ES2285379T3 - Metodo para asegurar la comunicacion en un conmutador de red de area lcal. - Google Patents

Metodo para asegurar la comunicacion en un conmutador de red de area lcal. Download PDF

Info

Publication number
ES2285379T3
ES2285379T3 ES04291831T ES04291831T ES2285379T3 ES 2285379 T3 ES2285379 T3 ES 2285379T3 ES 04291831 T ES04291831 T ES 04291831T ES 04291831 T ES04291831 T ES 04291831T ES 2285379 T3 ES2285379 T3 ES 2285379T3
Authority
ES
Spain
Prior art keywords
address
received
mentioned
local area
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES04291831T
Other languages
English (en)
Inventor
Stefaan Jozef De Cnodder
Patrick Paul Yvonne Mensch
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alcatel Lucent SAS
Original Assignee
Alcatel Lucent SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alcatel Lucent SAS filed Critical Alcatel Lucent SAS
Application granted granted Critical
Publication of ES2285379T3 publication Critical patent/ES2285379T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método para asegurar la comunicación en un conmutador de una red de área local (AN), que comprende una interfaz de usuario (UI), y una interfaz de red (NI), en el que el mencionado método comprende las etapas de extracción de una dirección de origen (MACi) de cada paquete recibido por el mencionado conmutador de red de área local (AN), y almacenando la mencionada dirección (MACi) conjuntamente con la información asociada en una tabla de envíos de direcciones (FT) incluida en el mencionado conmutador de la red de área local (AN), caracterizado porque se realiza una distinción entre las direcciones de origen recibidas de la interfaz de usuario (UI) y la interfaz de red (NI), de forma tal que al detectar que la dirección de origen (MACi) contenida dentro de un nuevo paquete recién recibido en la interfaz de usuario (UI) había sido ya almacenada como una dirección de origen recibida en la interfaz de red (NI), en consecuencia el paquete recién recibido será descartado, y su dirección de origen contenida en el mismo no será almacenada dentro de la mencionada tabla de envíos de direcciones (FT).

