Title:
IDENTIFIZIEREN EINES NICHTBERECHTIGTEN ODER FEHLERHAFT KONFIGURIERTEN DRAHTLOSEN NETZZUGANGS UNTER VERWENDUNG VON VERTEILTEN ENDPUNKTEN
Kind Code:
B4


Abstract:

System zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das System aufweist:
eine Vielzahl von Netzendpunkten;
eine Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, wobei die Agenten so ausgelegt sind, dass sie WAPs periodisch lokalisieren und lokalisierte WAPs an eine zentrale Entität berichten; und
eine zentrale Entität, die funktionsmäßig in der Lage ist, Informationen in Bezug auf lokalisierte WAPs von der Vielzahl von Agenten zu empfangen, dass sie ermittelt, ob zumindest ein bestimmter der lokalisierten WAPs geprüft werden muss, und dass sie ein aktives Prüfen von lokalisierten WAPs einleitet, wenn festgestellt wird, dass der bestimmte der lokalisierten WAPs geprüft werden muss,
wobei die zentrale Entität
a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und
b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert,
wobei die zentrale Entität aufweist:
ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt;
ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist;
eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist,
ein Steuermodul, das mit der Datenbank verbunden ist
und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.




Inventors:
Escamilla, Terry Dwain, Col. (Boulder, US)
Lingafelt, Charles Steven, N.C. (Research Triangle Park, US)
Safford, David Robert, N.Y. (Hawthorne, US)
Application Number:
DE102013206353A
Publication Date:
01/25/2018
Filing Date:
04/11/2013
Assignee:
International Business Machines Corporation (N.Y., Armonk, US)



Foreign References:
72571072007-08-14
73366702008-02-26
78089582010-10-05
200500605762005-03-17
200600688112006-03-30
200700027622007-01-04
200700585982007-03-15
201003331772010-12-30
201100831652011-04-07
201200235522012-01-26
Attorney, Agent or Firm:
Richardt Patentanwälte PartG mbB, 65185, Wiesbaden, DE
Claims:
1. System zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das System aufweist:
eine Vielzahl von Netzendpunkten;
eine Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, wobei die Agenten so ausgelegt sind, dass sie WAPs periodisch lokalisieren und lokalisierte WAPs an eine zentrale Entität berichten; und
eine zentrale Entität, die funktionsmäßig in der Lage ist, Informationen in Bezug auf lokalisierte WAPs von der Vielzahl von Agenten zu empfangen, dass sie ermittelt, ob zumindest ein bestimmter der lokalisierten WAPs geprüft werden muss, und dass sie ein aktives Prüfen von lokalisierten WAPs einleitet, wenn festgestellt wird, dass der bestimmte der lokalisierten WAPs geprüft werden muss,
wobei die zentrale Entität
a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und
b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert,
wobei die zentrale Entität aufweist:
ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt;
ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist;
eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist,
ein Steuermodul, das mit der Datenbank verbunden ist
und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.

2. System nach Anspruch 1, wobei das aktive Prüfen von lokalisierten WAPs durch einen Agenten durchgeführt wird, der auf einem entsprechenden Endpunkt ausgeführt wird.

3. System nach Anspruch 1, wobei die zentrale Entität funktionsmäßig in der Lage ist, ein oder mehrere vorgeschriebenen Geschäftskriterien anzuwenden, um zu ermitteln, ob der zumindest eine der lokalisierten WAPs geprüft werden muss.

4. System nach Anspruch 1, wobei zumindest ein Teilsatz der Agenten funktionsmäßig in der Lage ist, einen oder mehrere WAPs im Datenübertragungsnetz während vorgeschriebener Zeitintervalle zu lokalisieren.

5. System nach Anspruch 4, wobei die vorgeschriebenen Zeitintervalle, in denen der Teilsatz der Agenten funktionsmäßig in der Lage ist, einen oder mehrere WAPs zu lokalisieren, periodisch sind.

6. System nach Anspruch 1, wobei die zentrale Entität funktionsmäßig in der Lage ist, über das Empfangsmodul und/oder das Berichterstattungs- und Warnungsausgabemodul und/oder die Datenbank und/oder das Steuermodul zumindest einen der Vielzahl von Agenten so zu steuern, dass er vorgeschriebene Informationen in der Datenbank speichert, um zu ermitteln, ob der zumindest eine der lokalisierten WAPs geprüft werden muss, dass er eine oder mehrere Nachrichten empfängt, die einen bestimmten WAP unter Beobachtung und das Datenübertragungsnetz durchqueren, und dass sie einen vorgeschriebenen Zustand des bestimmten WAP in Abhängigkeit der empfangenen Nachrichten berichtet.

7. System nach Anspruch 1, wobei zumindest ein Teilsatz der Vielzahl von Netzendpunkten unter der Steuerung des Steuermoduls funktionsmäßig in der Lage ist, einen oder mehrere entsprechende WAPs periodisch zu überwachen.

8. System nach Anspruch 1, wobei ein ausgewählter Endpunkt im Rahmen des Durchführens einer aktiven Prüfung eines bestimmten WAP und eines Netzes, das dem bestimmten WAP entspricht, funktionsmäßig in der Lage ist, eine Verbindung mit dem bestimmten WAP herzustellen, um zumindest eine Anforderung an Netzressourcen zu senden und eine Antwort von dem bestimmten WAP auf die zumindest eine Anforderung zu beobachten.

9. System nach Anspruch 8, wobei die zumindest eine Anforderung ein Dynamic Host Configuration Protocol-Pingsignal aufweist.

10. Computerprogrammprodukt zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das Computerprogrammprodukt ein computerlesbares Speichermedium aufweist, das einen computerlesbaren Programmcode beinhaltet, wobei der computerlesbare Programmcode aufweist:
einen computerlesbaren Programmcode, der so konfiguriert ist, dass er einen auf einem Endpunkt im Datenübertragungsnetz ausgeführten Agenten dazu veranlasst, einen oder mehrere WAPs im Datenübertragungsnetz zu lokalisieren;
einen computerlesbaren Programmcode, der so konfiguriert ist, dass er den Agenten dazu veranlasst, zumindest einen lokalisierten WAP an eine zentrale Entität zu berichten;
einen computerlesbaren Programmcode, der so konfiguriert ist, dass er die zentrale Entität dazu veranlasst, Schritte des Anwendens von vorgeschriebenen Kriterien, um zu ermitteln, ob der zumindest eine lokalisierte WAP geprüft werden muss, und des Einleitens einer aktiven Prüfung des zumindest einen lokalisierten WAP durchzuführen, wenn ermittelt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist,
wobei die zentrale Entität
a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und
b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert,
wobei die zentrale Entität aufweist:
ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt;
ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist;
eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist,
ein Steuermodul, das mit der Datenbank verbunden ist
und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.

11. Vorrichtung zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei die Vorrichtung aufweist:
zumindest einen Prozessor, wobei der zumindest eine Prozessor so betreibbar ist, dass er: (i) einen Agenten aktiviert, so dass dieser auf zumindest einen Endpunkt im Datenübertragungsnetz ausgeführt wird, wobei der Agent so ausgelegt ist, dass er einen oder mehrere WAPs im Datenübertragungsnetz lokalisiert; (ii) Informationen in Bezug auf zumindest einen lokalisierten WAP vom Agenten empfängt; (iii) vorgeschriebene Kriterien anwendet, um zu ermitteln, ob der lokalisierte WAP geprüft werden muss; und (iv) das aktive Prüfen des lokalisierten WAP einleitet, wenn ermittelt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist,
wobei die zentrale Entität
a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und
b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert,
wobei die zentrale Entität aufweist:
ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt;
ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist;
eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist,
ein Steuermodul, das mit der Datenbank verbunden ist
und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.

