dem Vorspann identifizierte Ressourcen zugegriffen wird. Jedes Datenelement, das zu speichern und als Echo zurückzugeben ist, wird ein "Cookie" genannt.
  • Nach einem solchen Cookie-Protokoll verbindet ein Web-Browser Cookies mit den Uniform Resource Locators (URLs), an die sie durch den Webserver gebunden waren. Im normalen Internet-Gebrauch sollen diese URLs garantiert einmalig sein. In einer Rückwärts-Proxying-Situation, bei der die Adressierung privater Netzwerke ein Faktor wird, sind diese URLs jedoch nicht unbedingt einmalig. Dies gilt gleichgültig, ob IP-Adressen oder symbolische Adresseen in dem URL benutzt werden oder nicht, da symbolische Domänennamen über private IP-Räume hinweg nicht einmalig sein müssen. Dies kann zwei Probleme schaffen:
  • 1. Rennbedingungen. In dieser Situation überschreibt der Browser ein bestehendes Cookie für eine URL mit dem zuallerletzt an diesen URL angebundenen Wert. Es gibt folglich ein Rennen zwischen Servern, um die Cookie-Daten zu bestimmen. Einem Server, der Cookie-Daten mit einem URL verbindet, wird daher nicht garantiert, dass er die gleichen Daten wieder empfangen wird. Dies kann Webserver/Anwendungen, die sich auf in Cookies zurückgegebene richtige Statusdaten verlassen, teilweise oder ganz außer Betrieb setzen.
  • 2. Vertraulichkeitsverletzung. In dieser Situation können mit einem URL verbundene Cookie-Daten private Daten von einem geschützten Netzwerk enthaften, da Server in solchen Netzwerken annehmen können, dass alle Übertragungen zwischen ihnen und Clients gesichert sind. Der Browser könnte jetzt aber diese privaten Daten unbewusst an ein gänzlich verschiedenes Netzwerk senden, da er nicht einmalige URLs verwechselt. Server in dem falschen Netzwerk könnten daher auf diese Weise, absichtlich oder unabsichtlich, empfindliche Daten von anderen privaten Netzwerken erlangen. Dies kann die durch das Firewall-/private IP-Raumsystem hergestellte Netzwerksicherheit ernsthaft beeinträchtigen.
  • 4 veranschaulicht, wie Cookies von verschiedenen Netzwerken durch Web-Browser verwechselt werden können. Web-Clients (Browser) 230 verwenden URLs, um Ressourcen auf dem Internet 10 eindeutig zu identifizieren. Dies wird sowohl durch die relevanten Standards als auch durch allgemeine Praxis spezifiziert. Durch Bereitstellen von Zugang zu privaten/geschützten Netzwerken 50 mit nicht unbedingt einmaligen URLs schaffen Rückwärts-Proxy ing-Systeme Verwirrung zwischen diesen URLs. Dies wird jedoch nur ein Thema, wenn ein gespeicherter Status mit einem (nicht einmaligen) URL verbunden und später als Teil von Anforderungen für andere Netzwerke gesendet wird, da alle gegenwärtigen Anforderungen durch die Proxyserver-Konfiguration an die richtigen Ziele geleitet werden. Diese Situation ist analog zu Gepäckhandhabungsfehlern auf Luftverkehrslinienflügen, wo infolge eines nicht eindeutigen Labels auf dem Gepäck das falsche Gepäck auf einem Flug transportiert wird, der an ein ansonsten richtiges Ziel gerichtet ist.