Description

Método para asegurar la comunicación en un conmutador de red de área local.
La presente invención está relacionada con un método para la comunicación segura en un conmutador de red de área local, según lo descrito en el preámbulo de la reivindicación 1.
La extracción de direcciones de origen de los paquetes entrantes, y su almacenamiento conjuntamente con la información asociada dentro de una tabla de envíos de direcciones, es una técnica de amplia utilización y bien conocida en las redes de área local. El estándar más ampliamente utilizado en las redes de área local es el estándar de Ethernet, en el que las direcciones de origen se denominan con direcciones MAC. La técnica de autoaprendizaje permite el envío fácil de paquetes de datos a través de los conmutadores de redes de área local, sin la necesidad de almacenar unas significativas tablas de enrutamiento. En realidad, a la llegada de un nuevo paquete, la dirección de origen así como también la información asociada, así como el enlace con el cual se recibe el paquete y el conmutador interno en el cual se recibe el paquete, se almacenarán en una denominada tabla de envíos de direcciones. Los conmutadores Ethernet tienen al menos dos interfaces que comprenden al menos una interfaz de usuario en una interfaz de red existente en curso, y que pueden encontrarse en las redes de acceso tales como las redes de acceso DSL, redes de acceso óptico pasivas, redes de acceso por cable, etc. En estos conmutadores de redes de área local en particular, la interfaz de usuario sirve para recibir y transmitir paquetes desde/hacia los usuarios finales a través de una red interna de área local, y en el otro lado una interfaz de red sirve para recibir y transmitir paquetes desde/hacia los servidores y enrutadores, a través por ejemplo de una red de área local metropolitana del tipo Ethernet. Así mismo, en estos conmutadores de redes de área local que tienen un usuario y una interfaz de red, el autoaprendizaje es una práctica común. Así pues también en estos conmutadores de área local, cada vez que llega un nuevo paquete, desde cualquier interfaz, la información de la dirección de origen es extraída y añadida a la tabla de envíos. En caso de que la dirección de origen ya estuviera presente en esta tabla, su información asociada será sobrescrita con la nueva información asociada.
Tales conmutadores clásicos Ethernet de autoaprendizaje están predispuestas a la modificación de las direcciones, en donde dicho termino significa que el usuario "roba" la dirección de otro usuario o servidor, y utiliza esta como su propia dirección colocándola como una dirección de origen en los paquetes enviados por el mismo. El conmutador Ethernet añadirá entonces esta información o sobrescribirá la información correcta ya presente con la del usuario malicioso, provocando una gran cantidad de problemas a otros usuarios y al propio conmutador Ethernet.
Un método para asegurar la comunicación que trata de solucionar estos problemas de uso malintencionado en los conmutadores de Ethernet es el publicado en la solicitud de patente de los EE.UU. número 2002/0010869. Este documento del arte anterior describe un método de restricción de las comunicaciones basadas en las direcciones MAC, en el que se determina si los vectores de acceso de una dirección MAC recibida se encuentran presentes en una tabla de entradas de direcciones. En caso de estar presentes, tiene lugar una comparación entre las claves de seguridad almacenadas bajo la forma de vectores de acceso, entre las del destino MAC y la dirección de origen. Si no coinciden, el acceso será denegado.
Este método del arte previo requiere que estas claves de seguridad estén primeramente configuradas dentro de la denominada "tabla del pirata informático". Esta tabla tiene que estar preconfigurada para almacenar las claves de seguridad. No obstante, este método es más bien complejo, y requiere la intervención de un operador, quien tiene que conformar esta tabla de "pirata informático".
Un objeto de la presente invención es proporcionar un método más sencillo para asegurar la comunicación en un conmutador de red de área local, que sea más simple y que no esté basada en la conformación de dicha tabla de "pirata informático".
La solicitud de patente número US-2003/0208571 expone un método para enviar con seguridad información en un conmutador de una red. El conmutador contiene una base de datos de entradas de conmutación, especificando cada entrada una asociación entre una dirección de origen y un puerto, y una bandera para indicar si la entrada está protegida. Las entradas protegidas no pueden cambiarse. Se genera una alerta de intrusión cuando un paquete con una dirección de origen asociada a una entrada protegida sea recibido a través de un puerto que no corresponda a dicha entrada protegida.
De acuerdo con la invención, este objeto se consigue debido al hecho de que dicho método incluye las etapas descritas en la parte de caracterización de la reivindicación 1.
