-
ERFINDUNG
-
Die
vorliegende Erfindung bezieht sich auf Datenverarbeitungsanlagen
und insbesondere Verfahren und Systeme zur Implementierung eines
assoziativen Richtlinienmodells.
-
HINTERGRUND
DER ERFINDUNG
-
Es
gibt eine wachsende Zahl vernetzter Nutzer (Clients). Außerdem gibt
es eine zunehmende Zahl von Netzwerkanwendungen (Servers), die eine
Gruppe von Dienstleistungen (Services) für diese Nutzer bereitstellen.
In solch einer Umgebung ist Datensicherheit häufig eine Besorgnis. Nutzer
greifen kontinuierlich auf Server zu und Server reagieren auf Anforderungen,
die über
das Netzwerk ankommen.
-
Um
zu helfen Sicherheitsbesorgnisse zu managen, implementieren Internet-
oder andere Netzwerksysteme Sicherheitsrichtlinien, wobei ein Richtlinien-Server,
beispielsweise, die Sicherheit für
eine Domäne übereinstimmend
mit den Regeln in seiner Richtlinie regelt. Auf diese Weise ist
der Richtlinien-Server fähig
die Sicherheitsbedürfnisse
für die
Knoten in der Domäne
durch Durchführen
der Regeln in der Richtlinie anzugehen.
-
Typische
Richtlinienspezifikationsmodelle erfordern ausdrückliche Spezifikation der Netzwerkelemente
in einer gegebenen Sicherheitsdomäne. Die ausdrückliche
Spezifikation könnte
die Host-Namen oder (IP-) Internet-Protokoll-Adressen der Netzwerkelemente
einschließen
und häufig
müssen
derartige Informationen vorne in das Richtlinienmodell eingebaut
werden, wenn sich der Name oder die IP-Adresse eines gegebenen Netzwerkelements
mit der Zeit ändert
(wie beispielsweise, wenn das dynamische Host-Konfigurations-Protokoll
bzw. Dynamic Host Configuration Protocol (DHCP) verwendet wird)
oder, wenn Netzwerkelemente einer Domäne hinzugefügt oder aus dieser gelöscht werden,
muss das Richtlinienmodell vielleicht manuell aktualisiert werden
und die Informationen, auf die jedes der Netzwerkelemente zeigt,
müssen
sich vielleicht ebenso ändern.
Dies erfordert zusätzliche
Mühe und
bringt mehr Potenzial für
Fehler und Inkonsistenz. Außerdem
ist die Richtlinie bei solchen Implementierungen oft von der Netzwerktopologie
abhängig.
Wenn die Richtlinie, beispielsweise, festcodierte IP-Adressen verwendet,
muss sich die Richtlinie häufig ändern, um
mit den IP-Adressenänderungen
konsistent zu bleiben.
-
GB2356763 offenbart Verfahren
und Vorrichtungen für
Richtlinien-Management. Eine Richtlinie wird als ein Satz Regeln
definiert, um die Verwendung von oder Zugriff auf Netzwerk-Services
zu bestimmen. Mehrere Verfahren sind für die Zuordnung von Richtlinien
auf spezifizierte Netzwerk-Services beschrieben. Diese Verfahren
umfassen das Assoziieren von Gruppen spezifizierter Netzwerk-Services
mit Gruppen von Richtlinien und das Bereitstellen dynamisch speicherkonformer
richtlinienidentifizierter Nutzer- und Hostnamen mit assoziierten
Netzwerkadressen an Client-Prozesse.
-
WO00/69145
offenbart verallgemeinerte Netzwerksicherheits-Richtlinienvorlagen
zur Implementierung ähnlicher
Netzwerksicherheitsrichtlinien über
mehrfache Netzwerke. Eine Netzwerksicherheitsrichtlinie umfasst
Netzwerksicherheitsregeln, wobei jede in Bezug auf ein Alias oder
mehrere Aliase spezifiziert ist. Für jedes Alias wird eine Liste
von einem oder mehreren Netzwerkelementen empfangen, die der vom
Alias repräsentierten
Rolle dienen. Jedes Alias im Netzwerksicherheits-Richtlinienmodell
wird mit der empfangenen Liste von Netzwerksicherheitsvorrichtungen
ersetzt, die für
das Alias spezifiziert sind, um eine Netzwerksicherheitsrichtlinie
zu produzieren, die zur Verwendung in einem Netzwerk angepasst ist.
-
ZUSAMMENFASSUNG
DER ERFINDUNG
-
Verschiedene
Ausführungsformen
der vorliegenden Erfindung sind hierin bereitgestellt. Eine Ausführungsform
stellt ein Verfahren zur Implementierung einer assoziativen Richtlinie
bereit. In dieser Ausführungsform
umfasst das Verfahren die Bereitstellung einer Richtlinie auf einem
Richtlinien-Server, wobei die Richtlinie eine Service-Definition
aufweist, die erste und zweite relationale Komponenten enthält und wobei
jede relationale Komponente einen oder mehrere Regelsätze aufweist,
die jeweils einen oder mehrere Platzhalter aufweisen, das Bereitstellen
erster und zweiter Netzwerkeinheiten, funktionsfähiges Koppeln der ersten und
zweiten Netzwerkeinheiten an den Richtlinien-Server, dynamisches
Assoziieren der ersten Netzwerkeinheit mit der zweiten Netzwerkeinheit,
wobei solches Assoziieren das Binden der ersten relationalen Komponente
der Service-Definition in der Richtlinie an die erste Netzwerkeinheit
und das Binden der zweiten relationalen Komponente der Service-Definition
in der Richtlinie an die zweite Netzwerkeinheit und Durchführung der
Richtlinie an den ersten und zweiten Netzwerkeinheiten umfasst.
-
Diese
Ausführungsform,
sowie andere Ausführungsformen,
werden in der nachstehenden Beschreibung ausführlich beschrieben.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1A veranschaulicht
ein Blockdiagramm eines Systems mit mehrfachen Netzwerkeinheiten
und einen Richtlinien-Server zur Implementierung verschiedener Ausführungsformen
der vorliegenden Erfindung.
-
1B veranschaulicht
ein Blockdiagramm für
eine Ausführungsform
des in der 1A gezeigten Systems, wobei
die Netzwerkeinheiten jeweils einen Computer mit einer Softwarekomponente
umfassen.
-
1C veranschaulicht
ein Blockdiagramm für
eine Ausführungsform
des in der 1A gezeigten Systems, wobei
die Netzwerkeinheiten jeweils einen Computer und ein Netzwerkgerät umfassen.
-
2 veranschaulicht
ein Blockdiagramm eines Client-Server- und Richtlinien-Serversystems
zur Implementierung verschiedener Ausführungsformen der vorliegenden
Erfindung.
-
3 veranschaulicht
ein Blockdiagramm eines assoziativen Richtlinienmodells in Übereinstimmung mit
einer Ausführungsform
der vorliegenden Erfindung.
-
4 veranschaulicht
ein Blockdiagramm einer Service-Definition mit Client- und Server-Komponenten in Übereinstimmung
mit einer Ausführungsform
der vorliegenden Erfindung.
-
5A und 5B veranschaulichen
Blockdiagramme verschiedener Service-Definitionen mit Client- und
Server-Komponenten in Übereinstimmung
mit gewissen Ausführungsformen
der vorliegenden Erfindung.
-
6 veranschaulicht
ein Blockdiagramm von Richtlinien-Spezifikationsverteilung von einem
Firmenbüro
zu Außendienstbüros in Übereinstimmung
mit einer Ausführungsform
der vorliegenden Erfindung.