  • Bei verschiedenen Ausführungen der Erfindung beseitigt ein als "Cookie-Umschreiben" bezeichneter Prozess die Cookie-Mehrdeutigkeit. Alle Cookies haben Namen. Proxyserver ändern typischerweise keine stellvertretend gesendeten oder empfangenen Daten. In verschiedenen Ausführungen macht die Erfindung eine Ausnahme für Cookie-Namen, die durch den Proxyserver umgeschrieben werden, wenn sie zur Speicherung an Browser zurückgesendet werden, um klar anzuzeigen, von welchem privaten Netzwerk sie herrühren. Das Rückwärts-Proxying-Schema verfügt über eine Möglichkeit, private Netzwerke in Ausführungen der Erfindung zu unterscheiden (z. B. durch die Identität des Agenten in diesen Netzwerken, der das Queren der Firewall bewerkstelligt), oder der Proxyserver würde nicht richtig funktionieren. Eine Möglichkeit dafür ist, die eindeutige Identität des privaten Netzwerks im Voraus an jeden Cookie-Namen anzuhängen (d. h. anstelle des privaten Netzwerk-Identifizierers auf der "Stirn" des Cookies als ein "Präfix"), was die in verschiedenen Ausführungen benutzte Implementierung ist, obwohl andere Umschreibverfahren möglich sind. Das Präfix kann dann von dem Cookie abgestreift werden, wenn es gesendet wird. Cookies, die von dem Browser mit einer Anforderung übergeben werden, die von einem anderen Netzwerk herrührte, werden durch den Proxyserver stillschweigend fallen gelassen. Der externe Proxyserver bewahrt daher die Vertraulichkeit der Netzwerke und stellt richtige Cookie-Speicherung und Übergabe durch Browser sicher.
  • Bei der in 6 gezeigten Situation gibt ein Browser zuerst eine HTTP GET Anforderung für den URL http://someserver über den Proxyserver aus. Der Browser ist konfiguriert, Port A auf dem Proxyserver zu verwenden, der Port A mit dem privaten Netzwerk A verbindet. Der Proxyserver führt die Anforderung in Vertretung des Browsers aus (mit jedewedem Firewall-Querungsschema, der er unterstützt) und untersucht alle Cookies, die someserver in der Antwort zurückgibt. In diesem Fall ist das Cookie xyz mit dem Wert s durch someserver festgelegt worden. Der Proxyserver schreibt den Namen des Cookies in A_xyz um, sodass es klar als ein für das private Netzwerk A bestimmtes Cookie markiert ist. Man beachte, dass der Web-Browser keine intrinsische Bedeutung an Cookie-Namen anhängt, er gibt sie einfach als Echo zurück an die URLs, mit denen sie verbunden sind. Der Browser empfängt die HTTP-Antwort von dem Proxyserver und speichert das Cookie A_xyz = s.
  • Später wird der Browser rekonfiguriert, um Port B auf dem Proxyserver zu verwenden, der Port B mit dem privaten Netzwerk B verbindet. Der Browser gibt eine HTTP GET Anforderung an den gleichen URL http:/someserver aus, der das Cookie A_xyz = s endet. Er verfährt so, weil er keine Möglichkeit hat, um festzustellen, dass sich das beabsichtigte Netzwerk geändert hat. Der Proxyserver untersucht alle in der Anforderung enthaltene Cookies, bevor er sie zu someserver im Netzwerk B befördert. Da das Cookie A_xyz = s für A und nicht für B bestimmt ist, wird es durch den Proxyserver weggeworfen, und der Rest der Anforderung wird befördert. Wie vorher schreibt der Proxyserver die Namen aller in der HTTP-Antwort enthaltenen Cookies um, sodass xyz = t B_xyz = t wird. Dies stellt sicher, dass in Zukunft das Cookie nicht zu dem Netzwerk A oder zu einem anderen Netzwerk, für das es nicht bestimmt war, geleitet wird.
  • Zusätzlich zu den obigen Sicherheitsmaßnahmen kann Netzwerk-Administratoren eine feinkörnige Kontrolle über das Rückwärts-Proxying-System eingeräumt werden. Zum Beispiel kann Administratoren die Autorität und/oder Fähigkeit gewährt werden, Eintritt in ihr Netzwerk auf einer Pro-Sitzung-Basis zu erlauben oder zu verneinen, indem eine Erlaubnis, z. B. ein kurzlebiger Schlüssel, gewährt wird. Administratoren kann auch die Autorität und/oder Fähigkeit gegeben werden, den Zugang ganz zu unterbinden oder ihn durch andere Kriterien zu begrenzen.