De esta forma, se presenta un método simple para evitar la modificación de las direcciones de origen de un enrutador o servidor, sin la necesidad de una tabla de "antipirata informático". En su lugar, se realiza una distinción entre las direcciones de origen recibidas en la interfaz de usuario, y las recibidas en la interfaz de red. Esta distinción puede ser de la forma de una etiqueta especial que esté almacenada adicionalmente en la tabla de envíos de direcciones (una sola), o bien la propia tabla de envíos de direcciones puede estar dividida en dos tablas independientes: una para la interfaz de usuario y la otra para la interfaz de la red. Además tiene lugar una comparación directa de las direcciones de origen de los servidores o enrutadores, aprendidas en la parte de la red, y las recuperadas de los paquetes recibidos en la interfaz de usuario. Cuando el conmutador de la red de área local extrae entonces una dirección de origen en la parte del usuario, en que la misma dirección de origen ya fue aprendida en la parte de la red, la dirección de origen aprendida en la parte de la red tendrá siempre preferencia. Más específicamente, esto significa que si la dirección de origen es aprendida primeramente en la parte de la red, y posteriormente esta dirección de origen se extrae también en la parte del usuario, entonces la tabla de envíos de direcciones no se modificará, y el paquete recién recibido del usuario quedará descartado. El usuario malicioso que esté esperando de esta forma el poder modificar la dirección de origen del servidor, de forma tal que todo el trafico destinado a este servidor no pueda llegar a este servidor sino a su cliente en caso de que las técnicas de aprendizaje estándar estén presentes en el conmutador, no podrá tener éxito en la obtención de su objetivo. En virtud del procedimiento de autoaprendizaje, en caso de un paquete recién recibido de la parte de la red, incluye una dirección de origen ya contenida en la tabla de envíos, la nueva dirección de origen y su información asociada se almacenarán en la tabla de envíos, mediante el proceso de autoaprendizaje estándar, sobrescribiendo también por tanto las direcciones de origen MAC almacenadas previamente (equivocadas) originarias de un usuario malicioso.
Esto significa que solo una pequeña adaptación, que comprenderá la determinación de la interfaz en la cual se reciba el paquete, y una pequeña comprobación en caso de que el paquete se reciba de la interfaz de usuario, tendrá que añadirse al mecanismo de autoaprendizaje de amplia difusión en los conmutadores de la red de área local existentes. Así pues, el método presente es muy simple y fácilmente implementable en los conmutadores Ethernet estándar existentes.
En la reivindicación 2 se describe una característica adicional de la presente invención.
De esta forma puede formarse una lista de usuarios maliciosos de forma automática, mediante el almacenamiento automático de la información relacionada con estos usuarios maliciosos en la tabla adicional.
La reivindicación 3 expone que esta lista de usuarios maliciosos podrá ser actualizada también en caso de que una dirección de origen pueda ser aprendida desde la parte de la red, la cual estará ya presente en la tabla de envíos de direcciones. Esto significa que también en este caso se pudo activar un usuario malicioso, no conocido todavía para el conmutador, hasta que la misma dirección de origen (enrutador) pueda aparecer en la parte de la red. En este caso, la información del usuario antiguo será sobrescrita normalmente por la información de la parte de la red, cuya acción asegurará entonces la comunicación dentro de el conmutador, pero que será útil para mantener el seguimiento de dichos usuarios maliciosos y, antes de sobrescribir su información presente en la tabla de envíos de direcciones, podría introducirse primeramente en la tabla adicional.
La presente invención está relacionada también con un conmutador de red de área local, la cual está adaptada para la ejecución de método presente, tal como se expone en las reivindicaciones 4 a 6.
Se observará que el término "acoplado", utilizado en las reivindicaciones, no deberá ser interpretado como limitativo para dirigir solo las conexiones. Así pues, el alcance de la expresión "un dispositivo A acoplado a un dispositivo B" no deberá estar limitado a los dispositivos o sistemas en los que una salida del dispositivo A pueda estar conectada directamente a una entrada del dispositivo B. Esto significa que existe un trayecto entre una salida de A y una entrada de B, el cual puede ser un trayecto que incluya otros dispositivos o medios.
Se observará que el término "comprendiendo", utilizado en las reivindicaciones, no deberá ser interpretado como limitativo para los medios listados. Así pues, el alcance de la expresión "un dispositivo que comprende los medios A y B" no deberá estar limitado a los dispositivos que comprendan solamente los componentes A y B. Esto significa que con respecto a la presente invención, los únicos componentes relevantes del dispositivo son A y B.
Los anteriores y otros objetos y características de la invención llegarán a ser más evidentes, y se comprenderá mejor la invención mediante la referencia a la siguiente descripción de una realización considerada en conjunción con los dibujos adjuntos, en los que:
la figura 1 muestra una visión general esquemática de una red de área local, que comprende un conmutador de área local AN que tiene un usuario y una interfaz de red, y que está acoplada a los terminales de usuario T1 a Tn y a los enrutadores R1 a Rr,
la figura 2 muestra esquemáticamente las distintas etapas que tienen lugar con la llegada de nuevos paquetes a cualquier interfaz en el conmutador de área local AN.