-
AUSFÜHRLICHE
BESCHREIBUNG
-
In
der folgenden ausführlichen
Beschreibung der Ausführungsformen
wird auf die zugehörigen
Zeichnungen Bezug genommen, die einen Teil davon bilden und die
zur Illustration spezifischer Ausführungsformen gezeigt sind,
in denen die Erfindung praktiziert werden könnte. Diese Ausführungsformen
sind hinreichend ausführlich
beschrieben, um Fachleute zu ermöglichen
die Erfindung zu praktizieren. Es soll allgemein angenommen werden,
dass sich die verschiedenen Ausführungsformen
der Erfindung, obwohl unterschiedlich, nicht notwendigerweise gegenseitig
ausschließen.
Beispielsweise könnte
ein spezielles Merkmal, eine spezielle Struktur oder Charakteristik,
das/die in einer beschrieben sind, in anderen Ausführungsformen
inbegriffen sein.
-
Eine
Ausführungsform
der Erfindung stellt ein assoziatives Richtlinienmodell bereit.
Eine assoziative Richtlinie ist eine Richtlinie, die auf einer Assoziation
hoher Ebene zwischen einem Paar von Einheiten beruht. Beispielweise
könnten
Einheitsassoziationen umfassen: (1) E-Mail-Client und E-Mail-Server; (2) Verkäufer/-in und
Verkaufsdatenbank; (3) (Network Basic Input/Output System) NetBIOS-Client und NetBIOS-Server;
oder (4) Web-Client und Web-Proxy. Ein assoziatives Richtlinienmodell
ist ein Modell, das verwendet wird eine Sicherheitsrichtlinie auf
Sätze solcher
Einheiten, auf ihrer Assoziation beruhend, zu definieren und anzuwenden. Solch
ein Modell ist fähig
eine Richtlinienspezifikation zu implementieren, die unabhängig von
der Netzwerktopologie oder den Adressen der involvierten Maschinen
ist. Die Richtlinienspezifikation könnte verwendet werden eine
Service-Vereinbarung zwischen Einheiten zu spezifizieren oder kann
verwendet werden eine Sicherheitsrichtlinie für die Einheiten zu definieren.
Assoziative Richtlinien erlauben leichtes Erstellen und Management
von Sicherheitsrichtlinien (Paketfilterungs- und Verschlüsselungsassoziationen).
Dies macht eine Richtlinie in Bezug auf Internet-Protokoll (IP) selbstwartend und stellt
flexible Unterstützung
für IP-Adressen bereit,
die auf dem Dynamischen Host-Konfigurations-Prokoll bzw. Dynamic
Host Configuration Protocol (DHCP) beruhen. Unterstützung wird
ebenso für
Nutzer (oder Einheiten) in sowohl festverdrahteten als auch drahtlosen
Umgebungen bereitgestellt, die Laptops, PDA's und dergleichen umfassen könnten.
-
Diese
Ausführungsform
der Erfindung lässt
eine dynamischere Zuordnung einer Richtlinie (oder von Richtlinien)
an ein Gerät
zu. Zum Beispiel könnte
ein Laptop an einem Tag der Maschinenbaugruppe zugeordnet werden,
aber am nächsten
Tag zur Managementgruppe verlegt werden. Das assoziative Richtlinienmodell kann
automatisch (ohne manuellen Administratoreingriff) die dem Laptop
bereitzustellen Services klären
und die korrekte IP-Adresseninformation in den Laptop und alle assoziierten
Server laden.
-
In
einer Ausführungsform
ist ein assoziatives Richtlinienmodell in einem festverdrahteten
Netzwerk implementiert, wobei Netzwerkeinheiten Netzschnittstellenkarten
(NIC's) einschließen. In
einer Ausführungsform ist
das Modell in einem drahtlosen Netzwerk implementiert. In einer
Ausführungsform
ist das Modell unter Einsatz von Software eher auf Host-Maschinen
als auf NIC's (Netzschnittstellenkarten)
implementiert. Implementieren einer Softwarelösung in Servern, Routern, PDAs
oder Mobiltelefonen erlaubt ausdrückliche Adressenspezifikation
und könnte
weniger Arbeit durch den Richtlinienadministrator erfordern.
-
1A veranschaulicht
ein Blockdiagramm eines Systems mit mehrfachen Netzwerkeinheiten
und einen Richtlinien-Server zur Implementierung verschiedener Ausführungsformen
der vorliegenden Erfindung. In 1A umfasst
das System 100A die Netzwerkeinheit 108A, das
Netzwerk 104, den Richtlinien-Server 106 und die
Netzwerkeinheit 102A. Netzwerkeinheit 108A, Richtlinien-Server 106 und
Netzwerkeinheit 102A sind jeweils an das Netzwerk 104 gekoppelt.
In einer Ausführungsform
ist das Netzwerk 104 ein festverdrahtetes Netzwerk. In
einer Ausführungsform
ist das Netzwerk 104 ein drahtloses Netzwerk. In einer
Ausführungsform
ist das Netzwerk 104 ein Netzwerk auf Internetbasis. In
einer Ausführungsform
hat der Richtlinien-Server 106 eine Sicherheitsrichtlinie,
die einen ersten Regelsatz einschließt und jeder der Regelsätze einen
oder mehrere Platzhalter hat. Wenn das System 100A funktionsfähig ist,
wird die Richtlinie 106 tätig, um die Sicherheitsrichtlinie
in eine erste Einheitsrichtlinie umzuwandeln, indem Einheitsinformationen
für die
Netzwerkeinheit 102A in die Platzhalter des ersten Regelsatzes
eingefügt
werden, um die Sicherheitsrichtlinie in eine zweite Einheitsrichtlinie
umzuwandeln, indem Einheitsinformationen für die Netzwerkeinheit 108A in
die Platzhalter des zweiten Regelsatzes eingefügt werden, um die Richtlinie
der ersten Einheit zur Netzwerkeinheit 108A zu senden und
die Richtlinie der zweiten Einheit an die Netzwerkeinheit 102A zu
senden.
-
1B veranschaulicht
ein Blockdiagramm für
eine Ausführungsform
des in der 1A gezeigten Systems, wobei
die Netzwerkeinheiten jeweils einen Computer mit einer Softwarekomponente
umfassen. In der 1B umfasst das System 100B die
Netzwerkeinheit 108B, das Netzwerk 104, den Richtlinien-Server 106 und
die Netzwerkeinheit 102B. Die Netzwerkeinheit 108B,
der Richtlinien-Server 106 und die Netzwerkeinheit 102B sind
jeweils an das Netzwerk 104 gekoppelt. In dieser Ausführungsform
umfasst die Netzwerkeinheit 108B den Computer 110 und
die Netzwerkeinheit 102B umfasst den Computer 114.
Der Computer 110 umfasst die Softwarekomponente 112 und
der Computer 114 umfasst die Softwarekomponente 116.
Diese Ausführungsform
stellt eine Softwarelösung
für die
assoziative Richtlinien-Implementierung bereit.
-
1C veranschaulicht
ein Blockdiagramm für
eine Ausführungsform
des in der
1A gezeigten Systems, wobei
die Netzwerkeinheiten jeweils einen Computer und ein Netzschnittstellengerät umfassen.
In der
1C umfasst das System
1000 die
Netzwerkeinheit
108C, das Netzwerk
104, den Richtlinien-Server
106 und
die Netzwerkeinheit
102C. Die Netzwerkeinheit
108C,
der Richtlinien-Server
106 und die Netzwerkeinheit
102C sind
an das Netzwerk
104 gekoppelt. Die Netzwerkeinheit
108C umfasst
den Computer
118 und das Netzschnittstellengerät
120.