12. Verfahren zum Identifizieren von zumindest einem von nichtberechtigten und fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz, wobei das Verfahren die Schritte aufweist:
ein auf einem Endpunkt im Datenübertragungsnetz ausgeführter Agent lokalisiert einen oder mehrere WAPs im Datenübertragungsnetz;
der Agent berichtet zumindest einen lokalisierten WAP an eine zentrale Entität; und
die zentrale Entität führt Schritte des Anwendens von vorgeschriebenen Kriterien, um zu ermitteln, ob der zumindest eine lokalisierte WAP geprüft werden muss, und des Einleitens einer aktiven Prüfung des zumindest einen lokalisierten WAP aus, wenn ermittelt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP zumindest nichtberechtigt und/oder fehlerhaft konfiguriert ist,
wobei die zentrale Entität
a) passive Daten zu Lokalisierungs-Operationen, und aktive Daten zu Prüf-Operationen, sammelt und analysiert und
b) die Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden, auf der Grundlage dieser Ergebnisse steuert,
wobei die zentrale Entität aufweist:
ein Empfangsmodul, das so ausgelegt ist, dass es Informationen von einem oder mehreren der WAPs empfängt;
ein Berichterstattungs- und Warnungsausgabemodul, das mit dem Empfangsmodul verbunden ist;
eine Datenbank, die mit dem Empfangsmodul und dem Berichterstattungs- und Warnungsausgabemodul verbunden ist,
ein Steuermodul, das mit der Datenbank verbunden ist
und wobei das Steuermodul funktionsmäßig in der Lage ist, vorgeschriebene, in der Datenbank gespeicherte Regeln anzuwenden, um einen Konfigurationsstatus eines beobachteten WAP zu ermitteln, um zu bestimmen, ob der beobachtete WAP von dem zumindest einen der Vielzahl von Netzendpunkten geprüft werden sollte.

13. Verfahren nach Anspruch 12, wobei der zumindest eine Agent im Datenübertragungsnetz so ausgelegt ist, dass er das aktive Prüfen des lokalisierten WAP durchführt.

14. Verfahren nach Anspruch 12, ferner aufweisend das Auswählen zumindest eines Endpunkts im Datenübertragungsnetz, um das aktive Prüfen durchzuführen, und das Anweisen des Endpunkts, so dass dieser ein aktives Prüfen des lokalisierten WAP durchführt.

15. Verfahren nach Anspruch 14, wobei das Auswählen eines Endpunkts, so dass dieser das aktive Prüfen durchführt, von der zentralen Entität in Abhängigkeit von einer oder mehreren vorgeschriebenen Geschäftsregeln durchgeführt wird.

16. Verfahren nach Anspruch 12, ferner aufweisend das Erzeugen einer Warnung, wenn ermittelt wird, dass der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist.

17. Verfahren nach Anspruch 12, wobei der Agent so ausgelegt ist, dass er einen oder mehrere WAPs im Datenübertragungsnetz während vorgeschriebener Zeitintervalle lokalisiert.

18. Verfahren nach Anspruch 17, wobei die vorgeschriebenen Zeitintervalle periodisch sind.

19. Verfahren nach Anspruch 12, ferner aufweisend das Auswählen einer Vielzahl von Endpunkten im Datenübertragungsnetz, um ein aktives Prüfen eines bestimmten lokalisierten WAP einzuleiten.

20. Verfahren nach Anspruch 12, wobei der Schritt des aktiven Prüfens des zumindest einen lokalisierten WAP das Herstellen einer Verbindung mit dem WAP, das Senden zumindest einer Anforderung an Netzressourcen und das Beobachten einer Antwort vom WAP auf die zumindest eine Anforderung aufweist.

Description:
Gebiet der Erfindung

Die vorliegende Erfindung bezieht sich im Allgemeinen auf die Gebiete der Elektrotechnik, Elektronik und Computertechnik und mehr im Detail auf sichere drahtlose Datenübertragung. Die US 7 808 958 B1 und die US 7 336 670 B1 beschreiben Verfahren zur Detektion von missbräuchlich benutzbaren drahtlosen Netzzugängen.

Hintergrund

Der drahtlose Netzbetrieb ist zu einem allgemein verwendeten Datenübertragungsmittel geworden. Unternehmen aller Größen richten Drahtlosnetze (z. B. unter Verwendung eines IEEE-802.11-Protokollstandards oder dergleichen) aus zahlreichen Gründen ein, beispielsweise um Verkabelungskosten zu verringern, eine Konnektivität in großen Büroräumen oder Lagerhallen bereitzustellen, aus Gründen der Zweckdienlichkeit für Mitarbeiter, um für Gäste aus Gefälligkeit einen Zugang bereitzustellen, um Fernzugriff auf Daten bereitzustellen usw., ohne jedoch darauf beschränkt zu sein. Da wichtige Geschäftsinformationen zunehmend mit drahtlosen Datenübertragungssystemen übertragen werden, werden die Schwachstellen solcher Systeme allerdings häufig genutzt, um Zugang zu wichtigen Geschäftsinformationen und -systemen zu erhalten.

Probleme in Bezug auf die Sicherheit in drahtlosen lokalen Netzen (WLANs, Wireless Local Area Networks), z. B. Datenübertragung unter Verwendung eines IEEE-802.11-Drahtlosübertragungsprotokolls (WiFi), sind hinlänglich bekannt. Insbesondere hat das Problem von „offenen” drahtlosen Netzzugängen (WAPs, Wireless Access Points), die hinsichtlich Zugriffssteuerung nicht korrekt konfiguriert wurden (z. B. außer missbräuchlich benutzbare Netzzugänge), breite Aufmerksamkeit gefunden, darunter das Wardriving, das das Suchen nach WiFi-Drahtlosnetzen durch eine Person in einem Fahrzeug während der Fahrt beinhaltet, und das Warchalking, das das Zeichnen von Symbolen an öffentlichen Orten beinhaltet, um ein offenes WiFi-Drahtlosnetz anzuzeigen. Als Reaktion darauf wurden zahlreiche Drahtlos-Sicherheitssysteme entwickelt, die offene oder fehlerhaft konfigurierte WAPs erkennen und identifizieren wie beispielsweise unter anderem der Wireless Security Auditor (WSA) und der Distributed Wireless Security Auditor (DWSA) der IBM Corporation, Kismet-Produkte, Airmagnet, Wireless Control System (WCS) von Cisco. Trotz aktueller Bemühungen, den Zugriff durch WAPs zu steuern, sind die herkömmlichen Ansätze weiterhin mit beträchtlichen Problemen verbunden.

Kurzdarstellung

Vorteilhafterweise stellen Aspekte der vorliegenden Erfindung einen Mechanismus zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz (z. B. ein Unternehmens-Intranet) mit mehreren Endpunkten bereit. Um dies zu erreichen, platzieren veranschaulichende Ausführungsformen der Erfindung vorteilhafterweise einen Agenten an mehreren Endpunkten und veranlassen dann zumindest einen Teilsatz der Endpunkte auf der Grundlage der von den Endpunkten empfangenen Informationen und der Anwendung von vorgeschriebenen Kriterien (z. B. Geschäftsregeln) dazu, gewisse Aktionen durchzuführen, z. B. aktives Prüfen, um Informationen zu erzeugen, die ausreichend sind, um fehlerhaft konfigurierte und/oder unangemessene WAPs im Netz zu identifizieren.

Gemäß einer Ausführungsform der Erfindung enthält ein System zum Identifizieren von nichtberechtigten und/oder fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz eine Vielzahl von Netzendpunkten und eine Vielzahl von Agenten, die auf der Vielzahl von Endpunkten ausgeführt werden. Die Agenten sind so ausgelegt, dass sie WAPs periodisch lokalisieren und lokalisierte WAPs an eine zentrale Entität berichten. Das System enthält darüber hinaus eine zentrale Entität, die funktionsmäßig in der Lage ist, Informationen in Bezug auf lokalisierte WAPs von den Agenten zu empfangen, dass sie ermittelt, ob zumindest ein bestimmter der lokalisierten WAPs geprüft werden muss, und dass sie ein aktives Prüfen von lokalisierten WAPs einleitet, wenn festgestellt wird, dass der bestimmte der lokalisierten WAPs geprüft werden muss.

Gemäß einer weiteren Ausführungsform der Erfindung beinhaltet ein Verfahren zum Identifizieren von nichtberechtigten und/oder fehlerhaft konfigurierten WAPs in einem Datenübertragungsnetz die Schritte: ein auf einem Endpunkt im Datenübertragungsnetz ausgeführter Agent lokalisiert einen oder mehrere WAPs im Datenübertragungsnetz; der Agent berichtet zumindest einen lokalisierten WAP an eine zentrale Entität; und die zentrale Entität führt Schritte des Anwendens von vorgeschriebenen Geschäftsregeln aus, um zu ermitteln, ob der zumindest eine lokalisierte WAP geprüft werden muss, und des Einleitens einer aktiven Prüfung des zumindest einen lokalisierten WAP aus, wenn festgestellt wird, dass der zumindest eine lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist.