La presente invención es de interés en las redes de agregación Ethernet, en donde todos los usuarios comparten la misma Red de Área Local, abreviada de ahora en adelante como LAN, aunque no siendo limitativa a estas redes de área local que utilicen este estándar de Ethernet. En tales redes LAN, cada usuario tiene asignada una dirección exclusiva, conocida en general como la dirección MAC para las redes LAN Ethernet. Los conmutadores de redes de área local ejecutan el envío de los paquetes recibidos basándose en las direcciones de origen y de destino contenidas. Para este fin, cada conmutador de la red de área local tiene que "aprender" las direcciones de origen, lo cual significa que la tabla de envíos de direcciones se completa con la información relacionada con la dirección, tal como el nombre del puerto interno del conmutador Ethernet que esté enlazado con el cliente o usuario con esta dirección específica, información relacionada con el propio enlace, así como también que sea conocida por una persona especializada en el arte.
La presente invención es aplicable a estos tipos de conmutadores de redes de área local, que tengan al menos dos interfaces; en un lado una interfaz de usuario, y en el otro lado una interfaz de red. Los conmutadores de redes de área local tienen las dos últimas interfaces pueden estar compuestas por ejemplo de nodos de acceso DSL, un módem en una red DSL acoplado a varios ordenadores en la parte del usuario, concentradores o incluso nodos de acceso radioeléctricos. Dicho conmutador de redes de área local, tal como la expuesta en la figura 1 por AN, está acoplada, en su parte del usuario, a través de su interfaz UI de usuario, a varias líneas de usuario, por ejemplo con líneas DSL en una red de acceso DSL. Estas líneas de usuario pueden consistir también en varios cables coaxiales, en caso de un concentrador que constituya el conmutador de la red de área local, o enlaces radioeléctricos en el caso de un nodo de acceso radioeléctrico tal como un conmutador de una red de área local. Estas líneas de usuario se encuentran descritas de 1 a n en la figura 1. Cada una de estas líneas están acopladas a la parte de las instalaciones del usuario a un terminal o dispositivo del usuario, denotado por T1 a Tn. Dicho dispositivo de terminación puede consistir en un único ordenador personal, un teléfono a través de Internet, un decodificador, etc. Algunos terminales de usuario, tal como un módem DSL, pueden a su vez estar conectados además a varios dispositivos en los locales del usuario, tal como uno o más ordenadores personales, acoplado posiblemente en forma interna mediante enrutadores internos. Cada uno de estos dispositivos de terminación o dispositivos de usuario tienen su propia dirección de la red de área local. La invención es aplicable también a conmutadores de redes de área local acoplados a varios módems en el caso de que tengan una dirección de origen de la red de área local independiente, tal como mediante módems en caso de que a su vez estén acoplados a varios dispositivos tales como ordenadores.
En la otra parte, correspondiendo a la parte derecha de la central AN tal como se describe esquemáticamente en la figura 1, el nodo N de acceso a la red de área local AN está acoplado a través de su interfaz de red NI a otro o más enrutadores o servidores, denotados por R1 a Rn contenidos en la misma. Cada uno de estos enrutadores tiene también su propia dirección (MAC) de red de área local.
Tal como se expuso anteriormente, el envío desde un terminal o enrutador tal como T1 ó R1 acoplado a AN en otro lado de cualquiera sea el lado de AN se basa en el aprendizaje de las direcciones de las distintas terminales de usuario y de enrutadores, cuyo proceso significa que una tabla de envíos de direcciones, denotados en la figura 1 por FT se rellena con entradas que contienen las direcciones de origen (MAC) recibidas en nuevo paquetes entrantes, así como también la información adicional asociada con los mismos, tal como su identidad del puerto de entrada correspondiente. Por tanto, cuando un nodo de acceso de red de área local DSL recibe un paquete que procede de una línea DSL en particular, por ejemplo la línea 1, e incluyendo MAC1 como la dirección de origen, entonces el nodo de acceso almacena esta información tal como MAC1, y el nombre del puerto interno conectado a la línea DSL 1, dentro de esta tabla de envíos. Si a continuación se recibe un paquete desde el enrutador R1, con MAC1 como dirección de destino, la AN podrá inmediatamente enviar este paquete a la línea DSL 1, al recuperar la información necesaria dentro de la tabla de envíos.
Alternativamente, la AN aprende también la dirección de origen MACR1 a parir del enrutador R1, y almacena esta información conjuntamente con el puerto interno conectado a R1, dentro de la tabla FT de envíos de direcciones.
Los clientes maliciosos en la parte del usuario del nodo de acceso, necesitan a veces utilizar la dirección del enrutador o servidor en la parte de la red tal como su propia dirección de origen. Esto se denomina como modificación de direcciones MAC, lo cual es el uso de una dirección MAC por un abonado en particular, que no pertenezca a dicho abonado. El resultado es que, en la modificación de una dirección MAC por un usuario, este usuario generará por tanto paquetes de datos en la zona de aguas arriba con una dirección de origen MAC perteneciente a alguien más. En consecuencia, la tabla de envíos de direcciones en el nodo de acceso aprenderá con las asociaciones erróneas. Si entonces otros usuarios necesitan enviar paquetes hacia el enrutador cuya dirección MAC haya sido modificada, por ejemplo por el usuario 1, todos los paquetes podrían ser enviados al usuario 1. En algunos conmutadores Ethernet existentes esto se evita mediante el bloqueo de la transmisión directa de usuario-usuario, pero en otros conmutadores Ethernet podrían provocarse serios problemas. Incluso aunque no fuera posible la transmisión directa de usuario-usuario, los usuarios que modificaran una dirección de origen de un enrutador podrían provocar que este enrutador no recibiera ya paquetes.