Claims (8)

  1. Rückwärts-Proxy-Netzwerk-Kommunikationssystem, das umfasst: einen Proxyagenten (240), der innerhalb eines geschützten Netzwerks (50) gelegen ist und durch wenigstens eine interne Netzwerkvorrichtung (200) adressierbar ist, wobei der Proxyagent ausgehende Netzwerkverbindungen herstellt; eine Sicherheitsvorrchtung (220), durch die jeder Verkehr zwischen dem geschützten Netzwerk (50) und externen Netzwerken (10) laufen muss, wobei die Sicherheitsvorrichtung wenigstens ausgehende Verbindungen über wenigstens ein vorbestimmtes Netzwerkprotokoll gestattet; einen externen Proxyserver (250) außerhalb des geschützten Netzwerks (50) und erreichbar durch den Proxyagenten (240) über ausgehende Netzwerkverbindungen durch die Sicherheitsvorrichtung (220), wobei der externe Proxyserver (250) auch durch wenigstens eine externe Netzwerkvorrichtung (230) adressierbar ist, um dadurch Kommunikation zwischen der wenigstens einen externen Netzwerkvorrichtung und der wenigstens einen internen Netzwerkvorrichtung zu gestatten, wobei der Proxyagent (240) und der externe Proxyserver (250) eingerichtet sind, zu kommunizieren, indem der Proxyagent (40) veranlasst wird, sich mit dem externen Proxyserver (250) zu verbinden, um nach anhängigem Verkehr zu sehen, dadurch gekennzeichnet, dass der externe Proxyserver (250) einen langsamen Strom von unechten Bytes zurückgibt, der von dem Proxyagenten (240) ignoriert wird, wenn nichts anhängig ist, und der externe Proxyserver sofort Daten an den Proxyagenten (240) sendet, wenn der externe Proxyserver Daten von einem Client empfängt, um so die Verbindung zu schließen, um jegliche durch eingreifende (ausgehende) Proxyserver durchgeführte Pufferung auszuspülen.
  2. System nach Anspruch 1, das werter einen ausgehenden Proxyserver (200) in Kommunikation mit dem Proxyagenten (240) enthält und den der Proxyagent verwendet, um ausgehende Verbindungen herzustellen.
  3. System nach Anspruch 2, wobei der externe Proxyserver (250) mit wenigstens einem anderen Netzwerk in Kommunikation steht und an die wenigstens eine interne Netzwerkvorrichrung adressierte Daten empfängt und speichert, wobei der Proxyagent ausgehende Daten zu dem externen Proxyserver befördert, der die Daten an die wenigstens eine externe Netzwerkvorrichtung sendet.
  4. System nach Anspruch 3, wobei der Proxyagent (240) den externen Proxyserver abfragt, um nach Daten zu sehen, die an die wenigstens eine interne Netzwerkvorrichtung adressiert sind, und wobei der Proxyagent (240) an die wenigstens eine interne Netzwerkvorrichtung adressierte Daten von dem externen Proxyserver herunterlädt und diese Daten zu der wenigstens einen internen Netzwerkvorrichtung befördert.
  5. Verfahren zum Zugreifen auf eine interne Netzwerkvorrichtung (200) auf einem geschützten Netzwerk (50), wobei das Netzwerk eine Sicherheitsvorrichtung (220) enthält, wobei das Verfahren die folgenden Schritte umfasst: Speichern von Daten, die an die interne Netzwerkvorrichtung (200) adressiert sind, in einem externen Proxyserver (250); Unterhalten eines Proxyagenten (240) auf dem geschützten Netzwerk, wobei der Proxyagent die folgenden Schritte ausführt: Abfragen des externen Proxyservers nach Daten, die an die interne Netzwerkvorrichtung adressiert sind; Befördern aller Daten, die sich auf dem externen Proxyserver befinden und an die interne Netzwerkvorrichtung (200) adressiert sind, zu der internen Netzwerkvorrichtung (50), und Befördern aller Daten, die an eine externe Vorrichtung in Kommunikation mit dem externen Proxyserver adressiert sind, zu dem externen Proxyserver (250), wobei das Abfragen umfasst: Verbinden mit dem externen Proxyserver (250), um anhängigen Verkehr zu prüfen, wobei das Verfahren gekennzeichnet ist durch die folgenden Schritte: Zurückgeben eines langsamen Stromes von unechten Bytes, der von dem Proxyagenten (240) ignoriert wird, wenn nichts anhängig ist; sofortiges Senden von Daten von dem externen Proxyserver (250) an den Proxyagenten (240), wenn der externe Proxyserver Daten von einem Client empfängt, um so die Verbindung zu schließen, um jegliche durch eingreifende (ausgehende) Proxyserver durchgeführte Pufferung auszuspülen.
  6. Verfahren nach Anspruch 5, das des Weiteren Kommunikation zwischen der internen Netzwerkvorrichtung (50) und dem externen Proxyserver (250) unter Verwendung eines ersten Netzwerkprotokolls umfasst, wobei die externe Netzwerkvorrichtung (230) mit dem externen Proxyserver (250) unter Verwendung eines zweiten Netzwerkprotokolls kommuniziert, wobei an die interne Netzwerkvorrichtung (50) unter Verwendung des zweiten Netzwerkprotokolls adressierte Daten unter Verwendung des ersten Netzwerkprokolls zu der internen Vorrichtung (50) übertragen werden, sodass das zweite Netzwerkprotokoll im Innern des ersten Netzwerkprotokolls zu der internen Netzwerkvorrichtung befördert wird.
  7. Verfahren nach Anspruch 5 oder Anspruch 6, das des Werteren das Umschreiben von Cookies mit einmaligen Identifizierern umfasst, um unbeabsichtigtes Übertragen von privater Information zu einem falschen Empfänger auf dem geschützten Netzwerk (50) zu verhindern.
  8. Verfahren nach einem der Ansprüche 5 bis 7, wobei der Proxyagent (240) eine Vielzahl von Verbindungen zu dem Proxyserver (250) öffnet.
DE60203433T 2001-04-30 2002-04-25 Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk Expired - Lifetime DE60203433T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US845104 2001-04-30
US09/845,104 US20020161904A1 (en) 2001-04-30 2001-04-30 External access to protected device on private network