Gemäß einer noch weiteren Ausführungsform der Erfindung enthält eine Vorrichtung zum Identifizieren von nichtberechtigten und/oder fehlerhaft konfigurierten WAPs in einem Datenübertragungsnetz zumindest einen Prozessor. Der Prozessor ist funktionsmäßig in der Lage: (i) einen Agenten zu aktivieren, so dass dieser auf zumindest einen Endpunkt im Datenübertragungsnetz ausgeführt wird, wobei der Agent so ausgelegt ist, dass er einen oder mehrere WAPs im Datenübertragungsnetz lokalisiert; (ii) Informationen in Bezug auf zumindest einen lokalisierten WAP vom Agenten empfängt; (iii) vorgeschriebene Kriterien anwendet, um zu ermitteln, ob der lokalisierte WAP geprüft werden muss; und (iv) das aktive Prüfen des lokalisierten WAP einleitet, wenn festgestellt wird, dass der lokalisierte WAP geprüft werden muss, um zu ermitteln, ob der lokalisierte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist.

Wie hier verwendet, beinhaltet das „Vereinfachen” einer Aktion das Durchführen der Aktion, das Erleichtern der Aktion, das Erleichtern des Durchführens der Aktion oder das Veranlassen, dass die Aktion durchgeführt wird. Somit könnten Anweisungen, die auf einem Prozessor ausgeführt werden, beispielsweise eine Aktion vereinfachen, die durch die auf einem fernen Prozessor ausgeführten Anweisungen durchgeführt wird, und zwar durch Senden von entsprechenden Daten oder Befehlen, um zu veranlassen, dass die Aktion durchgeführt wird, oder um das Durchführen der Aktion zu erleichtern, ohne jedoch darauf beschränkt zu sein. Um jegliche Zweifel auszuschließen: Wenn ein Akteur eine Aktion anderweitig als durch Durchführen der Aktion vereinfacht, wird die Aktion nichtsdestotrotz von einer Entität oder einer Kombination aus Entitäten durchgeführt.

Ein/e oder mehrere Ausführungsformen der Erfindung oder Elemente davon kann bzw. können in Form eines Computerprogrammprodukts umgesetzt werden, beispielsweise in Form eines computerlesbaren Speichermediums mit einem durch einen Computer nutzbaren Programmcode zum Durchführen der angegebenen Verfahrensschritte. Darüber hinaus kann bzw. können ein/e oder mehrere Ausführungsformen der Erfindung oder Elemente davon in Form eines Systems (oder einer Vorrichtung) umgesetzt werden, das bzw. die einen Speicher und zumindest einen Prozessor enthält, der mit dem Speicher verbunden und funktionsmäßig in der Lage ist, er beispielhafte Verfahrensschritte auszuführen. Außerdem kann bzw. können ein/e oder mehrere Ausführungsformen der Erfindung oder Elemente davon in Form eines Mittels zum Durchführen eines oder mehrerer der hier beschriebenen Verfahrensschritte umgesetzt sein; wobei das Mittel beinhalten kann: (i) Hardware-Modul(e), (ii) Software-Modul(e), das bzw. die in einem computerlesbaren Speichermedium (oder mehreren solchen Medien) gespeichert und auf einem Hardware-Prozessor umgesetzt ist bzw. sind, oder (iii) eine Kombination aus (i) und (ii); wobei eines von (i) bis (iii) die spezifischen, hier angeführten Techniken umsetzt.

Techniken der vorliegenden Erfindung können wesentliche vorteilhafte technische Effekte bereitstellen. Beispielsweise können Ausführungsformen unter anderem einen oder mehrere der folgenden Vorteile bereitstellen:

  • • Verringern der Wahrscheinlichkeit, dass ein Datenübertragungsnetz durch nichtberechtigte Benutzer gefährdet wird, wodurch die Wahrscheinlichkeit von Datenverlust, fehlerhaften Daten oder verfälschten Daten verringert wird;
  • • Verringern der Wahrscheinlichkeit einer Infektion der Client-Infrastruktur durch einen Virus und/oder Malware;
  • • Sicherstellen der Einhaltung von Client-spezifischen oder behördlichen Sicherheitskonfigurationsstandards in Bezug auf WAPs;
  • • Schutz der Mitarbeiter in einem Unternehmens-Intranet davor, sich mit nichtberechtigten oder missbräuchlich benutzbaren WAPs zu verbinden, die versuchen, die Identität eines gültigen Client-WAP vorzutäuschen.

Somit können nichtberechtigte oder fehlerhaft konfigurierte WAPs mithilfe der Techniken gemäß Aspekten der Erfindung vorteilhaft erkannt werden, ohne dass eine Datenbank von „zulässigen” Netzzugängen geführt werden muss, die einer laufenden Aktualisierung bedarf.

Diese und andere Merkmale und Vorteile der vorliegenden Erfindung gehen aus der folgenden ausführlichen Beschreibung von veranschaulichenden Ausführungsformen davon hervor, die im Zusammenhang mit den beiliegenden Zeichnungen zu lesen ist.

Kurzbeschreibung der Zeichnungen

Die folgenden Zeichnungen sind lediglich beispielhaft und nicht einschränkend, wobei gleiche Bezugszeichen (wenn verwendet) entsprechende Elemente in den gesamten mehreren Ansichten anzeigen, und wobei:

1 ein Blockschaubild ist, das zumindest einen Teil eines beispielhaften Systems 100 gemäß einer Ausführungsform der Erfindung zeigt;

2 ein Ablaufplan ist, der zumindest einen Teil eines beispielhaften Verfahrens zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs in einem System (z. B. Datenübertragungsnetz) gemäß einer Ausführungsform der Erfindung zeigt; und

3 ein Blockschaltbild ist, das zumindest einen Teil eines beispielhaften Systems gemäß Ausführungsformen der Erfindung zeigt, das zum Ausführen von Software geeignet ist.

Es ist klar, dass Elemente in den Figuren im Sinne von Einfachheit und Klarheit dargestellt sind. Übliche, aber hinlänglich verstandene Elemente, die bei einer kommerziell durchführbaren Ausführungsform nützlich oder erforderlich sein können, sind eventuell nicht gezeigt, um eine weniger eingeschränkte Sicht der dargestellten Ausführungsformen zu erleichtern.

Ausführliche Beschreibung bevorzugter Ausführungsformen

Aspekte der vorliegenden Erfindung werden hier im Kontext einer veranschaulichenden Vorrichtung und veranschaulichender Verfahren zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten drahtlosen Netzzugängen (WAPs) in einem Datenübertragungsnetz (z. B. einem Unternehmens-Intranet) mit mehreren Endpunkten beschrieben. Um dies zu erreichen, platzieren veranschaulichende Ausführungsformen der Erfindung vorteilhafterweise einen Agenten an mehreren Endpunkten und veranlassen dann zumindest einen Teilsatz der Endpunkte auf der Grundlage der von den Endpunkten empfangenen Informationen und der Anwendung von vorgeschriebenen Kriterien (z. B. Geschäftsregeln) dazu, gewisse Aktionen durchzuführen, z. B. aktives Prüfen, um Informationen zu erzeugen, die ausreichend sind, um fehlerhaft konfigurierte und/oder ungeeignete WAPs im Netz zu identifizieren. Somit führen Techniken gemäß veranschaulichenden Ausführungsformen der Erfindung vorteilhaft das Überwachen und Prüfen von WAPs durch, um nichtberechtigte oder fehlerhaft konfigurierte WAPs zu identifizieren.

Es ist jedoch klar, dass die Erfindung nicht auf die spezifische Vorrichtung und/oder die spezifischen Verfahren beschränkt ist, die hier zur Veranschaulichung gezeigt und beschrieben ist bzw. sind. Stattdessen sind Ausführungsformen der Erfindung allgemein auf Techniken zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs in einem Datenübertragungsnetz in einer Art und Weise gerichtet, die die normalen oder Drahtlos-Netzoperationen des Client nicht beeinträchtigt. Ferner wird für den Fachmann ersichtlich sein, dass angesichts der Lehren hierin zahlreiche Änderungen an den gezeigten Ausführungsformen vorgenommen werden können, die in den Umfang der vorliegenden Erfindung fallen. Das heißt, dass Einschränkungen in Bezug auf spezifische, hier beschriebene Ausführungsformen nicht beabsichtigt sind oder in als möglich betrachtet werden sollten.