La presente invención proporciona una solución sencilla para evitar la modificación de las direcciones de los enrutadores de esta forma en la parte de la red, mediante un usuario en la parte del usuario. Esta solución consiste en que cada vez que se reciba una dirección de origen nueva, en la parte del usuario o bien en la parte de la red, se determinará la interfaz con la cual haya sido recibida. A continuación se ejecutará una comparación entre la dirección de origen nueva recibida en la parte del usuario, y todas las direcciones de origen almacenadas recibidas en la parte de la red. Si resulta que la dirección de origen ya fue almacenada como una dirección de origen desde el lado de la red, el paquete conteniendo la nueva dirección de origen quedará descartado. Si una dirección de origen nueva del lado de la red coincide con una que se haya almacenado en la parte del usuario, la entrada existente con esta dirección quedará sobrescrita por el aprendizaje estándar con una indicación extra que consistirá en una dirección de origen recibida de la parte del usuario. Si una dirección de origen nueva en la parte del usuario no está todavía contenida en la tabla de envíos de direcciones, se almacenará conjuntamente con la información asociada clásica, y con una indicación que se origine en el lado del usuario en la tabla de envíos. A tal fin, podrá almacenarse una bandera especial en la FT, pero la FT podrá también estar dividida en dos partes: una parte originaria del usuario y una parte originaria de la red, y pudiendo preverse otras técnicas para crear y almacenar esta distinción por una persona especializada en el arte.
Si la nueva dirección de origen del enrutador no está todavía almacenada en la FT, se almacenará también con su información asociada adicional, y conjuntamente con una indicación de su origen, en la parte del usuario o de la red, en la FT, o en la parte de la red de la FT, dependiendo de la implementación de esta tabla.
Esto está descrito esquemáticamente en la figura 2. Además de descartar un paquete de un usuario que tenga ya almacenada la dirección de origen de la "red", la información adicional relacionada con el usuario podrá ser almacenada además en una tabla adicional. Se tiene que remarcar también por tanto que además del autoaprendizaje estándar, tal como se ha descrito en los dos recuadros del lado derecho en la figura 1, pueden ejecutarse una primera comprobación interna dentro d esta tabla adicional, y que después del aprendizaje estándar, se ejecutará también una actualización de esta tabla adicional, por ejemplo al detectar que una nueva dirección de la red recibida ya haya sido almacenada al igual que una dirección de usuario en la mencionada tabla de envío de direcciones. En dicho caso, la entrada en la tabla de envíos de direcciones relacionada con la dirección del usuario (malicioso) será copiada y almacenada en la mencionada tabla adicional, después de cuya etapa la entrada en la tabla de envío de direcciones será sobrescrita por la nueva dirección recibida y su información asociada.
Después del aprendizaje estándar, por supuesto, tendrán lugar otras etapas concernientes a la manipulación de los paquetes recibidos, tal como es bien conocido por la persona especializada en el arte.
La ejecución de estas etapas podrá tener lugar por los medios de procesamiento incluidos en el conmutador de la red de área local, o por varios módulos de software. A tal fin, los medios de discriminación, presentes bajo la forma de un programa de software, o un hardware específico dentro del conmutador, estarán adaptados para realizar una distinción entre las direcciones de origen recibidas del interfaz de usuario mencionado y la interfaz de direcciones de origen. De forma similar, los medios de comparación para comparar un dirección de origen contenida dentro de un nuevo paquete de llegada en la mencionada interfaz de usuario (UI) con todas las direcciones de origen almacenadas en la mencionada tabla de envío (FT), que fueron recibidas de la mencionada interfaz de la red (NI), tal como para proporcionar una señal de control a los medios de descarte para descartar el mencionado paquete de llegada en el caso de que la dirección de origen contenida en los mismos ya hubiera sido almacenada como una dirección de origen recibida de la mencionada interfaz de la red, podrán también realizarse por los medios de los módulos de software o mediante hardware.
Así mismo, los medios para detectar que una nueva dirección de red recibida ya estaba almacenada como una dirección de usuario en la mencionada tabla de envíos de direcciones (FT), y para enviar la entrada en la tabla de envío de direcciones relacionada con la mencionada dirección de usuario a la mencionada tabla adicional, y para ordenar a la mencionada tabla de envíos para que sobrescriba esta entrada mediante la nueva dirección recibida y su información asociada, podrán realizarse por los medios de programas de software o medios de procesamiento por hardware.
Por supuesto son posibles otras implementaciones. Aunque los principios de la invención han sido descritos anteriormente en relación con el aparato específico, se comprenderá claramente que esta descripción se realiza solo a modo de ejemplo, y no como una limitación del alcance de la invención, según lo definido en las reivindicaciones adjuntas.

