ES2285379T3 - Metodo para asegurar la comunicacion en un conmutador de red de area lcal. - Google Patents
Metodo para asegurar la comunicacion en un conmutador de red de area lcal. Download PDFInfo
- Publication number
- ES2285379T3 ES2285379T3 ES04291831T ES04291831T ES2285379T3 ES 2285379 T3 ES2285379 T3 ES 2285379T3 ES 04291831 T ES04291831 T ES 04291831T ES 04291831 T ES04291831 T ES 04291831T ES 2285379 T3 ES2285379 T3 ES 2285379T3
- Authority
- ES
- Spain
- Prior art keywords
- address
- received
- mentioned
- local area
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/351—Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un método para asegurar la comunicación en un conmutador de una red de área local (AN), que comprende una interfaz de usuario (UI), y una interfaz de red (NI), en el que el mencionado método comprende las etapas de extracción de una dirección de origen (MACi) de cada paquete recibido por el mencionado conmutador de red de área local (AN), y almacenando la mencionada dirección (MACi) conjuntamente con la información asociada en una tabla de envíos de direcciones (FT) incluida en el mencionado conmutador de la red de área local (AN), caracterizado porque se realiza una distinción entre las direcciones de origen recibidas de la interfaz de usuario (UI) y la interfaz de red (NI), de forma tal que al detectar que la dirección de origen (MACi) contenida dentro de un nuevo paquete recién recibido en la interfaz de usuario (UI) había sido ya almacenada como una dirección de origen recibida en la interfaz de red (NI), en consecuencia el paquete recién recibido será descartado, y su dirección de origen contenida en el mismo no será almacenada dentro de la mencionada tabla de envíos de direcciones (FT).
Description
Método para asegurar la comunicación en un
conmutador de red de área local.
La presente invención está relacionada con un
método para la comunicación segura en un conmutador de red de área
local, según lo descrito en el preámbulo de la reivindicación 1.
La extracción de direcciones de origen de los
paquetes entrantes, y su almacenamiento conjuntamente con la
información asociada dentro de una tabla de envíos de direcciones,
es una técnica de amplia utilización y bien conocida en las redes
de área local. El estándar más ampliamente utilizado en las redes de
área local es el estándar de Ethernet, en el que las direcciones de
origen se denominan con direcciones MAC. La técnica de
autoaprendizaje permite el envío fácil de paquetes de datos a través
de los conmutadores de redes de área local, sin la necesidad de
almacenar unas significativas tablas de enrutamiento. En realidad,
a la llegada de un nuevo paquete, la dirección de origen así como
también la información asociada, así como el enlace con el cual se
recibe el paquete y el conmutador interno en el cual se recibe el
paquete, se almacenarán en una denominada tabla de envíos de
direcciones. Los conmutadores Ethernet tienen al menos dos
interfaces que comprenden al menos una interfaz de usuario en una
interfaz de red existente en curso, y que pueden encontrarse en las
redes de acceso tales como las redes de acceso DSL, redes de acceso
óptico pasivas, redes de acceso por cable, etc. En estos
conmutadores de redes de área local en particular, la interfaz de
usuario sirve para recibir y transmitir paquetes desde/hacia los
usuarios finales a través de una red interna de área local, y en el
otro lado una interfaz de red sirve para recibir y transmitir
paquetes desde/hacia los servidores y enrutadores, a través por
ejemplo de una red de área local metropolitana del tipo Ethernet.
Así mismo, en estos conmutadores de redes de área local que tienen
un usuario y una interfaz de red, el autoaprendizaje es una práctica
común. Así pues también en estos conmutadores de área local, cada
vez que llega un nuevo paquete, desde cualquier interfaz, la
información de la dirección de origen es extraída y añadida a la
tabla de envíos. En caso de que la dirección de origen ya estuviera
presente en esta tabla, su información asociada será sobrescrita con
la nueva información asociada.
Tales conmutadores clásicos Ethernet de
autoaprendizaje están predispuestas a la modificación de las
direcciones, en donde dicho termino significa que el usuario
"roba" la dirección de otro usuario o servidor, y utiliza esta
como su propia dirección colocándola como una dirección de origen en
los paquetes enviados por el mismo. El conmutador Ethernet añadirá
entonces esta información o sobrescribirá la información correcta ya
presente con la del usuario malicioso, provocando una gran cantidad
de problemas a otros usuarios y al propio conmutador Ethernet.