Der Computer
118 ist an das Netzschnittstellengerät
120 gekoppelt.
Ebenso umfasst die Netzwerkeinheit
102C den Computer
124 und
das Netzschnittstellengerät
122.
Computer
124 ist an Netzschnittstellengerät
122 gekoppelt.
In einer Ausführungsform
umfassen die Netzschnittstellengeräte
120 und
122 Netzschnittstellenkarten
(NIC's). In einer
Ausführungsform
enthält
das System
100C eine verteilte Firewall (Brandmauer) wie
in der U.S. Patentanmeldung Aktenzeichen Nr.: 09/578.314, Veröffentlichungsnummer
US 20030126468 eingereicht
am 25. Mai 2000, mit dem Titel: DISTRIBUTED FIREWALL SYSTEM AND METHOD
(SYSTEM UND VERFAHREN FÜR
VERTEILTE FIREWALL) beschrieben, wobei die Netzschnittstellengeräte
120 und
122 jeweils
eine eingebettete Firewall zum Berechtigen von Datenpaketen umfassen.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung wird ein Verfahren zur Implementierung einer
assoziativen Richtlinie bereitgestellt. In dieser Ausführungsform
umfasst das Verfahren die Bereitstellung einer Richtlinie auf einem
Richtlinien-Server (wobei die Richtlinie eine Service-Definition
aufweist, die erste und zweite relationale Komponenten enthält), das
Bereitstellen erster und zweiter Netzwerkeinheiten, funktionsfähiges Koppeln
der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server,
dynamisches Assoziieren der ersten Netzwerkeinheit mit der zweiten
Netzwerkeinheit (wobei solches Assoziieren das Binden der ersten
relationalen Komponente der Service-Definition in der Richtlinie
an die erste Netzwerkeinheit und das Binden der zweiten relationalen
Komponente der Service- Definition
in der Richtlinie an die zweite Netzwerkeinheit umfasst) und Durchführung der
Richtlinie an den ersten und zweiten Netzwerkeinheiten umfasst.
-
In
einigen Ausführungsformen
umfasst das Bereitstellen einer Richtlinie auf einem Richtlinien-Server das Bereitstellen
einer Sicherheitsrichtlinie auf einem Richtlinien-Server. In einigen
Ausführungsformen
umfasst das Bereitstellen einer Richtlinie auf einem Richtlinien-Server
das Bereitstellen einer Richtlinie mit einer Service-Definition,
die erste und zweite relationale Komponenten enthält und wobei
die Service-Definition einem E-Mail-Service, einen Verkaufsdatenbank-Service,
einem Netzwerk-Eingabe/Ausgabe-Grundsystem-Service (network basic
input/output system (NetBIOS) service)) oder einem Web-Service entspricht.
In einigen Ausführungsbeispielen
umfasst das Bereitstellen einer Richtlinie auf einem Richtlinien-Server
das Bereitstellen einer Richtlinie mit einer Service-Definition,
die erste und zweite relationale Komponenten enthält und wobei
jede der ersten und zweiten relationalen Komponenten einen oder
mehrere Paketfilterungsregelsätze
umfasst. In einigen Ausführungsformen
umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition,
die erste und zweite relationale Komponenten enthält, das
Bereitstellen einer Richtlinie mit einer Service-Definition, die
eine relationale Client-Komponente und eine relationale Server-Komponente
einschließt und
wobei das Bereitstellen erster und zweiter Netzwerkeinheiten das
Bereitstellen eines Server-Geräts
und eines Client-Geräts
umfasst.
-
In
einigen Ausführungsformen
umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das
Bereitstellen erster und zweiter Netzwerkeinheiten, die aus einer,
aus Geräten,
Nutzern und Softwarepaketen bestehenden, Gruppe ausgewählt wurden.
In einigen Ausführungsformen
umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das
Bereitstellen erster und zweiter Elemente einer virtuellen privaten
Gruppe (VPG) oder eines virtuellen privaten Netzwerks (VPN). VPG's sind in der gleichzeitig
anhängenden
Patentanmeldung, Aktenzeichen Nr. 10/234.233, Veröffentlichungsnummer
US 20040044891 beschrieben.
In einigen Ausführungsformen
umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das
Bereitstellen eines ersten Elements einer ersten VPG und ein zweites
Element einer zweiten VPG. In einigen Ausführungsformen umfasst das Bereitstellen
erster und zweiter Netzwerkeinheiten das Bereitstellen erster und
zweiter Netzwerkeinheiten, die mit einem oder mehreren Gerätesätzen assoziiert
sind. In einigen Ausführungsformen
umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das
Bereitstellen erster und zweiter Netzwerkeinheiten mit (IP-) Internet-Protokoll-Adressen, die in Übereinstimmung
mit dem Dynamischen Host-Konfigurations-Protokoll bzw. Dynamic Host
Configuration Protocol (DHCP) zugeordnet sind. In einigen Ausführungsformen
umfasst das Bereitstellen erster und zweiter Netzwerkeinheiten das
Bereitstellen erster und zweiter Netzwerkeinheiten, die jeweils
ein Netzschnittstellengerät
zum Managen einer eingebetteten Firewall umfasst.
-
In
einigen Ausführungsformen
umfasst funktionsfähiges
Koppeln der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server
das Senden der (IP-) Internet-Protokoll-Adressen der ersten und
zweiten Netzwerkeinheiten an den Richtlinien-Server. In einigen
Ausführungsformen
umfasst funktionsfähiges
Koppeln der ersten und zweiten Netzwerkeinheiten an den Richtlinien-Server
das Binden eines ersten Nutzers an eine erste Netzwerkeinheit, wobei
der erste Nutzer mit einer ersten Rolle assoziiert wird, das Binden
eines zweiten Nutzers an die zweite Netzwerkeinheit, wobei der zweite
Nutzer mit einer zweiten Rolle assoziiert wird, das Identifizieren
einer ersten (IP-) Internet-Protokoll-Adresse der ersten Netzwerkeinheit,
das Identifizieren einer zweiten IP-Adresse der zweiten Netzwerkeinheit,
das Senden der ersten Rolle und der ersten IP-Adressen-Information
an den Richtlinien-Server und das Senden der zweiten Rolle und der
zweiten IP-Adressen-Information an den Richtlinien-Server.
-
In
einigen Ausführungsformen
umfasst das Binden der ersten relationalen Komponente der Service-Definition
in der Richtlinie an die erste Netzwerkeinheit das Senden der ersten
relationalen Komponente der Service-Definition in der Richtlinie
an die erste Netzwerkeinheit. In einigen Ausführungsformen umfasst das Binden
der zweiten relationalen Komponente der Service-Definition in der
Richtlinie an die zweite Netzwerkeinheit das Senden der zweiten
relationalen Komponente der Service-Definition in der Richtlinie an die zweite
Netzwerkeinheit.
-
2 veranschaulicht
ein Blockdiagramm eines Client-Server- und Richtlinien-Serversystems
zur Implementierung verschiedener Ausführungsformen der vorliegenden
Erfindung. (Gewisse Ausführungsformen
der Erfindung, wie es später
beschrieben wird, stellen außerdem
Peer-to-Peer-Unterstützung (beispielsweise
Client-zu-Client oder Server-zu-Server) bereit. In 2 umfasst
das System 200 das Server-Gerät 208, das Netzwerk 204,
den Richtlinien-Server 206 und das Client-Gerät 202.