Claims (6)

1. Un método para asegurar la comunicación en un conmutador de una red de área local (AN), que comprende una interfaz de usuario (UI), y una interfaz de red (NI), en el que el mencionado método comprende las etapas de extracción de una dirección de origen (MACi) de cada paquete recibido por el mencionado conmutador de red de área local (AN), y almacenando la mencionada dirección (MACi) conjuntamente con la información asociada en una tabla de envíos de direcciones (FT) incluida en el mencionado conmutador de la red de área local (AN),
caracterizado porque
se realiza una distinción entre las direcciones de origen recibidas de la interfaz de usuario (UI) y la interfaz de red (NI), de forma tal que al detectar que la dirección de origen (MACi) contenida dentro de un nuevo paquete recién recibido en la interfaz de usuario (UI) había sido ya almacenada como una dirección de origen recibida en la interfaz de red (NI), en consecuencia el paquete recién recibido será descartado, y su dirección de origen contenida en el mismo no será almacenada dentro de la mencionada tabla de envíos de direcciones (FT).
2. Un método de acuerdo con la reivindicación 1, en el que la información de usuario adicional relacionada con el mencionado paquete descartado está almacenada dentro de una tabla adicional.
3. Un método de acuerdo con la reivindicación 2, en el que al detectar que una nueva dirección recibida de la red ya fue almacenada como una dirección de usuario en la mencionada tabla de envíos de direcciones (FT), la entrada en la tabla de envíos de direcciones relacionada con la mencionada dirección de usuario se almacenará en la mencionada tabla adicional, después de cuya etapa la mencionada entrada será sobrescrita por la dirección nueva recibida y su información asociada.
4. Un conmutador de red de área local (AN) que incluye una interfaz de usuario (UI) y una interfaz de red (NI), y una tabla de envíos de direcciones (FT) para almacenar las direcciones de origen (MACi) extraídas de cada paquete recibido por el mencionado conmutador de red de área local (AN), conjuntamente con la información asociada relacionada con las mencionadas direcciones de origen,
caracterizada porque:
el mencionado conmutador de red de área local (AN) incluye además medios de discriminación adaptados para hacer una distinción entre las direcciones de origen recibidas de la mencionada interfaz de usuario y la mencionada interfaz de red, en la que el mencionado conmutador de red de área local (AN) incluye unos medios de comparación para comparar una dirección de origen contenida dentro de un paquete nuevo entrante en la mencionada interfaz de usuario (UI) con todas las direcciones de origen almacenadas en la mencionada tabla de envíos (FT), que fueron recibidas desde la mencionada interfaz de red (NI), de forma que pueda proporcionarse una señal de control a unos medios de descarte, para descartar el mencionado paquete entrante en el caso de que la dirección de origen contenida en el mismo ya haya sido almacenada como una dirección de origen recibida desde la mencionada interfaz de red.
5. Un conmutador de red de área local (AN) de acuerdo con la reivindicación 4, que incluye además una tabla adicional para almacenar la información de usuario del paquete descartado.
6. Un conmutador de red de área local (AN) de acuerdo con la reivindicación 5, que incluye medios para detectar que una dirección de red recién recibida ya fue almacenada como una dirección de usuario en la mencionada tabla de envíos de direcciones (FT), y para enviar la entrada en la tabla de envíos de direcciones relacionada con la mencionada dirección de usuario a la mencionada tabla adicional, y para ordenar a la mencionada tabla de envíos de que sobrescriba esta entrada por la dirección recién recibida y su información asociada.
ES04291831T 2004-07-16 2004-07-16 Metodo para asegurar la comunicacion en un conmutador de red de area lcal. Active ES2285379T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP04291831A EP1617619B1 (en) 2004-07-16 2004-07-16 Method for securing communication in a local area network switch