Publications (2)

Publication Number Publication Date
DE60203433D1 DE60203433D1 (de) 2005-05-04
DE60203433T2 true DE60203433T2 (de) 2005-09-08

Family

ID=25294407

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60203433T Expired - Lifetime DE60203433T2 (de) 2001-04-30 2002-04-25 Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk

Country Status (5)

Country Link
US (1) US20020161904A1 (de)
EP (1) EP1255395B1 (de)
JP (1) JP2003050756A (de)
CA (1) CA2383247C (de)
DE (1) DE60203433T2 (de)

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7673133B2 (en) * 2000-12-20 2010-03-02 Intellisync Corporation Virtual private network between computing network and remote device
US8266677B2 (en) * 2000-12-20 2012-09-11 Intellisync Corporation UDP communication with a programmer interface over wireless networks
US8650321B2 (en) * 2001-07-24 2014-02-11 Digi International Inc. Network architecture
US7062547B2 (en) * 2001-09-24 2006-06-13 International Business Machines Corporation Method and system for providing a central repository for client-specific accessibility
US6970918B2 (en) * 2001-09-24 2005-11-29 International Business Machines Corporation System and method for transcoding support of web content over secure connections
US9497168B2 (en) * 2002-07-30 2016-11-15 Avaya Inc. Method and apparatus for supporting communications between a computing device within a network and an external computing device
US7650416B2 (en) 2003-08-12 2010-01-19 Riverbed Technology Content delivery for client-server protocols with user affinities using connection end-point proxies
GB2410401A (en) * 2004-01-21 2005-07-27 Mobotel Solutions Ltd A communication apparatus and method
US7827294B2 (en) 2004-05-06 2010-11-02 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of computing resources
US8266670B1 (en) * 2004-05-06 2012-09-11 American Express Travel Related Services Company, Inc. System and method for dynamic security provisioning of data resources
JP3803680B2 (ja) 2004-06-16 2006-08-02 Necインフロンティア株式会社 不正アクセス防止方法、不正アクセス防止装置及び不正アクセス防止プログラム
US20060026287A1 (en) * 2004-07-30 2006-02-02 Lockheed Martin Corporation Embedded processes as a network service
JP4492248B2 (ja) * 2004-08-04 2010-06-30 富士ゼロックス株式会社 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
US20060173997A1 (en) * 2005-01-10 2006-08-03 Axis Ab. Method and apparatus for remote management of a monitoring system over the internet
US20060248194A1 (en) 2005-03-18 2006-11-02 Riverbed Technology, Inc. Connection forwarding
US8543726B1 (en) * 2005-04-08 2013-09-24 Citrix Systems, Inc. Web relay
EP1710694A3 (de) * 2005-04-08 2006-12-13 Ricoh Company, Ltd. Kommunikationsvorrichtung, Programmprodukt zum Hinzufügen eines Kommunikationsmechanismus zu einer Kommunikationsvorrichtung für verbesserte Bedienbarkeit und Kommunikationseffizienz sowie Aufzeichnungsmedium mit gespeichertem Programmprodukt
JP4704105B2 (ja) * 2005-05-24 2011-06-15 株式会社リコー 通信装置、通信システム及び通信方法
US8943304B2 (en) 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US8886620B1 (en) * 2005-08-16 2014-11-11 F5 Networks, Inc. Enabling ordered page flow browsing using HTTP cookies
US8166175B2 (en) 2005-09-12 2012-04-24 Microsoft Corporation Sharing a port with multiple processes
FR2892585A1 (fr) * 2005-10-26 2007-04-27 France Telecom Procede et systeme de protection d'un lien d'acces a un serveur.
US8595794B1 (en) * 2006-04-13 2013-11-26 Xceedium, Inc. Auditing communications
WO2007149687A2 (en) 2006-05-30 2007-12-27 Riverbed Technology, Inc. Selecting proxies from among autodiscovered proxies
KR100728924B1 (ko) * 2006-06-05 2007-06-15 삼성전자주식회사 네트워크 시스템에서 매개 디바이스의 통신 방법 및네트워크 디바이스 관리 시스템
US8561155B2 (en) 2006-08-03 2013-10-15 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
US8392977B2 (en) * 2006-08-03 2013-03-05 Citrix Systems, Inc. Systems and methods for using a client agent to manage HTTP authentication cookies
JP2008077598A (ja) * 2006-09-25 2008-04-03 Shimizu Corp ネットワークシステム及び情報アクセス方法
JP4893279B2 (ja) * 2006-12-04 2012-03-07 富士ゼロックス株式会社 通信装置および通信方法
US8386783B2 (en) * 2006-12-04 2013-02-26 Fuji Xerox Co., Ltd. Communication apparatus and communication method
US7974981B2 (en) * 2007-07-19 2011-07-05 Microsoft Corporation Multi-value property storage and query support
US7925694B2 (en) 2007-10-19 2011-04-12 Citrix Systems, Inc. Systems and methods for managing cookies via HTTP content layer