In einer Ausführungsform
ist das Netzwerk 204 ein festverdrahtetes Netzwerk. In
einer Ausführungsform
ist das Netzwerk 204 ein drahtloses Netzwerk. In einer
Ausführungsform
ist das Netzwerk 204 ein Netzwerk auf Internetbasis. In
einer Ausführungsform
ist das Netzwerk 204 ein Intranet. In einer Ausführungsform
umfassen das Server-Gerät 208 und das
Client-Gerät 202 jeweils
Netzschnittstellenkarten (NIC's).
In einer Ausführungsform
umfassen das Server-Gerät 208 und
das Client-Gerät 202 jeweils
Softwarekomponenten zum Implementieren einer assoziativen Richtlinie.
Das Server-Gerät 208,
der Richtlinien-Server 206 und das Client-Gerät 202 sind
jeweils an das Netzwerk 204 gekoppelt. Das Server-Gerät 208 umfasst
die Server-Richtlinie 214 und das Client-Gerät 202 umfasst
die Client-Richtlinie 208. Der Richtlinien-Server 206 umfasst
die Schnittstelle 210 (um den Richtlinien-Server 206 über das
Netzwerk 204 mit dem Server-Gerät 208 und dem Client-Gerät 202 zu
koppeln) und die Master-Richtlinie 212. In einer Ausführungsform
umfasst die Master-Richtlinie 212 eine Client-Komponente und
eine Server-Komponente.
-
Wenn
das System 200 funktionsfähig ist, wird der Server 206 tätig, um
Server-Informationen über
das Server-Gerät 208 zu
erhalten, Client-Informationen über
das Client-Gerät 202 zu
erhalten, um mithilfe der Client-Komponente der Master-Richtlinie 212 und
der Server-Informationen die Client-Richtlinie 208 zu schaffen, um
mithilfe der Server-Komponente der Master-Richtlinie 212 und
der Client-Informationen die Server-Richtlinie 214 zu schaffen,
um die Client-Richtlinie 208 zum Client-Gerät 202 zu
senden und die Server-Richtlinie 214 zum Server-Gerät 208 zu
senden.
-
Eine
Ausführungsform
vollstreckt die Client-Richtlinie 208 am Client-Gerät 202 und
vollstreckt die Server-Richtlinie 214 am Server-Gerät 208.
Eine weitere Ausführungsform
vollstreckt die Server-Richtlinie 214 am Server-Gerät 208.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung ist ein computerimplementiertes Verfahren
auf einem Richtlinien-Server bereitgestellt. In dieser Ausführungsform
umfasst das Verfahren die Bereitstellung einer Master-Richtlinie
auf dem Richtlinien-Server (wobei die Master-Richtlinie eine erste
Komponente und eine zweite Komponente aufweist), das Binden des
Richtlinien-Servers an ein erstes Gerät, um Informationen über das
erste Gerät
zu erhalten, das Binden des Richtlinien-Servers an ein zweites Gerät, um Informationen über das
zweite Gerät
zu erhalten, das Schaffen einer ersten Richtlinie auf dem Richtlinien-Server
mithilfe der ersten Komponente der Master-Richtlinie und der Informationen über das
zweite Gerät,
das Schaffen einer zweiten Richtlinie auf dem Richtlinien-Server
mithilfe der zweiten Komponente der Master-Richtlinie und der Informationen über das
erste Gerät,
das Senden der ersten Richtlinie an das erste Gerät und Senden
der zweiten Richtlinie an das zweite Gerät.
-
In
einigen Ausführungsformen
umfasst das Binden des Richtlinien-Servers an ein erstes Gerät, um Informationen über das
erste Gerät
zu erhalten, das Binden des Richtlinien-Servers an ein Client-Gerät, um Informationen über das
Client-Gerät
zu erhalten und das Binden des Richtlinien-Servers an ein zweites
Gerät, um
Informationen über
das zweite Gerät
zu erhalten, umfasst das Binden des Richtlinien-Servers an ein Server-Gerät, um Informationen über das
Server-Gerät
zu erhalten.
-
In
einigen Ausführungsformen
umfasst das Bereitstellen einer Hauptrichtlinie auf dem Richtlinien-Server das Bereitstellen
einer Master-Sicherheitsrichtlinie auf dem Richtlinien-Server.
-
In
einigen Ausführungsformen
umfasst das Binden des Richtlinien-Servers an ein erstes Gerät, um Informationen über das
erste Gerät
zu erhalten, Erhalten der (IP-) Internet-Protokoll-Adresseninformation über das
erste Gerät.
-
In
einigen Ausführungsformen
umfasst das Binden des Richtlinien-Servers an ein zweites Gerät, um Informationen über das
zweite Gerät
zu erhalten, das Erhalten der (IP-) Internet-Protokoll-Adresseninformation über das
zweite Gerät.
-
In
einigen Ausführungsformen
umfasst die Master-Richtlinie weiter eine dritte Komponente und
das Verfahren umfasst weiter das Binden des Richtlinien-Servers
an ein drittes Gerät,
um Informationen über
das dritte Gerät
zu erhalten, die Schaffung einer ersten Richtlinie auf dem Richtlinien-Server
mithilfe einer dritten Komponente der Master-Richtlinie und der
Informationen über
die ersten und zweiten Geräte
und das Senden der dritten Richtlinie an das dritte Gerät, wobei
die ersten, zweiten und dritten Geräte Peer-to-Peer-Geräte sind.
-
3 veranschaulicht
ein Blockdiagramm eines assoziativen Richtlinienmodells in Übereinstimmung mit
einer Ausführungsform
der vorliegenden Erfindung. In der 3 umfasst
das Modell 300 verschiedene Komponenten. In einer Ausführungsform
sind Regeln 302 im Modell 300 inbegriffen. Die
Regeln 302 umfassen eine Paketfilterungsspezifikation niedriger
Ebene, die verschiedene Posten, wie beispielsweise einen Portbereich,
eine Richtung und/oder ein Protokolltupel identifiziert.
-
In
einer Ausführungsform
sind die Regelsätze 304 im
Modell 300 inbegriffen. Ein Regelsatz umfasst eine Gruppe
einer oder mehrerer Regeln (wie beispielsweise Regeln 302),
die eine vernetzte Anwendung repräsentieren (z.B. Domänennamen-Service,
Telnet, etc.). In einer Ausführungsform
umfassen die Regelsätze 304 einen
Regelsatz mit einer oder mehreren ankommenden Filterungsregeln und
einer oder mehreren abgehenden Filterungsregeln. In einer Ausführungsform
sind die Services 306 im Modell 300 inbegriffen.
In einer Ausführungsform
umfasst eine Service-Definition einen oder mehrere Regelsätze (wie
beispielsweise Regelsätze 304).
In der Ausführungsform,
die in der 3 veranschaulicht ist, umfassen
die Services 306 Service-Definitionen, die eine Client-Komponente
und eine Server-Komponente aufweisen. Andere Ausführungsformen
stellen andere relationale Komponenten in der Service-Definition
bereit. Die Client-Komponente ist mit dem Client-Gerät 314 über Einschluss
der Client-Komponente
in die Client-Richtlinie 308 and Assoziieren des Client-Geräts 314 mit
der Client-Richtlinie 308 assoziiert. In einer Ausführungsform
enthält
die Client-Komponente (IP-) Internet-Protokoll- Adresseninformationen über das
Server-Gerät 312.
Die Server-Komponente ist ebenso mit dem Server-Gerät 312 über Einschluss
in die Server-Richtlinie 310 assoziiert, die mit dem Server-Gerät 312 assoziiert
ist. In einer Ausführungsform
enthält
die Server-Komponente IP-Adresseninformationen über das Client-Gerät 314.