1 ist ein Blockschaubild, das zumindest einen Teil eines beispielhaften Systems 100 gemäß einer Ausführungsform der Erfindung zeigt. Das System 100 beinhaltet eine Vielzahl von Endpunkten, Endpunkt (A) 102 bis Endpunkt (N) 104, eine Vielzahl von drahtlosen Netzzugängen, WAP 1 106, WAP 2 108, WAP 3 110 und WAP 4 112, und eine zentrale Entität 114. Ein Übertragungsweg zwischen der zentralen Entität 114 und den jeweiligen Endpunkten 102 bis 104 besteht für gewöhnlich innerhalb eines Intranet 116 oder eines alternativen Datenübertragungsmittels. Zumindest ein Teil der WAPs (z. B. WAPs 108, 110 und 112) liegt innerhalb des Intranet 116, während ein oder mehrere WAPs (z. B. WAP 106) außerhalb des Intranet liegen können. Das Intranet 116 steht vorzugsweise beispielsweise für ein Unternehmens-Intranet.

Jeder von zumindest einem Teilsatz der Endpunkte 102 bis 104 enthält einen Erkennungsagenten oder ein Erkennungsmodul 103a bis 103n und Drahtloskomponenten 105a bis 105n. Jede der Drahtloskomponenten 105a bis 105n kann einen Drahtlos-Transceiver oder eine alternative Drahtlosschnittstelle (z. B. eine Karte für drahtlosen Netzzugang (Wireless Network Access Card)) für eine Datenübertragung mit entsprechenden WAPs im System 100 enthalten. Beispielsweise tauschen Drahtloskomponenten 105a Daten mit WAPs 106, 108 und 110 aus, und Drahtloskomponenten 105n tauschen Daten mit WAPs 110 und 112 aus.

Die zentrale Entität 114 weist eine zentrale Empfangsentität oder ein zentrales Empfangsmodul 118, eine Berichterstattungs- oder Warnungsausgabeentität oder ein Berichterstattungs- und Warnungsausgabemodul 120, die bzw. das mit der zentralen Empfangsentität 118 verbunden ist, eine Datenbank 122 oder ein alternatives Speicherelement, die bzw. das mit der zentralen Empfangsentität 118 und dem Berichterstattungs- und Warnungsausgabemodul 120 verbunden ist, und eine zentrale Steuerentität oder ein zentrales Steuermodul 124 auf, die bzw. das mit der Datenbank 122 verbunden ist. Die zentrale Entität 114 sammelt und analysiert die passiven Daten (z. B. zu „Lokalisierungs”-Operationen) und die aktiven Daten (z. B. zu „Prüf”-Operationen) und steuert die Endpunktagenten auf der Grundlage derer Ergebnisse. Mehr im Detail ist die zentrale Entität 114 im Wesentlichen ein Server (oder eine Sammlung von Servern), der über die zentrale Empfangsentität 118, das Berichterstattungs- und Warnungsausgabemodul 120, die Datenbank 122 und/oder die zentrale Steuerentität 124 funktionsmäßig in der Lage ist, die Endpunkt-Erkennungsagenten 103a bis 103n (z. B. über die zentrale Steuerentität (124) so zu steuern, dass sie vorgeschriebene Informationen (z. B. Geschäftsregeln usw). in der Datenbank 122 speichern, dass sie Nachrichten empfangen, die einen bestimmten WAP unter Beobachtung und das Intranet 116 durchqueren (z. B. über die zentrale Empfangsentität 118), und dass sie einen vorgeschriebenen Zustand in Abhängigkeit der einen oder mehreren empfangenen Nachrichten (z. B. über das Berichterstattungs- und Warnungsausgabemodul 120) berichten (d. h. eine Warnung über diesen ausgeben). Die in der Datenbank 122 gespeicherten Daten können beispielsweise alle empfangenen Berichte der Endpunktagenten (z. B. Bezeichnung und Adresse von lokalisierten WAPs) und Prüfpakete beinhalten. Diese Daten werden verwendet, um zu ermitteln, ob ein bestimmter WAP fehlerhaft konfiguriert oder nichtberechtigt ist, allerdings werden diese Ergebnisse nicht notwendigerweise in der Datenbank selbst gespeichert.

Es ist klar, dass sich der Ausdruck „lokalisiert”, wie beispielsweise in Verbindung mit WAPs verwendet (z. B. ein lokalisierterWAP), allgemein auf einen WAP beziehen soll, der erkannt, aufgespürt oder identifiziert ist, und nicht auf eine physische Position/einen physischen Standort des WAP. Gleichermaßen soll sich der Ausdruck „lokalisieren”, wie in Zusammenhang mit WAPs verwendet (z. B. Lokalisieren eines WAP), allgemein auf die Handlung des Erkennens, Aufspürens oder Identifizierens eines WAP und nicht auf die Handlung des Ermittelns einer physischen Position/eines physischen Standorts des WAP beziehen. In vielen Fällen wird ein WAP beispielsweise virtuell (d. h. als Abstraktion) in Bezug auf dessen Netzwerkadresse oder alternative Kennung „lokalisiert”. Somit sollen die Ausdrücke „lokalisiert” oder „lokalisieren”, wie hier verwendet, allgemein einen virtuellen oder physischen Standort einer Entität, auf die sich die Ausdrücke beziehen, mit einschließen.

Der Erkennungsagent oder das Erkennungsmodul 103a bis 103n, der bzw. das auf den Endpunkten 102 bis 104 ausgeführt wird, kann so konfiguriert sein, dass er bzw. es eine oder mehrere entsprechende WAPs im Datenübertragungsnetz während vorgeschriebener Zeitintervalle lokalisiert, beispielsweise im Rahmen des Durchführens einer Aufspürungsoperation. Bei einigen Ausführungsformen sind die vorgeschriebenen Zeitintervalle, in denen die Agenten in der Lage sind, einen oder mehrere WAPs lokalisieren, periodisch.

Gemäß einer veranschaulichenden Ausführungsform sind die Endpunkte 102 bis 104 unter der Steuerung der zentralen Steuerentität 124 funktionsmäßig in der Lage, die WAPs 106, 108, 110, 112 periodisch zu überwachen (d. h. „abzuhören”). In Bezug auf WAP 106, der sich in dieser Veranschaulichung außerhalb des Intranet 116 befindet, lokalisiert der am Endpunkt 102 ausgeführte Erkennungsagent 103a den WAP 106, und die zentrale Entität 114 kann diesen Agenten auf der Grundlage von vorgeschriebenen Richtlinien anweisen, diesen WAP aktiv zu prüfen. Da der WAP 106 nicht mit dem Intranet 116 verbunden ist, wird die Prüfung nicht an die zentrale Empfangsentität 118 bereitgestellt, wodurch ein Nachweis dafür geliefert wird, dass dieser WAP nicht mit dem Intranet verbunden ist.

Ein Bericht über einen beobachteten WAP wird an die zentrale Steuerentität 124 gesendet, die mehr als einen Bericht empfangen kann, wobei mehrere Berichte (unterschiedlicher Endpunkte) den gleichen WAP identifizieren. Die zentrale Steuerentität 124 wendet dann vorgeschriebene Regeln (z. B. Geschäftsregeln) an, die in der Datenbank 122 gespeichert sein können, um einen Konfigurationsstatus des beobachteten WAP zu bestimmen, so dass ermittelt wird, ob der WAP von einem Endpunkt geprüft werden sollte. Solche auf den beobachteten WAP angewandte Regeln können beispielsweise das Ermitteln, ob der WAP fehlerhaft konfiguriert (d. h. „offen”) ist, ob der WAP den Service Set Identifier (SSID) des Unternehmens überträgt, ob mehr als eine vorgeschriebene Schwellenanzahl von Endpunkten vorhanden sind, die den gleichen WAP identifizieren, ob ein Standort der identifizierenden Endpunkte innerhalb eines vorgeschriebenen physischen Standorts liegt, ob eine Stärke des WAP-Funksignals einen vorgeschriebenen Schwellenwert über- bzw. unterschreitet oder eine Kombination aus einer oder mehreren dieser Regeln und/oder anderer Regeln beinhalten, ohne jedoch darauf beschränkt zu sein.

Wenn festgestellt wird, dass ein bestimmter WAP von einem Endpunkt geprüft werden sollte, wählt die zentrale Steuerentität 124 zumindest einen Teilsatz (z. B. einen oder mehrere) der Endpunkte 102 bis 104 aus, um eine aktive Prüfung des WAP durchzuführen. Die Auswahl des einen oder der mehreren Endpunkte hängt von einer oder mehreren der vorgeschriebenen (in der Datenbank 122 gespeicherten) Regeln ab. Beispielsweise kann die zentrale Steuerentität 124 eine Auswahl eines Endpunkts auf der Grundlage einer Stärke des von Endpunkten empfangenen WAP-Funksignals treffen (z. B. ein Endpunkt mit dem stärksten Funksignal vom WAP kann ausgewählt werden). Alternativ oder zusätzlich kann ein Endpunkt ausgewählt werden, dessen Karte für drahtlose Vernetzung am häufigsten aktiv ist, oder eine Kombination dieser oder anderer Regeln kann herangezogen werden.