US8769660B2 (en) 2008-01-26 2014-07-01 Citrix Systems, Inc. Systems and methods for proxying cookies for SSL VPN clientless sessions
US8171148B2 (en) * 2009-04-17 2012-05-01 Sling Media, Inc. Systems and methods for establishing connections between devices communicating over a network
US9015225B2 (en) 2009-11-16 2015-04-21 Echostar Technologies L.L.C. Systems and methods for delivering messages over a network
US9178923B2 (en) 2009-12-23 2015-11-03 Echostar Technologies L.L.C. Systems and methods for remotely controlling a media server via a network
US9275054B2 (en) 2009-12-28 2016-03-01 Sling Media, Inc. Systems and methods for searching media content
JP5458977B2 (ja) * 2010-03-10 2014-04-02 富士通株式会社 中継処理方法、プログラム及び装置
US8381281B2 (en) * 2010-04-07 2013-02-19 International Business Machines Corporation Authenticating a remote host to a firewall
US8380863B2 (en) * 2010-05-05 2013-02-19 Cradle Technologies Control of security application in a LAN from outside the LAN
US9113185B2 (en) 2010-06-23 2015-08-18 Sling Media Inc. Systems and methods for authorizing access to network services using information obtained from subscriber equipment
EP2659650B1 (de) 2010-12-29 2022-06-22 Citrix Systems Inc. Systeme und verfahren zur mehrstufigen markierung von verschlüsselten objekten für zusätzliche sicherheit und effiziente bestimmung verschlüsselter objekte
FR2973626A1 (fr) * 2011-03-31 2012-10-05 France Telecom Mecanisme de redirection entrante sur un proxy inverse
JP5738042B2 (ja) * 2011-03-31 2015-06-17 株式会社ラック ゲートウェイ装置、情報処理装置、処理方法およびプログラム
WO2011116718A2 (zh) * 2011-04-29 2011-09-29 华为技术有限公司 互联网业务控制方法及相关设备和系统
WO2013042412A1 (ja) * 2011-09-22 2013-03-28 九州日本電気ソフトウェア株式会社 通信システム、通信方法、及びコンピュータ読み取り可能な記録媒体
US9363099B2 (en) * 2011-12-13 2016-06-07 Ericsson Ab UPnP/DLNA with RADA hive
CN102685094A (zh) * 2011-12-16 2012-09-19 河南科技大学 反转代理系统及方法
US9003507B2 (en) * 2012-03-23 2015-04-07 Cloudpath Networks, Inc. System and method for providing a certificate to a third party request
US8756699B1 (en) * 2012-07-11 2014-06-17 Google Inc. Counting unique identifiers securely
US9100369B1 (en) * 2012-08-27 2015-08-04 Kaazing Corporation Secure reverse connectivity to private network servers
JP6069998B2 (ja) * 2012-09-18 2017-02-01 株式会社リコー 要求伝達装置、要求伝達システム、要求伝達方法、及びプログラム
US8996855B2 (en) * 2012-11-14 2015-03-31 Blackberry Limited HTTP layer countermeasures against blockwise chosen boundary attack
JP6167579B2 (ja) * 2013-03-14 2017-07-26 株式会社リコー 情報システム、ファイルサーバ、情報システムの制御方法及びファイルサーバの制御方法、並びに、それら方法のプログラム及びそのプログラムを記録した記録媒体
GB2514550A (en) * 2013-05-28 2014-12-03 Ibm System and method for providing access to a resource for a computer from within a restricted network and storage medium storing same
US9185077B2 (en) * 2013-11-25 2015-11-10 Verizon Patent And Licensing Inc. Isolation proxy server system
US9914220B2 (en) 2014-02-07 2018-03-13 Abb Schweiz Ag Web browser access to robot cell devices
JP5893787B2 (ja) * 2015-04-21 2016-03-23 株式会社ラック 情報処理装置、処理方法およびプログラム
US20180124196A1 (en) * 2016-10-28 2018-05-03 Entit Software Llc Forwarding service requests from outbound proxy servers to remote servers inside of firewalls
US10361997B2 (en) 2016-12-29 2019-07-23 Riverbed Technology, Inc. Auto discovery between proxies in an IPv6 network
US10873567B2 (en) * 2017-06-26 2020-12-22 Open Text Corporation Systems and methods for providing communications between on-premises servers and remote devices
US10574676B2 (en) 2017-10-06 2020-02-25 Fyde, Inc. Network traffic inspection
US11134058B1 (en) 2017-10-06 2021-09-28 Barracuda Networks, Inc. Network traffic inspection
US11184364B2 (en) * 2018-01-09 2021-11-23 Cisco Technology, Inc. Localized, proximity-based media streaming
WO2019183522A1 (en) * 2018-03-22 2019-09-26 Akamai Technologies, Inc. Traffic forwarding and disambiguation by using local proxies and addresses
JP7172108B2 (ja) * 2018-04-13 2022-11-16 ブラザー工業株式会社 プログラム及び通信システム
US10958662B1 (en) * 2019-01-24 2021-03-23 Fyde, Inc. Access proxy platform
US11457040B1 (en) 2019-02-12 2022-09-27 Barracuda Networks, Inc. Reverse TCP/IP stack
EP3934192A1 (de) * 2020-06-29 2022-01-05 Siemens Aktiengesellschaft Verfahren zum aufbau einer verbindung zwischen einem kommunikationsgerät und einem server und proxy
EP4142213A1 (de) * 2021-08-30 2023-03-01 Bull SAS Verfahren und system für edge-basiertes automatisches containment