In einer Ausführungsform
könnten
ebenso Peer-to-Peer-Services (z.B. NetMeeting) definiert sein. In
einer Ausführungsform
definiert eine Service-Definition eine Beziehung zwischen zwei oder
mehreren Einheiten (Client, Server, Peer-to-Peer, etc.). Diese Einheiten
(Geräte,
Nutzer, Softwarepakete, etc.) brauchen nicht zu dem Zeitpunkt spezifiziert
werden, an dem die Service-Beziehung definiert wird. Sie können später mit
dem Service assoziiert werden und die Bindungen werden zu dem Zeitpunkt
geklärt.
-
In
der 3 umfasst eine Richtlinie (wie beispielsweise
die Client-Richtlinie 308 oder die Server-Richtlinie 310)
einen Service oder mehrere Services (wie Services 306).
Wenn eine Einheit oder ein Gerät (wie
ein Laptop) mit einer Richtlinie assoziiert ist, wird die aktuelle
IP-Adresse des Geräts
mithilfe der Service-Definition bearbeitet und die Adresse wird
in die Richtlinie integriert, die den assoziierten Service enthält (z.B.,
die andere Hälfte
des Client/Server-Paars oder ein Peer). Wenn, beispielsweise, ein
Telnet-Service in Services 306 definiert ist, umfasst er
eine Client-Komponente und eine Server-Komponente. Die Client-Komponente ist
in der Client-Richtlinie 308 inbegriffen, während die
Server-Komponente
in der Server-Richtlinie 310 inbegriffen ist. In einer
Ausführungsform
wird, wenn das Client-Gerät 314 urladet
und eine IP-Adresse empfängt
(z.B., über
DHCP), die IP-Adresseninformation des Client-Geräts 314 in
die Server-Komponente der Server-Richtlinie 310 integriert
und auf dem Server-Gerät 312 vollstreckt.
Gleichermaßen
wird die IP-Adresseninformation des Server-Geräts 312 in die Client-Komponente der Client-Richtlinie 308 integriert
und auf dem Client-Gerät 314 vollstreckt.
-
In
Betrieb wird ein assoziatives Richtliniensystem, das ein Modell
implementiert wie es beispielsweise in der 3 gezeigt
ist, wie folgt beschrieben. Zunächst
werden Regeln 302 geschrieben und kombiniert, um einen
Regelsatz zu bilden (zum Einschluss in Regelsätze 304). Die Regelsätze 304 werden
kombiniert, um einen Service zu bilden (zum Einschluss in Services 306).
In einer Ausführungsform
wird ein (VPG-) virtueller Privatgruppenname an den Service gebunden.
Die Services 306 werden kombiniert, um eine Richtlinie
auf einem Richtlinien-Server zu bilden. Die IP-Adressen des Client-Geräts 314 und
des Server-Geräts 312 werden bestimmt.
In einer Ausführungsform
werden die IP-Adressen
mittels DHCP beim Urladen bestimmt. Die IP-Adresseninformation wird
zum Richtlinien-Server gesandt. In einer Ausführungsform werden Nutzer mit dem
Server-Gerät 312 und
dem Client-Gerät 314 assoziiert
und sowohl die Nutzer- als auch die IP-Adresseninformation werden
an den Richtlinien-Server gesandt. In einer Ausführungsform wird die Nutzerinformation unter
Einsatz eines Systems wie Microsoft Active Directory oder Safeword
Premier Access (SPA) beglaubigt und/oder autorisiert. In dieser
Ausführungsform
erlaubt der Einsatz solch eines Beglaubigungs-/Autorisierungssystems,
dass die einem Gerät
zugeordnete Richtlinie aus den mit einem Nutzer assoziierten Autorisierungen
abgeleitet werden kann.
-
Der
Richtlinien-Server verwendet danach die IP-Adresseninformation (und
die Nutzerinformation, in einer Ausführungsform), um die Client-Richtlinie 308 und
die Server-Richtlinie 310 aufzubauen. Die Client-Richtlinie 308 umfasst
die IP-Adresseninformation des Server-Geräts 312 und die Server-Richtlinie 310 umfasst
die IP-Adresseninformation des Client-Geräts 314. In einer Ausführungsform
umfassen die Client-Richtlinie 308 und die Server-Richtlinie 310 VPG-Tabellen
für die
jeweiligen Geräte.
Die Client- Richtlinie 308 wird
zum Client-Gerät 314 gesendet
und die Server-Richtlinie 310 wird zum Server-Gerät 312 gesendet.
-
In
einer Ausführungsform
der Erfindung funktioniert ein mehr verallgemeinertes assoziatives
Richtliniensystem zur Implementierung eines assoziativen Modells
wie folgt. Zuerst ereignet sich die Richtlinienspezifikation. Dies
involviert Spezifizieren der Services und der Rolle in der Assoziation.
Diese Beziehungen können Client,
Server, Peer-to-Peer oder einseitig gerichtet sein. Eine Peer-to-Peer-Einheit
ist ein Gerät
oder System das als ein Peer (Partner) zu einem anderen System (vs.
einem Client oder einem Server) fungiert. Sie vollstreckt eine "Peer-to-Peer" Service-Definition,
welche die IP-Adressen der Peers umfasst mit denen sie zu kommunizieren
berechtigt ist. Eine einseitig gerichtete Einheit ist eine, bei
der die abgesetzte Einheit nicht Teil des Richtlinien-Vollstreckungssystems
ist. Einheiten, die nicht an dem „Address Resolution"-Prozess teilnehmen
werden in einer Ausführungsform,
unter der „single-ended" Beziehung gehandhabt.
-
Danach
findet Einheitenbindung statt. Dies bindet eine Einheit an ein Gerät. In einer
Ausführungsform wird
die Einheit an einen Gerätesatz
gebunden. In einer Ausführungsform
wird die Einheit weiter an eine Rolle (z.B., einen Nutzer;.:) gebunden.
Die Einheit wird dann an eine Richtlinie gebunden, die sich auf
einem Richtlinien-Server befinden könnte.
-
Nach
dem Binden finden Richtlinienklärung
und Verteilung statt. Diese Phase klärt die Richtlinienspezifikation
(z.B., bindet eine IP-Adresse an eine Einheit) und wandelt die menschliche
Repräsentation
der Richtlinie in eine maschinenvollstreckbare Richtlinie um.
-
Schließlich findet
Richtlinienvollstreckung statt. Diese Phase implementiert eigentlich
die Richtlinie/Regeln für
die Einheiten in der Beziehung.
-
In
einer Ausführungsform
werden die obigen Prozesse in einer oder mehreren Wiederholungen
wiederholt. Zum Beispiel, wenn ein zweiter Client zum Netzwerk hinzukommt,
wird die Information des zweiten Clients (z.B., IP-Adresse) der
Richtlinie des Servers hinzugefügt.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung wird ein Verfahren zum Managen einer assoziativen
Richtlinie auf einem Richtlinien-Server bereitgestellt. In dieser
Ausführungsform
umfasst das Verfahren das Bereitstellen einer Richtlinie mit einer
Service-Definition (wobei die Service-Definition einen oder mehrere
Regelsätze
aufweist, die jeweils einen oder mehrere Platzhalter enthalten),
Spezifizieren einer mit jedem Regelsatz assoziierten Rolle, funktionsfähiges Koppeln
eines oder mehrerer Geräte
an den Richtlinien-Server und nach solchem Kopplen Umwandeln der
Richtlinie in eine oder mehrere Geräte-Richtlinien durch Einfügen von
Geräteinformationen
in die Platzhalter für
jeden Regelsatz und Verteilen der Geräte-Richtlinien auf die entsprechenden
Geräte.