Bei einer Ausführungsform kann bzw. können sich der eine oder die mehreren ausgewählten Endpunkte im Rahmen des Durchführens einer aktiven Prüfung des WAP und des dem WAP entsprechenden Netzes mit dem WAP verknüpfen (d. h. eine Verbindung mit dem WAP herstellen) und dann einen oder mehrere Anforderungen senden, z. B. ein Dynamic Host Configuration Protocol-(DHCP)-Pingsignal, um Ressourcen zu vernetzen und die Antwort vom WAP (z. B. IP-Adresse, Standardroute usw.) zu beobachten. Wenn sich ein Drahtlos-Client mit einem WAP verbindet, antwortet der WAP mit Netzinformationen, die beispielsweise einen Bereich gültiger Netzwerkadressen, eine zugeordnete IP-Adresse des Client innerhalb dieses Bereichs und die Standardroute (d. h. eine Standard-IP-Adresse zum Senden aller externen Pakete) beinhalten kann. Dies sind die Informationen, die der Client mindestens benötigt, um Daten im Netz zu übertragen.

Bei einer weiteren Ausführungsform kann der Endpunkt den WAP prüfen, indem er versucht, eine Nachricht an die zentrale Empfangsentität 118 (die sich im Unternehmens-Intranet 116 befindet) zu senden. Diese Aktion bestätigt, dass der WAP mit dem Unternehmens-Intranet verbunden ist, und darüber hinaus können bestimmte Informationen erhalten werden, z. B. der Netzwerkpfad vom Endpunkt-Client an die zentrale Empfangsentität 118, die IP-Adresse des WAP, das Routing zwischen dem Endpunkt und der zentralen Empfangsentität usw. Sowohl an der zentralen Steuerentität 124 als auch an der zentralen Empfangsentität 118 wird ein Alarm erzeugt (z. B. vom Berichterstattungs- und Warnungsausgabemodul 120), wenn festgestellt wird, dass der WAP fehlerhaft konfiguriert ist oder im Intranet 116 nicht zugelassen sein sollte. Auch wenn eine Verbindung zwischen der zentralen Steuerentität 124 und dem Berichterstattungs- und Warnungsausgabemodul 120 nicht explizit gezeigt ist, ist klar, dass die Interaktion zwischen den beiden funktionellen Modulen infrage kommt. Beispielsweise ist das Berichterstattungs- und Warnungsausgabemodul 120 bei einigen Ausführungsformen als administrative Schnittstelle betreibbar, und das Berichterstattungs- und Warnungsausgabemodul 120 kann auf der Grundlage der beobachteten Daten in der Datenbank Anweisungen an die zentrale Steuerentität 124 senden, so dass diese ihre Steuerung der Endpunkte ändert.

2 ist ein Ablaufplan, der zumindest einen Teil eines beispielhaften Verfahrens 200 zum Identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs in einem System (z. B. Datenübertragungsnetz) gemäß einer Ausführungsform der Erfindung zeigt. Wie aus 2 ersichtlich, ist das Verfahren 200 in drei Funktionskomponenten unterteilt: eine Client-Komponente 202, wobei zumindest ein Teil davon in einem Client-Modul oder -Endpunkt durchgeführt werden kann, eine zentrale Steuerkomponente 204, wobei zumindest ein Teil davon im zentralen Steuermodul (z. B. die zentrale Steuerentität 124 in 1) durchgeführt werden kann, und eine zentrale Empfangskomponente 206, wobei zumindest ein Teil davon im zentralen Empfangsmodul (z. B. in der zentralen Empfangsentität 118 in 1) durchgeführt werden kann. Jede der Funktionskomponenten kann unter Verwendung von einem oder mehreren Agenten umgesetzt sein. Diese Komponenten/Agenten können beim Durchführen des gesamten Verfahrens 200 zum identifizieren von nichtberechtigten oder fehlerhaft konfigurierten WAPs miteinander interagieren (z. B. Daten dazwischen weiterleiten).

Wie hier verwendet, soll der Ausdruck „Agent” allgemein als Software-Programm, das im Auftrag eines Benutzers agiert, oder als anderes Programm in einem Auftragsverhältnis definiert sein. Somit bezieht sich ein Agent auf eine Software-Abstraktion, eine Idee oder ein Konzept ähnlich objektorientierter Programmierbegriffen wie Verfahren, Funktionen und Objekte. Das Konzept eines Agenten stellt eine praktische und leistungsfähige Methode zum Beschreiben einer komplexen Software-Entität bereit, die mit einem bestimmten Grad an Autonomie agieren kann, um Aufgaben im Auftrag ihres Host zu erfüllen. Im Gegensatz zu Objekten, die in Bezug auf Verfahren und Attribute definiert werden, wird ein Agent im Allgemeinen hinsichtlich seines Verhaltens definiert (z. B. das Verhalten eines Agenten kann sein, keine Aktion vorzunehmen, WAPs zu lokalisieren und spezifische WAPs zu prüfen).

Unter Bezugnahme auf 2 wird eine erste Client-Methodik, die in zumindest einem Endpunkt (z. B. Endpunkte 102 bis 104 in 1) oder anderem Client-Modul ausgeführt werden kann, in Schritt 207 aktiviert, wobei der Endpunkt/Client funktionsmäßig in der Lage ist, WAPs in Schritt 208 zu überwachen (d. h. abzuhören). Der Endpunkt/Client überträgt Informationen (z. B. Berichte), die beobachteten WAPs entsprechen, in Schritt 210 periodisch an die zentrale Steuerentität. In Schritt 212 überprüft der Endpunkt/Client, ob die erste Client-Methodik in Schritt 214 enden sollte. Wenn festgestellt wird, dass die erste Client-Methodik nicht enden sollte, ist der Endpunkt/Client funktionsmäßig in der Lage, weiterhin WAPs in Schritt 208 abzuhören.

Bei einer zweiten Client-Methodik, die in Schritt 216 aktiviert wird und in zumindest einem Endpunkt (z. B. Endpunkte 102 bis 104 in 1) oder anderem Client-Modul ausgeführt werden kann, ist der Endpunkt/Client funktionsmäßig in der Lage, in Schritt 218 auf einen Befehl von einer zentralen Steuerentität (z. B. zentrale Steuerentität 124 in 1) zu warten, der den Endpunkt anweist, mit dem aktiven Prüfen eines beobachteten WAP zu beginnen. In Schritt 220 ist der Endpunkt/Client bei Empfang des Befehls funktionsmäßig in der Lage, ein aktives Prüfen des beobachteten WAP und des entsprechenden, dem beobachteten WAP zugeordneten Netz durchzuführen und einen WAP-Prüfbericht zu erzeugen, der Ergebnisse des aktiven Prüfens beinhaltet. In Schritt 222 werden die Ergebnisse des aktiven Prüfens, die in dem in Schritt 220 erzeugten WAP-Prüfbericht enthalten sind, vom Endpunkt/Client zur weiteren Bearbeitung an die zentrale Steuerentität gesendet. In Schritt 224 ist der Endpunkt/Client funktionsmäßig in der Lage, eine korrelierte Nachricht über den beobachteten WAP an eine zentrale Empfangsentität (z. B. zentrale Empfangsentität 118 in 1) zu senden. Die vom Endpunkt gesendete korrelierte Nachricht beinhaltet vorzugsweise den in Schritt 220 erzeugten WAP-Prüfbericht. Der Endpunkt/Client ermittelt danach in Schritt 226, ob die zweite Client-Methodik in Schritt 228 zu beenden ist. Wenn festgestellt wird, dass die zweite Client-Methodik nicht beendet werden sollte, ist der Endpunkt/Client funktionsmäßig in der Lage, in Schritt 218 weiterhin auf einen Befehl von einer zentralen Steuerentität zu warten.