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5673322A (en) * 1996-03-22 1997-09-30 Bell Communications Research, Inc. System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks
US6345300B1 (en) * 1997-03-25 2002-02-05 Intel Corporation Method and apparatus for detecting a user-controlled parameter from a client device behind a proxy
US6237031B1 (en) * 1997-03-25 2001-05-22 Intel Corporation System for dynamically controlling a network proxy
US6311215B1 (en) * 1997-03-25 2001-10-30 Intel Corporation System for dynamic determination of client communications capabilities
US6212175B1 (en) * 1997-04-22 2001-04-03 Telxon Corporation Method to sustain TCP connection
US6457054B1 (en) * 1997-05-15 2002-09-24 Intel Corporation System for reducing user-visibility latency in network transactions
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
CA2349520C (en) * 1998-10-30 2011-05-17 Science Applications International Corporation An agile network protocol for secure communications with assured system availability
US6349336B1 (en) * 1999-04-26 2002-02-19 Hewlett-Packard Company Agent/proxy connection control across a firewall
US6910180B1 (en) * 1999-05-10 2005-06-21 Yahoo! Inc. Removing cookies from web page response headers and storing the cookies in a repository for later use
US6760758B1 (en) * 1999-08-31 2004-07-06 Qwest Communications International, Inc. System and method for coordinating network access
JP3478200B2 (ja) * 1999-09-17 2003-12-15 日本電気株式会社 サーバ・クライアント間双方向通信システム
US6510464B1 (en) * 1999-12-14 2003-01-21 Verizon Corporate Services Group Inc. Secure gateway having routing feature
CA2299824C (en) * 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
US6795856B1 (en) * 2000-06-28 2004-09-21 Accountability International, Inc. System and method for monitoring the internet access of a computer
US6621827B1 (en) * 2000-09-06 2003-09-16 Xanboo, Inc. Adaptive method for polling
US7028051B1 (en) * 2000-09-29 2006-04-11 Ugs Corp. Method of real-time business collaboration
US6859832B1 (en) * 2000-10-16 2005-02-22 Electronics For Imaging, Inc. Methods and systems for the provision of remote printing services over a network
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US6854121B2 (en) * 2001-02-16 2005-02-08 Canon U.S.A., Inc. Command interface to object-based architecture of software components for extending functional and communicational capabilities of network devices
US7293108B2 (en) * 2001-03-15 2007-11-06 Intel Corporation Generic external proxy
US6959336B2 (en) * 2001-04-07 2005-10-25 Secure Data In Motion, Inc. Method and system of federated authentication service for interacting between agent and client and communicating with other components of the system to choose an appropriate mechanism for the subject from among the plurality of authentication mechanisms wherein the subject is selected from humans, client applications and applets