Publications (1)

Publication Number Publication Date
ES2285379T3 true ES2285379T3 (es) 2007-11-16

Family

ID=34931258

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04291831T Active ES2285379T3 (es) 2004-07-16 2004-07-16 Metodo para asegurar la comunicacion en un conmutador de red de area lcal.

Country Status (6)

Country Link
US (1) US7593397B2 (es)
EP (1) EP1617619B1 (es)
CN (1) CN1722707B (es)
AT (1) ATE361627T1 (es)
DE (1) DE602004006251T2 (es)
ES (1) ES2285379T3 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101321054B (zh) * 2007-06-08 2011-02-09 华为技术有限公司 自动防止网络侧媒体接入控制地址被仿冒的方法及其装置
FR2923969B1 (fr) * 2007-11-16 2012-11-23 Canon Kk Procede de gestion de trames dans un reseau global de communication, produit programme d'ordinateur, moyen de stockage et tete de tunnel correspondants
US20100088399A1 (en) * 2008-10-03 2010-04-08 Yoel Gluck Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP
US20100088748A1 (en) * 2008-10-03 2010-04-08 Yoel Gluck Secure peer group network and method thereof by locking a mac address to an entity at physical layer
ATE518339T1 (de) * 2008-10-22 2011-08-15 Alcatel Lucent Quellbasiertes und zielbasiertes selbst lernendes weiterleitendes paradigma
CN101488862B (zh) * 2009-02-23 2012-02-08 中兴通讯股份有限公司 分布式以太网交换机及其内部的mac地址维护方法
US20110055571A1 (en) * 2009-08-24 2011-03-03 Yoel Gluck Method and system for preventing lower-layer level attacks in a network
JP2016181191A (ja) * 2015-03-25 2016-10-13 富士通株式会社 管理プログラム、管理装置及び管理方法
US11551544B2 (en) 2020-01-27 2023-01-10 Inventus Holdings, Llc Impeding unauthorized network infiltration at remote critical infrastructure facilities
US11356363B2 (en) * 2020-03-26 2022-06-07 Red Hat, Inc. Location change notification handling