Bei einer ersten zentralen Steuermethodik, die in Schritt 230 aktiviert wird und in einer zentralen Steuerentität (z. B. zentrale Steuerentität 124 in 1) oder anderen Steuereinheit ausgeführt werden kann, ist die zentrale Steuerentität in Schritt 232 funktionsmäßig in der Lage, von einem oder mehreren Endpunkten/Clients in Schritt 210 gesendete Informationen (z. B. Berichte) zu empfangen, die beobachteten WAPs entsprechen. In Schritt 234 ist die zentrale Steuerentität funktionsmäßig in der Lage, einen bestimmten der empfangenen WAP-Berichte auszuwählen und vorgeschriebene Regeln (z. B. Geschäftsrichtlinien) anzuwenden, um in Schritt 236 zu ermitteln, ob ein bestimmter beobachteter WAP aktiv zu prüfen ist. Wenn in Schritt 236 festgestellt wird, dass der beobachtete WAP aktiv zu prüfen ist, wählt die zentrale Steuerentität einen oder mehrere Endpunkte in Schritt 238 aus, um ein aktives Prüfen des WAP zu aktivieren. In Schritt 240 wird ein Befehl an jeden der ausgewählten Endpunkte gesendet, ein aktives Prüfen des WAP durchzuführen. Die erste zentrale Steuermethodik geht dann zu Schritt 232, in dem die Methodik wiederholt wird. Wenn in Schritt 236 festgestellt wird, dass der beobachtete WAP nicht aktiv zu prüfen ist, geht die erste zentrale Steuermethodik zu Schritt 232, in dem die Methodik wiederholt wird.

Bei einer zweiten zentralen Steuermethodik, die in Schritt 242 aktiviert und in einer zentralen Steuerentität (z. B. zentrale Steuerentität 124 in 1) oder anderen Steuereinheit ausgeführt wird, ist die zentrale Steuerentität in Schritt 244 funktionsmäßig in der Lage, die von einem oder mehreren Endpunkten in Schritt 222 gesendeten Ergebnisse des aktiven Prüfens des beobachteten WAP zu empfangen. Auf der Grundlage der Informationen im WAP-Prüfbericht ist die zentrale Steuerentität in Schritt 246 funktionsmäßig in der Lage zu ermitteln, ob der geprüfte WAP nichtberechtigt oder fehlerhaft konfiguriert ist. Wenn der geprüfte WAP weder nichtberechtigt noch fehlerhaft konfiguriert ist, kehrt die zweite zentrale Steuermethodik zu Schritt 244 zurück, um mit dem Empfangen von zusätzlichen Ergebnissen des aktiven Prüfens von beobachteten WAPs zu beginnen. Wenn in Schritt 246 ermittelt wird, dass der geprüfte WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist, ist die zentrale Steuerentität alternativ in der Lage, eine Warnung oder einen anderen Hinweis in Schritt 248 auszugeben (z. B. auszusenden), die bzw. der über den nichtberechtigten und/oder fehlerhaft konfigurierten Status des WAP informiert. Die zweite zentrale Steuermethodik kehrt dann zu Schritt 244 zurück, um mit dem Empfangen von zusätzlichen Ergebnissen des aktiven Prüfens von beobachteten WAPs zu beginnen.

Bei einer zentralen Empfangsmethodik, die in Schritt 250 aktiviert wird und in einerzentralen Empfangsentität (z. B. zentrale Empfangsentität 118 in 1) oder anderen Schnittstelle/Steuereinheit ausgeführt werden kann, ist die zentrale Empfangsentität in Schritt 252 funktionsmäßig in der Lage, Datenübertragungen von einem oder mehreren Endpunkten zu überwachen, die über ein Intranet (z. B. Intranet 116 in 1) oder anderes Netz empfangen werden können. Die in Schritt 252 überwachten Datenübertragungen beinhalten vorzugsweise beispielsweise den WAP-Prüfbericht, der in Schritt 220 von einem oder mehreren Endpunkten erzeugt wurde. In Schritt 254 ist die zentrale Empfangsentität funktionsmäßig in der Lage zu ermitteln, ob eine solche Datenübertragung von einem Endpunkt empfangen wurde. Wenn keine Datenübertragung von einem Endpunkt empfangen wurde, kehrt die zentrale Empfangsmethodik zu Schritt 252 zurück, wobei die zentrale Empfangsentität das Überwachen von Datenübertragungen von einem oder mehreren Endpunkten fortsetzt. Die Schritte 252 und 254 bilden im Wesentlichen eine Wiederholungsschleife, die bei Empfang einer Datenübertragung von einem Endpunkt verlassen wird.

Wenn in Schritt 254 festgestellt wird, dass eine Datenübertragung von einem Endpunkt empfangen wurde, ist die zentrale Empfangsentität in Schritt 256 funktionsmäßig in der Lage, die empfangene Datenübertragung mit einem darin enthaltenen Endpunkt-WAP-Bericht (z. B. WAP-Prüfbericht) zu korrelieren. Bei einigen Ausführungsformen gibt es zumindest zwei zugehörige „Prüf”-Nachrichten: eine erste Nachricht, die durch die gestrichelte Linie von Schritt222 dargestellt ist und hier als „Prüfbericht” bezeichnet wird, die einige der Ergebnisse aus dem aktiven Prüfen des WAP beinhaltet, darunter eine Dynamic Host Configuration Protocol-(DHCP)-Adresse und eine Standardroute; und eine zweite Nachricht, die durch die gestrichelte Linie von Schritt 224 dargestellt ist und hier als „Prüfpaket” bezeichnet wird. Ein Unterschied zwischen den beiden Prüfnachrichten besteht darin, dass der „Prüfbericht” auf einer bekannten Verbindung eines Endpunkts mit dem Intranet gesendet wird, während sich das „Probenpaket” auf der Verbindung des WAP mit dem Intranet (falls vorhanden) bewegen soll.

Unter weiterer Bezugnahme auf 2 ist die zentrale Empfangsentität in Schritt 258 funktionsmäßig in der Lage, Netzattribute, die dem geprüften WAP entsprechen, in Abhängigkeit der Informationen zu ermitteln die in der vom Endpunkt empfangenen Datenübertragung enthalten sind. In Schritt 260 ermittelt die zentrale Empfangsmethodik, ob der WAP nichtberechtigt oder fehlerhaft konfiguriert ist. Wenn der geprüfte WAP weder nichtberechtigt noch fehlerhaft konfiguriert ist, kehrt die zentrale Empfangsmethodik zu Schritt 252 zurück, um Datenübertragungen von den Endpunkten weiterhin zu überwachen. Wenn in Schritt 260 festgestellt wird, dass der WAP nichtberechtigt und/oder fehlerhaft konfiguriert ist, gibt die zentrale Empfangsmethodik alternativ eine Warnung oder einen anderen Hinweis in Schritt 262 aus (z. B. sendet aus), die bzw. der über den nichtberechtigten und/oder fehlerhaft konfigurierten Status des WAP informiert. Die zentrale Empfangsmethodik kehrt dann zu Schritt 252 zurück, um das Überwachen von Datenübertragungen von den Endpunkten fortzusetzen.

Techniken der vorliegenden Erfindung können wesentliche vorteilhafte technische Effekte bereitstellen. Ausführungsformen der Erfindung können einen oder mehrere der folgenden Vorteilte bereitstellen, darunter: Verringern der Wahrscheinlichkeit, dass ein Datenübertragungsnetz durch nichtberechtigte Benutzer gefährdet wird, wodurch die Wahrscheinlichkeit von Datenverlust, fehlerhaften Daten oder verfälschte Daten verringert wird; Verringerung der Wahrscheinlichkeit einer Infektion der Client-Infrastruktur durch einen Virus und/oder Malware; Sicherstellen der Einhaltung von Client-spezifischen oder behördlichen Sicherheitskonfigurationsstandards in Bezug auf WAPs; und Schutz der Mitarbeiter in einem Unternehmens-Intranet oder einem anderem Datenübertragungsnetz davor, sich mit nichtberechtigten oder missbräuchlich benutzbaren WAPs zu verbinden, die versuchen, die Identität eines gültigen Client-WAP vorzutäuschen, ohne jedoch auf die vorgenannten beschränkt zu sein.

Details zu beispielhaftem System und Herstellungsgegenstand

Wie der Fachmann verstehen wird, können Aspekte der vorliegenden Erfindung in Form eines Systems, eines Verfahrens oder eines Computerprogrammprodukts umgesetzt sein. Demgemäß können Aspekte der vorliegenden Erfindung die Form einer ausschließlich aus Hardware bestehenden Ausführungsform, einer ausschließlich aus Software bestehenden Ausführungsform (Firmware, residente Software, Mikrocode usw. mit eingeschlossen) oder einer Ausführungsform annehmen, die Software- und Hardware-Aspekte kombiniert, die hier allesamt allgemein als „Schaltung”, „Modul” oder „System” bezeichnet werden können. Ferner können Aspekte der vorliegenden Erfindung die Form eines Computerprogrammprodukts annehmen, das als ein oder mehrere computerlesbare Medien umgesetzt ist, die einen computerlesbaren Programmcode aufweisen.