-
In
einigen Ausführungsformen
umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition das Bereitstellen
einer Sicherheitsrichtlinie mit einer Service-Definition. In einigen
Ausführungsformen
umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition
das Bereitstellen einer Richtlinie mit einer Service-Definition,
wobei die Service-Definition einen oder mehrere Regelsätze aufweist
und wobei jeder Regelsatz eine oder mehrere Paketfilterungsregeln
umfasst. In einigen Ausführungsformen
umfasst das Bereitstellen einer Richtlinie mit einer Service-Definition
das Bereitstellen einer Richtlinie mit einer Service-Definition, wobei
die Service-Definition einen oder mehrere Regelsätze aufweist, die jeweils einen
oder mehrere „Producer"- oder „Consumer"-Platzhalter enthalten.
-
In
einigen Ausführungsformen
umfasst das Spezifizieren einer Rolle, die mit jedem Regelsatz assoziiert
ist, das Spezifizieren einer Rolle, die aus einer Gruppe ausgewählt wird,
die aus einer Client-Rolle,
einer Server-Rolle, einer Peer-to-Peer-Rolle und einer „single-ended" Rolle besteht.
-
In
einigen Ausführungsformen
umfasst funktionsfähiges
Koppeln eines oder mehrerer Geräte
an den Richtlinien-Server das funktionsfähige Koppeln eines oder mehrerer
Geräte,
die Elemente einer VPG oder eines VPN sind, an den Richtlinien-Server.
In einigen Ausführungsformen
umfasst funktionsfähiges
Koppeln eines oder mehrerer Geräte
an den Richtlinien-Server das funktionsfähige Koppeln erster und zweiter
Geräte
an den Richtlinien-Server, wobei das erste Gerät ein Element einer ersten
VPG (virtuellen privaten Gruppe) ist und wobei das zweite Gerät ein Element
einer zweiten VPG ist. In einigen Ausführungsformen umfasst das funktionsfähige Koppeln
eines oder mehrerer Geräte
an den Richtlinien-Server
das funktionsfähige
Koppeln eines oder mehrerer Geräte
mit (IP-) Internet-Protokoll-Adressen an den Richtlinien-Server
und wobei die Geräte-IP-Adressen
in Übereinstimmung
mit dem DHCP (Dynamic Host Configuration Protocol zugeordnet werden.
In einigen Ausführungsformen
umfasst das funktionsfähige
Koppeln eines oder mehrerer Geräte
an den Richtlinien-Server das funktionsfähige Koppeln eines oder mehrerer
drahtloser Geräte
an den Richtlinien-Server.
-
In
einer weiteren Ausführungsform
der vorliegenden Erfindung ist ein computerimplementiertes Verfahren
auf einem Client bereitgestellt. In dieser Ausführungsform umfasst das Verfahren
das Erlangen von Urladeinformation für den Client, das Erlangen
von Rolleninformation für
einen Nutzer auf dem Client, Senden der Urladeinformation und der
Rolleninformation an einen Richtlinien-Server, Erlangen einer clientspezifischen Sicherheitsrichtlinie
vom Richtlinien-Server und Vollstrecken der clientspezifischen Sicherheitsrichtlinie
auf dem Client, wobei die clientspezifische Sicherheitsrichtlinie
Sicherheitsinformation über
einen Server einschließt,
der mit dem Client assoziiert ist und wobei die Sicherheitsinformation
auf Urladeinformation und Rolleninformation für den Server beruht.
-
In
einigen Ausführungsbeispielen
umfasst Erlangen von Urladeinformation für den Client das Erlangen einer
(IP-) Internet-Protokolladresse des Clients. In einigen Ausführungsformen
umfasst das Erlangen einer IP-Adresse des Clients das Erlangen einer
IP-Adresse des Clients, die mithilfe von DHCP zugeordnet worden ist.
-
In
einigen Ausführungsformen
umfasst das Verfahren weiter das Beglaubigen der Rolleninformation für den Nutzer
auf dem Client.
-
Die 4 veranschaulicht
ein Blockdiagramm einer Service-Definition mit Client- und Server-Komponenten, gemäß einer
Ausführungsform
der vorliegenden Erfindung. Die 4 zeigt
Service 400, Client-Richtlinie 404, Server-Richtlinie 402,
Client 406 und Server 408. Service 400 ist
ein betrieblicher (DNS-) Domänennamensystem-Service.
Es umfasst eine Client-Komponente und eine Server-Komponente. Die
Client-Komponente enthält
einen DNS-Client-Regelsatz und einen DNS-Server-Regelsatz. Der DNS-Client-Regelsatz
umfasst ein „Producer" Feld (mit einem
Platzhalter für „Producer"-Wert). Dieses Feld
wird vom Server 408 geklärt. In einer Ausführungsform
wird die IP-Adresse des Servers 408 als ein Wert in das „Producer" Feld eingefügt, wenn
der Server 408 initialisiert wird. Der DNS-Server-Regelsatz
umfasst ein „Consumer" Feld (mit einem
Platzhalter für „Consumer"-Wert). Dieses Feld
wird vom Client 406 geklärt. In einer Ausführungsform wird
die IP-Adresse des Clients 406 als ein Wert in das „Consumer" Feld eingefügt, wenn
der Client 406 initialisiert wird. Die Client-Komponente
des Service 400 wird verwendet die Client-Richtlinie 404 zu
schaffen, die dann an den Client 406 gebunden wird. Ebenso
wird die Server-Komponente 400 verwendet die Server-Richtlinie 402 zu
schaffen, die dann an den Server 408 gebunden wird.
-
Die 5A und 5B veranschaulichen
Blockdiagramme verschiedener Service-Definitionen mit Client- und Server-Komponenten,
gemäß gewissen
Ausführungsformen
der vorliegenden Erfindung. Die 5A zeigt
eine (HTTP-) „Hypertext
Transfer Protocol" Service-Definition 500.
Die HTTP-Service-Definition 500 dient als ein Beispiel
eines Service, der auf einem Richtlinien-Server in einer Ausführungsform
der vorliegenden Erfindung definiert sein könnte. Die HTTP-Service-Definition 500 umfasst
eine Client-Komponente (HTTP-Client) und eine Server-Komponente
(HTTP-Server). Die Client-Komponente
umfasst einen Platzhalter für
ein „Producer" Feld, das durch
einen Server geklärt
werden soll und die Server-Komponente umfasst einen Platzhalter
für ein „Consumer" Feld, das durch
einen Client geklärt
werden soll. Die Client-Komponente kann dann, in einem Ausführungsbeispiel,
vom Richtlinien-Server
verwendet werden eine clientspezifische Richtlinie zu schaffen,
die an den Client gebunden ist und die Server-Komponente kann verwendet
werden eine serverspezifische Richtlinie zu schaffen, die an den
Server gebunden ist. Die HTTP-Service-Definition 500 blendet die
Details der „Producer" und „Consumer" Information aus,
die später
durch den Server bzw. Client geklärt wird, wenn die individuellen
Richtlinien geschaffen werden. Dies berücksichtigt mehr generische
und Topologie unabhängige
Service-Definitionen.
-
Die 5B zeigt
eine Mail-Service-Definition 502. Die Mail-Service-Definition 502 dient
als ein weiteres Beispiel eines Service, der auf einem Richtlinien-Server
in einer Ausführungsform
der vorliegenden Erfindung definiert werden könnte. Die Mail-Service-Definition 502 umfasst
eine Client-Komponente
und eine Server-Komponente. Die Client-Komponente umfasst eine "Simple Mail Transfer
Protocol" (SMTP)
Client-Komponente und eine "Post
Office Protocol 3" (POP3)
Client-Komponente. Die Client-Komponenten SMTP und POP3 umfassen
jeweils einen Platzhalter für
ein „Producer" Feld, das durch
einen Server zu klären ist.