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5654985A (en) * 1993-02-19 1997-08-05 Advanced Micro Devices, Inc. Address tracking over repeater based networks
JP3112160B2 (ja) * 1997-09-29 2000-11-27 日本電気株式会社 ネットワークアドレス重複装置の自動検出方式
CN1192310C (zh) * 1999-08-26 2005-03-09 网观科技(加拿大)有限公司 互联网络防火墙
IL144100A (en) * 2000-07-06 2006-08-01 Samsung Electronics Co Ltd A method based on MAC address in communication restriction
US8356334B2 (en) * 2001-05-25 2013-01-15 Conexant Systems, Inc. Data network node having enhanced security features
US20030105881A1 (en) * 2001-12-03 2003-06-05 Symons Julie Anna Method for detecting and preventing intrusion in a virtually-wired switching fabric
US7193996B2 (en) * 2002-02-28 2007-03-20 Acme Packet, Inc. System and method for determining a source of an internet protocol packet
US20030236685A1 (en) * 2002-06-19 2003-12-25 Robert Buckner Preferred life mortality systems and methods
US7379423B1 (en) * 2003-03-20 2008-05-27 Occam Networks, Inc. Filtering subscriber traffic to prevent denial-of-service attacks

Also Published As

Publication number Publication date
CN1722707B (zh) 2010-10-06
CN1722707A (zh) 2006-01-18
US7593397B2 (en) 2009-09-22
EP1617619A1 (en) 2006-01-18
EP1617619B1 (en) 2007-05-02
DE602004006251T2 (de) 2008-01-10
DE602004006251D1 (de) 2007-06-14
ATE361627T1 (de) 2007-05-15
US20060013221A1 (en) 2006-01-19

Similar Documents

Publication Publication Date Title
CN106233673B (zh) 用于网络服务***的设备和方法
ES2713078T3 (es) Sistema y método para implementar y gestionar redes virtuales
ES2574003T3 (es) Procedimiento y aparato para proporcionar seguridad de red utilizando control de acceso basado en roles
US7831733B2 (en) Policy-based forwarding in open shortest path first (OSPF) networks
US20180375755A1 (en) Mechanism to detect control plane loops in a software defined networking (sdn) network
EP3507953B1 (en) Techniques for architecture-independent dynamic flow learning in a packet forwarder
US20190372895A1 (en) System and method of a data processing pipeline with policy based routing
US20070258462A1 (en) Network Node Unit And Method For Forwarding Data Packets
US20160285753A1 (en) Lock free flow learning in a network device
US20170331641A1 (en) Deployment Of Virtual Extensible Local Area Network
US20060013221A1 (en) Method for securing communication in a local area network switch
US20150052600A1 (en) Network environment separation
US10313154B2 (en) Packet forwarding
US7451203B2 (en) Method and system for communicating between a management station and at least two networks having duplicate internet protocol addresses
US20200213264A1 (en) Method and apparatus for isolating transverse communication between terminal devices in intranet
CN106341423B (zh) 一种报文处理方法和装置
CN107404470A (zh) 接入控制方法及装置
CN108259303A (zh) 一种报文转发方法及装置
CN109691026A (zh) 用于更新多个多协议标签切换(mpls)双向转发检测(bfd)会话的方法和装置
US20190215191A1 (en) Deployment Of Virtual Extensible Local Area Network
US7619992B2 (en) Low latency working VPLS
US9584339B2 (en) Connecting a PVLAN switch to a non-PVLAN device
US8065393B2 (en) Method and system for obviating redundant actions in a network
Cisco Cisco VPNSC: MPLS Solution Command Reference
Cisco Cisco MPLS VPN Solutions Command Reference