Eine oder mehrere Ausführungsformen der Erfindung oder Elemente davon können in Form einer Vorrichtung umgesetzt werden, beispielsweise in Form eines Speichers und zumindest eines Prozessors, der mit dem Speicher verbunden und funktionsmäßig in der Lage ist, beispielhafte Verfahrensschritte auszuführen.

3 ist ein Blockschaubild, das zumindest einen Teil eines beispielhaften Systems 300 gemäß Ausführungsformen der Erfindung zeigt, das zum Ausführen von Software in der Lage ist. Das System 300 kann beispielsweise einen Universalcomputer oder eine andere Datenverarbeitungseinheit oder Systeme von Datenverarbeitungseinheiten darstellen, der bzw. die – wenn gemäß Ausführungsformen der Erfindung programmiert – zu einer spezialisierten Einheit wird bzw. werden, die funktionsmäßig in der Lage ist, die Techniken der Erfindung auszuführen. Unter Bezugnahme auf 3 könnte eine solche Umsetzung beispielsweise einen Prozessor 302, einen Speicher 304 und eine Eingabe/Ausgabe-Schnittstelle verwenden, die beispielsweise durch eine Anzeige 306 und eine Tastatur 308 gebildet ist.

Wie hier verwendet, soll der Ausdruck „Prozessor” eine beliebige Verarbeitungseinheit beinhalten, beispielsweise eine, die eine CPU (Zentraleinheit) enthält, und/oder andere Formen von Verarbeitungsschaltkreisen. Ferner kann sich der Ausdruck „Prozessor” auf mehr als einen einzelnen Prozessor beziehen. Der Ausdruck „Speicher” soll jeden Speicher miteinschließen, der einem Prozessor oder einer CPU zugehörig ist, beispielsweise ein RAM (Random Access Memory – Direktzugriffsspeicher), ein ROM (Read Only Memory – Nur-Lese-Speicher), eine Einheit mit festem Speicher (z. B. ein Festplattenlaufwerk), eine auswechselbare Speichereinheit (z. B. eine Diskette), ein Flash-Speicher und dergleichen. Darüber hinaus soll der Ausdruck „Eingabe/Ausgabe-Schnittstelle” wie hier verwendet beispielsweise einen oder mehrere Mechanismen zum Eingeben von Daten in die Verarbeitungseinheit (z. B. eine Maus) und einen oder mehrere Mechanismen zum Bereitstellen von Ergebnissen aus der Verarbeitungseinheit (z. B. ein Drucker) mit einschließen. Der Prozessor 302, der Speicher 304 und eine Eingabe/Ausgabe-Schnittstelle, z. B. eine Anzeige 306 und eine Tastatur 308, können beispielsweise über einen Bus 310 als Teil einer Datenverarbeitungseinheit 312 miteinander verbunden sein. Eine geeignete Verbindung, beispielsweise über den Bus 310, kann auch bereitgestellt werden mit: einer Netzschnittstelle 314, z. B. eine Netzkarte, die vorgesehen sein kann, um eine Schnittstelle mit einem Computernetz bereitzustellen, oder einer Medienschnittstelle 316, z. B. einer Diskette oder einem CD-ROM-Laufwerk, die vorgesehen sein kann, um eine Schnittstelle mit Medien 318 bereitzustellen.

Demgemäß kann eine Computer-Software, die Anweisungen oder einen Code zum Ausführen der Methodiken der Erfindung wie hier beschrieben enthält, in einer oder mehreren der zugehörigen Speichereinheiten (z. B. ROM, feste oder auswechselbare Speicher) gespeichert werden, und wenn sie zur Verwendung bereit ist, teilweise oder zur Gänze geladen (z. B. in den RAM) und durch eine CPU umgesetzt werden. Eine solche Software könnte Firmware, residente Software, Mikrocode und dergleichen beinhalten, ohne jedoch auf diese beschränkt zu sein.

Ein Datenverarbeitungssystem, das sich zum Speichern und/oder Ausführen eines Programmcodes eignet, enthält zumindest einen Prozessor 302, der direkt oder indirekt über einen Systembus 310 mit Speicherelementen 304 verbunden ist. Die Speicherelemente können einen lokalen Speicher, der während tatsächlicher Umsetzungen des Programmcodes verwendet wird, einen Massenspeicher und Cachespeicher beinhalten, die eine vorübergehende Speicherung zumindest eines Teils des Programmcodes bereitstellen, um die Häufigkeit zu verringern, mit der der Code während der Umsetzung aus einem Massenspeicher abgerufen werden muss.

Eingabe/Ausgabe- bzw. E/A-Einheiten (beispielsweise Tastaturen 308, Anzeigen 306, Zeigereinheiten und dergleichen, ohne jedoch auf diese beschränkt zu sein) können entweder direkt (z. B. über den Bus 310) oder über Zwischen-E/A-Steuereinheiten (der besseren Klarheit wegen nicht gezeigt) mit dem System verbunden werden.

Netzadapter, z. B. die Netzschnittstelle 314, können auch mit dem System verbunden sein, damit das Datenverarbeitungssystem über private oder öffentliche Zwischennetze mit anderen Datenverarbeitungssystemen oder fernen Druckern oder Speichereinheiten verbunden werden kann. Modems, Kabelmodems und Ethernet-Karten sind nur einige der derzeit verfügbaren Typen von Netzadaptern.

Ferner sind eine Telefonkarte 430, die mit dem Bus verbunden ist, und eine Schnittstelle mit einem Telefonnetz hat, und eine Drahtlosschnittstelle 432 mit eingeschlossen, die mit dem Bus verbunden ist und eine Schnittstelle mit einem lokalen und/oder mobilen Drahtlosnetz hat.

Die Datenverarbeitungseinheit 312 steht für eine Einheit, z. B. einen Endpunkt, einen Personal Digital Assistant, ein Smart-Phone oder ein Tablet; die Datenverarbeitungseinheit 312 steht darüber hinaus für einen Server in einem Datenübertragungsnetz oder dergleichen. Einige Ausführungsformen verwenden in einem Netz mehrere Server. Die mehreren Server können über ein lokales Computernetz (z. B. Ethernet) über Netzschnittstellen 314 verbunden sein. Die Aufgaben können unter Servern aufgeteilt werden; beispielsweise können einige Server Telefonzugriff über Karten 430 bereitstellen; einige Server führen ein „Number Crunching” (Zahlenrechnung) für die Spracherkennung aus usw. Wenn Techniken auf einer mobilen Einheit ausgeführt werden, kann die gesamte Verarbeitung oder ein Teil davon extern ausgeführt werden. Beispielsweise können Signale drahtlos über die Drahtlosschnittstelle 432 an einen leistungsstarken externen Server gesendet werden, wobei eventuell zunächst eine gewisse lokale Vorverarbeitung erfolgt.

Wie hier unter Einbeziehen der Ansprüche verwendet, beinhaltet ein „Server” ein physisches Datenverarbeitungssystem (z. B. Datenverarbeitungseinheit 312, wie in 3 gezeigt), das ein Server-Programm ausführt. Es ist klar, dass ein solcher physischer Server gegebenenfalls eine Anzeige und eine Tastatur enthalten kann. Darüber hinaus muss nicht jeder Server oder jede Einheit notwendigerweise jedes in 3 gezeigte Merkmal aufweisen.

Wie angemerkt, können Aspekte der vorliegenden Erfindung die Form eines Computerprogrammprodukts annehmen, das durch ein oder mehrere computerlesbare Medien umgesetzt ist, die einen computerlesbaren Programmcode beinhalten. Es kann eine beliebige Kombination aus einem oder mehreren computerlesbaren Medien verwendet werden. Das computerlesbare Medium kann ein computerlesbares Signalmedium oder ein computerlesbares Speichermedium sein. Ein computerlesbares Speichermedium kann beispielsweise ein/e elektronische/s, magnetische/s, optische/s, elektromagnetische/s, Infrarot- oder Halbleitersystem, -vorrichtung oder -einheit oder eine geeignete Kombination des Vorstehenden sein, ohne jedoch darauf beschränkt zu sein. Ein Medienblock 318 ist ein nichteinschränkendes Beispiel. Spezifischere Beispiele (nichterschöpfende Liste) für das computerlesbare Speichermedium sind unter anderem: eine elektrische Verbindung mit einem oder mehreren Leitungen, eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM, Random Access Memory), ein Nur-Lese-Speicher (ROM, Read Only Memory, ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM (Erasable Programmable Read Only Memory) oder Flash-Speicher), ein Lichtwellenleiter, ein tragbarer Compact Disk-Nur-Lese-Speicher (CD-ROM, Compact Disc-Read Only Memory), eine optische Speichereinheit, eine magnetische Speichereinheit oder eine geeignete Kombination des Vorstehenden. Im Kontext dieses Dokuments kann ein computerlesbares Speichermedium jedes konkrete Medium sein, das ein Programm zur Verwendung durch ein/e Anweisungsausführungssystem, -vorrichtung oder -einheit oder in Verbindung damit enthalten oder speichern kann.