Die Server-Komponente umfasst eine SMTP-Server-Komponente und eine
POP3-Server-Komponente. Die Server-Komponenten SMTP und POP3 umfassen
jeweils einen Platzhalter für
ein „Consumer" Feld, das von einem
Client zu klären
ist. In einer Ausführungsform
sind ein SMTP-Client
(in der Mail-Service-Defintion 502 an die SMTP-Client-Komponente
gebunden) und ein POP3-Client
(an die POP3-Client-Komponente gebunden) Elemente einer VPG. In
dieser Ausführungsform
würde der
Richtlinien-Server Verschlüsselungscode für die VPG
an den SMTP-Client und den POP3-Client zwecks zusätzlicher
Kommunikationssicherheit senden.
-
Die
folgende Tabelle zeigt ein Beispiel eines HTTP-Client-Regelsatzes
mit einer Client-HTTP-Senderegel
(Tx) und einer Client-http-Empfangsregel (Rx).
TABELLE
1: HTTP-Client-Regelsatz
-
Wie
in der Tabelle 1 zu sehen ist, enthält die Client-HTTP-Senderegel
eine Variable, die mit "destinationHostID" bezeichnet ist und
die Client-HTTP-Empfangsregel enthält eine Variable, die mit "sourceHostID" bezeichnet ist.
Jede dieser Variablen hat einen Platzhalterwert von „PRODUCER". Dieser Platzhaltername wird
zur Zeit der Richtlinienkonstruktion spezifiziert. In einer Ausführungsform
wird ein Richtlinien-Server mit einer Client- und Servereinheit
gekoppelt sein. Nach dem Koppeln wird die Servereinheit dem Richtlinien-Server
ihre IP-Adresseninformation (in einer Ausführungsform) senden und der
Richtlinien-Server wird dynamisch eine clientspezifische Richtlinie
schaffen und die IP-Adresseninformation
des Servers in den „PRODUCER"-Platzhalter dieser
Richtlinie einfügen.
Dann wird der Richtlinien-Server der Client-Einheit eine Kopie der clientspezifischen
Richtlinie senden, welche die spezifische IP-Adresseninformation
des Servers enthält.
-
In
verschiedenen Ausführungsformen
der Erfindung könnten
verschiedene unterschiedlich Regelsätze (oder Service-Komponenten)
für die
Service-Definitionen in Richtlinien definiert sein, die von einem
Richtlinien-Server gemanagt werden. Die Tabelle 1 zeigt ein Beispiel
eines HTTP-Client-Regelsatzes.
Die nachstehende Tabelle 2 zeigt Beispiele davon und viele andere
Regelsätze,
die in einem Service definiert sein können. Die Tabelle 2 wird nur
zu Beispielzwecken verwendet und umfasst eine nicht exklusive Liste
von Regelsätzen (oder
Komponenten), die verwendet werden können. Einige der Regelsätze könnten extra
Platzhalter über „PRODUCER" und „CONSUMER" hinaus erfordern.
TABELLE
2: Beispiele von Regelsätzen
-
In
anderen Ausführungsformen
sind andere Regelsätze
(über jene
von Client und Server hinaus) in den Service-Definitionen inbegriffen.
-
6 veranschaulicht
ein Blockdiagramm der Richtlinienspezifikationsverteilung von einem
Firmenbüro
zu Außendienstbüros, gemäß einer
Ausführungsform
der vorliegenden Erfindung. Die 6 zeigt
das Firmenbüro 600 und
die Außendienstbüros 602 und 604.
Beim Richtlinienspezifikations-Verteilungsvorgang werden
im Firmenbüro 600 verschiedene
Richtlinien geschrieben. In dem Beispiel, das in der 6 gezeigt ist,
wurden eine „Richtlinie
X" und eine „Richtlinie
Y" geschrieben.
Die "Richtlinie
X" umfasst einen
Service mit einer DNS-Client-Komponente (oder Regelsatz, in einer
Ausführungsform)
und die "Richtlinie
Y" umfasst einen Service
mit einer DNS-Server-Komponente (oder Regelsatz, in einer Ausführungsform). "Richtlinie X" und' Richtlinie Y" sind generische
Richtlinienspezifikationen und enthalten keine cient- oder serverspezifische
Details, die netzwerk- oder topologieabhängig sind (wie beispielsweise
IP-Adressen, etc.). Diese generischen Richtlinien werden dann an
die Außendienstbüros 602 und 604 exportiert.
In diesen Außendienstbüros werden die
Richtlinien verschiedenen Gerätesätzen zugeordnet.
Nach Zuordnung werden, in den verschiedenen Gerätesätzen, die DNS-Client- und Server-Komponenten durch
die Geräte
geklärt
und an diese gebunden. Es ist nur dann, dass netzwerkabhängige Informationen,
wie beispielsweise IP-Adressen der Geräte, in die spezifischen von
den Geräten
verwendeten Richtlinien aufgenommen werden. Das in der 6 gezeigte
Verteilungssystem erlaubt, dass generische Richtlinien im Firmenbüro 600 verfasst
und an die Außendienstbüros 602 und 604 exportiert
werden können.
Auf diese Art und Weise kann eine konsequente Sicherheitsrichtlinie ständig überall in
den Außendienstbüros vollstreckt
werden.
-
Gewisse
Ausführungsformen
der vorliegenden Erfindung sind mit virtuellen privaten Gruppen
(VPG's) verknüpft. Dies
schafft verschlüsselt
geschützte
Tunnel zwischen Geräten
auf der Basis der durch einen Administrator definierten Assoziationen.
-
In
verschiedenen Ausführungsformen
reduziert ein System, das eine assoziative Richtlinie implementiert,
Fehler und Arbeit, indem es dem Administrator ermöglicht Services
(z.B. FTP) zu identifizieren und dann Richtlinien als Sammlungen
von Services zu bauen. Wenn diese Services dann mit Geräten assoziiert
werden, klärt
der Richtlinien-Server IP-Adressen automatisch und stellt den gemanagten Geräten eine
aktualisierte Richtlinie bereit. Es gibt viele Nutzen und Vorteile
für so
eine Vorgehensweise, im Vergleich zu anderen traditionellen Vorgehensweisen.
Einige dieser Nutzen und Vorteile werden nachstehend besprochen.
-
Hinzugefügte(r) zusätzliche(r)
Server
-
Traditionelle "single ended" Richtlinienmodelle
erfordern typisch, dass der Administrator ausdrücklich den DNS-Namen oder die
IP-Adresse von Servern spezifiziert, sodass die Filterungsregeln
an der Firewall oder in Zwischengeräten (wie beispielsweise Routern)
instantiiert werden können.
Wenn eine Organisation, in solchen traditionellen Modellen, einen
zusätzlichen
Server hinzufügt
(für Lastverteilung,
Fehlertoleranz, etc.), muss der Administrator die bestehenden Richtlinien
aktualisieren, um die IP-Adresse oder den DNS-Namen des Servers
allen der zutreffenden Client-/Router Richtlinien hinzufügen. Jedoch
in einigen Ausführungsformen
der vorliegenden Erfindung, die eine assoziative Richtlinie benutzen,
assoziiert der Administrator einfach den neuen Server mit dem bestehenden
Server-Gerätesatz
und alle der Client-Richtlinien
werden automatisch ohne Modifizieren einer einzelnen Richtlinie
aktualisiert.