Also Published As

Publication number Publication date
EP1255395A2 (de) 2002-11-06
CA2383247C (en) 2005-06-14
DE60203433D1 (de) 2005-05-04
EP1255395B1 (de) 2005-03-30
US20020161904A1 (en) 2002-10-31
EP1255395A3 (de) 2003-08-27
JP2003050756A (ja) 2003-02-21
CA2383247A1 (en) 2002-10-30

Similar Documents

Publication Publication Date Title
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE10393628B4 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE60200451T2 (de) Herstellung einer gesicherten Verbindung mit einem privaten Unternehmensnetz über ein öffentliches Netz
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60116610T2 (de) Netzwerkadressenübersetzungsgateway für lokale netzwerke unter verwendung lokaler ip-adressen und nicht übersetzbarer portadressen
DE69837938T2 (de) Übergreifende bildung von server clustern mittels einer netzwerkflussvermittlung
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE69731965T2 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
DE60019997T2 (de) Ggesicherte Kommunikation mit mobilen Rechnern
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE69922857T2 (de) Rechnersicherheit durch Virusuntersuchung
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
US5550984A (en) Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
DE69927285T2 (de) Netzverwaltungssystem
DE60216779T2 (de) System und Verfahren zur Bereitstellung von Punkt-zu-Punkt Protokoll über Ethernet an mobilen Plattformen
DE60212289T2 (de) Verwaltung privater virtueller Netze (VPN)
DE19741246C2 (de) Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken
DE19741239C2 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE112008003966T5 (de) Selektives Um-Abbilden einer Netzwerktopologie
DE10052312A1 (de) Automatische Sperre gegen unberechtigten Zugriff im Internet (Snoop Avoider) für virtuelle private Netze
DE60307652T2 (de) Verfahren und System zur gesicherten Inhaltsüberlieferung
DE60211270T2 (de) Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken
DE102015003235A1 (de) Verfahren und System zum Bereitstellen von Kommunikationskanälen, welche verschiedene sichere Kommunikationsprotokolle verwenden
EP1593253B1 (de) Verfahren und anordnung zur transparenten vermittlung des datenverkehrs zwischen datenverarbeitungseinrichtungen sowie ein entsprechendes computerprogamm-erzeugnis und ein entsprechendes computerlesbares speichermedium
DE10147889A1 (de) Proxy-Einheit, Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms und Anordnung mit einer Proxy-Einheit und einer Einheit zum Ausführen eines Applikations-Server-Programms

Legal Events

Date Code Title Description
8364 No opposition during term of opposition