Der in einem computerlesbaren Medium enthaltene Programmcode kann mithilfe eines geeigneten Mediums übertragen werden, beispielsweise drahtlos, leitungsgebunden, Lichtwellenleiterkabel, HF usw. oder eine Kombination des Vorstehenden, ohne jedoch darauf beschränkt zu sein.

Ein Computerprogrammcode zum Ausführen von Operationen für Aspekte der vorliegenden Erfindung kann in irgendeiner Kombination aus einer oder mehreren Programmiersprachen geschrieben sein, beispielsweise objektorientierte Programmiersprachen wie Java, Smalltalk, C++ oder dergleichen und herkömmliche prozedurale Programmiersprachen wie die „C”-Programmiersprache, FORTRAN oder ähnliche Programmiersprachen. Der Programmcode kann zur Gänze auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder zur Gänze auf dem entfernt angeordneten Computer oder -Server ausgeführt werden. Bei letzterem Szenario kann der entfernt angeordneten Computer über einen beliebigen Netzwerktyp, beispielsweise lokales Netz (LAN, Local Area Network) oder Weitverkehrsnetz (WAN, Wide Area Network), mit dem Computer des Benutzers verbunden sein oder die Verbindung zu einem externen Computer kann hergestellt werden (z. B. über einen Internet-Diensteanbieter über Internet).

Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf die Ablaufplandarstellungen und/oder Blockschaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es ist klar, dass jeder Block der Ablaufplandarstellungen und/oder Blockschaubilder und Kombinationen von Blöcken in den Ablaufplandarstellungen und/oder Blockschaubildern durch Computerprogrammanweisungen umgesetzt werden können. Diese Computerprogrammanweisungen können für einen Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu produzieren, so dass die Anweisungen, die über den Prozessor des Computers oder der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführt werden, ein Mittel für das Umsetzen der in dem einen oder den mehreren Ablaufplan- und/oder Blockschaubildblöcken angegebenen Funktionen/Aktionen zu erstellen.

Diese Computerprogrammanweisungen können auch in einem computerlesbaren Medium gespeichert werden, das einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder andere Einheiten anweisen kann, auf eine bestimmte Weise zu arbeiten, so dass die im computerlesbaren Medium gespeicherten Anweisungen einen Herstellungsgegenstand produzieren, der Anweisungen beinhaltet, die die in den einen oder mehreren Ablaufplan- und/oder Blockschaubildblöcken angegebene Funktion/Aktion umsetzen.

Die Computerprogrammanweisungen können auch in einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder andere Einheiten geladen werden, um zu bewirken, dass eine Reihe von Betriebsschritten im Computer, auf der anderen programmierbaren Vorrichtung oder auf anderen Einheiten durchgeführt wird, um ein computerausgeführtes Verfahren zu produzieren, so dass die Anweisungen, die auf dem Computer oder auf der anderen programmierbaren Vorrichtung ausgeführt werden, Verfahren zum Umsetzen der in dem einen oder den mehreren Ablaufplan- und/oder Blockschaubildblöcken angegebenen Funktionen/Aktionen bereitstellen.

Der Ablaufplan und/oder die Blockschaubilder in den Figuren zeigen die Architektur, die Funktionalität und den Betrieb möglicher Umsetzungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedener Ausführungsformen der vorliegenden Erfindung. In dieser Hinsicht kann jeder Block des Ablaufplans oder der Blockschaubilder ein Modul, ein Segment oder einen Teil eines Codes darstellen, das bzw. der eine oder mehrere ausführbare Anweisungen für die Umsetzung der einen oder mehreren angegebenen logischen Funktionen aufweist. Es sei darüber hinaus angemerkt, dass die in den Blöcken ausgewiesenen Funktionen bei einigen alternativen Umsetzungen in einer anderen Reihenfolge als in den Figuren gezeigt auftreten können. Beispielsweise können zwei aufeinanderfolgen Blöcke tatsächlich im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können je nach Funktionalität manchmal in umgekehrter Reihenfolge ausgeführt werden. Es sei ferner angemerkt, dass jeder Block der Blockschaubilder und/oder der Ablaufplandarstellung und Kombinationen von Blöcken in den Blockschaubildern und/oder in der Ablaufplandarstellung durch spezifische Systeme auf der Grundlage von Hardware umgesetzt sein können, die die angegebenen Funktionen oder Aktionen oder Kombinationen von spezifischen Hardware- und Computeranweisungen durchführen.

Es ist klar, dass jedes der hier beschriebenen Verfahren einen zusätzlichen Schritt des Bereitstellens eines Systems beinhalten kann, das eindeutige Software-Module aufweist, die auf einem computerlesbaren Speichermedium umgesetzt sind; die Module können beispielsweise ein oder alle der in den Blockschaubildern gezeigten und/oder hier beschriebenen Elemente enthalten. Die Verfahrensschritte können danach unter Verwendung der eindeutigen Software-Module und/oder Teilmodule des Systems wie oben beschrieben durchgeführt werden, die auf einem oder mehreren Hardware-Prozessoren 302 ausgeführt werden. Darüber hinaus kann ein Computerprogrammprodukt ein computerlesbares Speichermedium mit einem Code beinhalten, das so ausgelegt ist, dass es umgesetzt wird, um einen oder mehrere hier beschriebene Verfahrensschritte durchzuführen, darunter das Bereitstellen des Systems mit den eindeutigen Software-Modulen.

Jedenfalls ist klar, dass die hier gezeigten Komponenten in verschiedenen Formen von Hardware, Software oder Kombinationen davon umgesetzt werden können; beispielsweise mit anwendungsspezifischen integrierten Schaltung(en) (Application Specific Integrated Circuits, ASICs), funktionellen Schaltkreisen, ein oder mehreren entsprechend programmierten digitalen Universalcomputern mit zugehörigem Speicher und dergleichen. Angesichts der Lehren der hier bereitgestellten Erfindung ist ein Fachmann in der Lage, andere Umsetzungen der Komponenten der Erfindung zu erwägen.

Die hier verwendete Terminologie dient lediglich zum Beschreiben bestimmter Ausführungsformen und soll die Erfindung nicht einschränken. Wie hier verwendet, sollen die Singularformen von Artikeln wie „ein” und „der” auch die Pluralformen mit einschließen, außer wenn der Kontext es eindeutig anders vorgibt. Es sei ferner verstanden, dass die Ausdrücke „aufweisen” und/oder „aufweisend”, wie in dieser Schrift verwendet, das Vorhandensein von angegebenen Merkmalen, ganzen Zahlen, Schritten, Operationen, Elementen und/oder Komponenten festlegen, das Vorhandensein oder das Hinzufügen von einem/r oder mehreren anderen Merkmalen, ganzen Zahlen, Schritten, Operationen, Elementen, Komponenten und/oder Gruppen davon jedoch nicht ausschließen.

Die entsprechenden Strukturen, Materialien, Aktionen und sämtliche Mittel oder Schritt-plus-Funktion-Elemente in den folgenden Ansprüchen sollen jedwede Struktur, jedwedes Material oder jedwede Aktion für das Durchführen der Funktion in Kombination mit anderen beanspruchten Elementen wie spezifisch beansprucht beinhalten. Die Beschreibung der vorliegenden Erfindung ist zum Zwecke der Veranschaulichung und Beschreibung dargeboten, soll jedoch nicht als ausschöpfend oder die Erfindung in der offenbarten Form einschränkend verstanden werden. Für den Fachmann sind viele Änderungen und Variationen ersichtlich, ohne sich vom Umfang und Geist der Erfindung zu entfernen. Die Ausführungsform wurde gewählt und beschrieben, um die Grundgedanken der Erfindung und die praktische Anwendung bestmöglich zu erläutern und um anderen Fachleuten zu ermöglichen, die Erfindung in verschiedenen Ausführungsformen mit verschiedenen Änderungen, wie sie sich für die bestimmte angedachte Verwendung eignen, zu verstehen.