-
Versetzte(r) bestehende(r)
Server
-
Im
Allgemeinen sind Server stationäre,
stabile Hosts. Aber gelegentlich muss ein Server wegen einer Netzwerkänderung
(z.B. Hinzufügen
eines Routers) oder wegen einer organisatorischen Änderung
versetzt werden. Typisch müssen,
wenn dies geschieht, die Sicherheitsrichtlinien aktualisiert werden
(in einem traditionellen System), um allen der Clients Zugriff auf
die neue IP-Adresse zu ermöglichen.
Aber in gewissen Ausführungsformen
der vorliegenden Erfindung lernen die assoziativen Richtlinien-Mechanismen
die IP-Adresse des Servers jedes Mal wenn er urladet und die Adresse
wird in die Richtlinien des Clients geschrieben, der in Bezug auf
den Server zugriffsberechtigt ist.
-
Eine
weitere Erwägung
ist die Verwendung von DHCP. DHCP wird verwendet Workstations IP-Adressen zuzuordnen.
Dies kann IP-Adressen-Administration für Netzwerkadministratoren vereinfachen,
aber es verursacht auch Probleme für Sicherheitsrichtlinien, die
auf IP-Adressen beruhen. Nehmen wir, zum Beispiel, an, dass ein(e)
Nutzer/Workstation Zugriffsberechtigung auf einen Datenbankserver
hat, wogegen ein zweite(r) Nutzer/Workstation keine hat. Die Sicherheitsrichtlinie
des Datenbankservers könnte
die IP-Adresse des/der
berechtigten Nutzers/Workstation einschließen. Wenn sich aber die IP-Adresse
des/der Nutzers/Workstation, aufgrund der Verwendung von DHCP ändert, ist
die Datenbankrichtlinie nicht länger
gültig.
Aufgrund der Schwierigkeit auf IP-Adresse beruhende Richtlinien
in dieser dynamischen Umgebung zu managen, haben in der Vergangenheit
viele Sicherheitsadministratoren aufgegeben und versuchen nicht
IP-Adressen-Begrenzungen zu vollstrecken. Doch gewisse Ausführungsformen
der vorliegenden Erfindung verwenden ein assoziatives Richtlinienmodell
und Unterstützungsmechanismen,
um dieses Problem anzugehen, in dem beim Urladen jedes Mal die IP-Adresse
des/der Nutzers/Workstation gelernt wird. Diese Adresse wird dann
in die Richtlinie der Datenbank geladen. Dies stellt höchste Sicherheit
ohne die Kosten der manuellen Verwaltung von Adressen bereit.
-
Netzwerk unabhängige Richtlinienspezifikation
-
Häufig hat
eine Organisation Experten für
Firewall und Richtlinienspezifikation in einem zentralen Büro verfügbar, während viele
der Administratoren in kleineren Standorten weniger Training und
Erfahrung haben. Es besteht eine Notwendigkeit für einen Mechanismus, der den
hoch qualifizierten zentralen Administratoren ermöglicht portable
Richtlinien zu schreiben, die von weniger qualifizierten Administratoren
importiert und verwendet werden können. Der assoziative Richtlinienspezifikationsplan
der verschiedenen Ausführungsformen der
vorliegenden Erfindung lässt
zu, dass eine Richtlinie unabhängig
von den Maschinennamen, IP-Adressen oder von abgesetzter Netzwerktopologie
geschrieben werden kann. Der eine, außerhalb des Standorts konstruierte,
assoziative Richtlinie importierende Administrator braucht (in einer
Ausführungsform)
nur Maschinen mit ihren Rollen/Gerätesätzen assoziieren. Der importierende
Administrator braucht keine Protokolle, Portnummern, IP-Adressen
oder die Information auf Zwischengeräten wie Routers spezifizieren.
-
Dynamische
Mitgliedschaft für
Peer-to-Peer-Services
-
Ein
Administrator muss vielleicht einen Peer-to-Peer-Netzwerkservice
(z.B., Microsoft NetMeeting) definieren, dessen Mitglieder häufig wechseln.
Die traditionelle Vorgehensweise zur Konstruktion einer Richtlinie für den Zweck
der Spezifizierung erlaubter Kommunikation identifiziert aktuelle
Mitglieder durch ihre IP-Adressen. Resultierende Richtlinien sind
fehleranfällig
und teuer zu verwalten, weil sich die IP-Adressen ständig ändern. Der
asoziative Richtlinienspezifikationsplan verschiedener Ausführungsformen
der vorliegenden Erfindung ermöglichen
dem Administrator aber Mitglieder hinzuzufügen oder fallen zu lassen,
indem er bloß den Service
den Mitgliederrichtlinien hinzufügt
oder von diesen entfernt. Die Richtlinien erfordern keine ausdrücklichen
IP-Adressen (an der Managementschnittstelle), um aktuelle Clients
des Service zu identifizieren. Daher ändert sich die Richtlinie selbst
nicht sowie sich Mitgliedschaft ändert.
-
Ephemere (vorübergehende)
Ports
-
Viele
Anwendungen (z.B., Microsoft NetMeeting) verwenden keinen einzelnen
gut bekannten Port. Stattdessen wählen sie Ports zufällig aus.
Dies macht es äußerst schwierig
effektive Paketfilter zu schreiben. Eine traditionelle Vorgehensweise
bezüglich
dieses Problems ist gewesen, "Stateful" Paketinspektion
zu verwenden. Aber dies stellt nur sicher, dass eine Sitzung dem
Protokollzustandsautomat richtig folgt. Sie bestimmt nicht, ob die
Kommunikation mit der abgesetzten (fernen) Adresse tatsächlich autorisiert
ist. Die assoziative Richtlinienvorgehensweise gewisser Ausführungsformen
der vorliegenden Erfindung erlauben Richtlinienvollstreckungsgerät tatsächlich zu
bestimmen, ob Kommunikationen mit der abgesetzten bzw. fernen Einheit
auf dem Bereich von Ports autorisiert ist. Wenn assoziative Richtlinie
mit VPG- oder VPN-Technologie (in einigen Ausführungsformen) kombiniert wird,
vereitelt es außerdem
Spoofing der fernen Adresse.
-
Obwohl
spezifische Ausführungsformen
hierin veranschaulicht und beschrieben worden sind, werden jene
mit durchschnittlichem Fachwissen zum Schluss gelangen, dass jede
Anordnung, die berechnet ist, den gleichen Zweck zu erzielen, die
gezeigte spezifische Ausführungsform
ersetzen könnte.
Diese Anwendung soll beliebige Adaptionen oder Variationen der beschriebenen
Ausführungsformen
der vorliegenden Erfindung abdecken.
-
Die
vorliegende Erfindung kann durch Software oder programmierbare Datenverarbeitungsvorrichtung implementiert
werden. Dies schließt
jeden Computer, einschließlich
PDAs (Organizers), Mobiltelefone (Handys), etc. ein. Daher umfasst
die vorliegende Erfindung ein Trägermedium,
das computerlesbaren Code zum Konfigurieren eines Computers oder
einer Reihe von Computern als Vorrichtung der Erfindung trägt. Das
Trägermedium
kann ein transientes Medium, z.B. ein elektrisches, optisches, Mikrowellen-,
HF-, elektromagnetisches, akustisches oder magnetisches Signal (z.B.
ein TCP/IP-Signal über
ein IP-Netzwerk wie beispielsweise das Internet) oder ein Trägermedium
wie beispielsweise eine Floppy Disk, CD ROM, Festplatte oder ein
programmierbares Speichergerät
umfassen.