Un método para asegurar la comunicación que
trata de solucionar estos problemas de uso malintencionado en los
conmutadores de Ethernet es el publicado en la solicitud de patente
de los EE.UU. número 2002/0010869. Este documento del arte anterior
describe un método de restricción de las comunicaciones basadas en
las direcciones MAC, en el que se determina si los vectores de
acceso de una dirección MAC recibida se encuentran presentes en una
tabla de entradas de direcciones. En caso de estar presentes, tiene
lugar una comparación entre las claves de seguridad almacenadas
bajo la forma de vectores de acceso, entre las del destino MAC y la
dirección de origen. Si no coinciden, el acceso será denegado.
Este método del arte previo requiere que estas
claves de seguridad estén primeramente configuradas dentro de la
denominada "tabla del pirata informático". Esta tabla tiene que
estar preconfigurada para almacenar las claves de seguridad. No
obstante, este método es más bien complejo, y requiere la
intervención de un operador, quien tiene que conformar esta tabla
de "pirata informático".
Un objeto de la presente invención es
proporcionar un método más sencillo para asegurar la comunicación en
un conmutador de red de área local, que sea más simple y que no
esté basada en la conformación de dicha tabla de "pirata
informático".
La solicitud de patente número
US-2003/0208571 expone un método para enviar con
seguridad información en un conmutador de una red. El conmutador
contiene una base de datos de entradas de conmutación, especificando
cada entrada una asociación entre una dirección de origen y un
puerto, y una bandera para indicar si la entrada está protegida.
Las entradas protegidas no pueden cambiarse. Se genera una alerta de
intrusión cuando un paquete con una dirección de origen asociada a
una entrada protegida sea recibido a través de un puerto que no
corresponda a dicha entrada protegida.
De acuerdo con la invención, este objeto se
consigue debido al hecho de que dicho método incluye las etapas
descritas en la parte de caracterización de la reivindicación 1.
De esta forma, se presenta un método simple para
evitar la modificación de las direcciones de origen de un enrutador
o servidor, sin la necesidad de una tabla de "antipirata
informático". En su lugar, se realiza una distinción entre las
direcciones de origen recibidas en la interfaz de usuario, y las
recibidas en la interfaz de red. Esta distinción puede ser de la
forma de una etiqueta especial que esté almacenada adicionalmente
en la tabla de envíos de direcciones (una sola), o bien la propia
tabla de envíos de direcciones puede estar dividida en dos tablas
independientes: una para la interfaz de usuario y la otra para la
interfaz de la red. Además tiene lugar una comparación directa de
las direcciones de origen de los servidores o enrutadores,
aprendidas en la parte de la red, y las recuperadas de los paquetes
recibidos en la interfaz de usuario. Cuando el conmutador de la red
de área local extrae entonces una dirección de origen en la parte
del usuario, en que la misma dirección de origen ya fue aprendida
en la parte de la red, la dirección de origen aprendida en la parte
de la red tendrá siempre preferencia. Más específicamente, esto
significa que si la dirección de origen es aprendida primeramente
en la parte de la red, y posteriormente esta dirección de origen se
extrae también en la parte del usuario, entonces la tabla de envíos
de direcciones no se modificará, y el paquete recién recibido del
usuario quedará descartado. El usuario malicioso que esté esperando
de esta forma el poder modificar la dirección de origen del
servidor, de forma tal que todo el trafico destinado a este
servidor no pueda llegar a este servidor sino a su cliente en caso
de que las técnicas de aprendizaje estándar estén presentes en el
conmutador, no podrá tener éxito en la obtención de su objetivo.
En virtud del procedimiento de autoaprendizaje, en caso de un
paquete recién recibido de la parte de la red, incluye una dirección
de origen ya contenida en la tabla de envíos, la nueva dirección de
origen y su información asociada se almacenarán en la tabla de
envíos, mediante el proceso de autoaprendizaje estándar,
sobrescribiendo también por tanto las direcciones de origen MAC
almacenadas previamente (equivocadas) originarias de un usuario
malicioso.
Esto significa que solo una pequeña adaptación,
que comprenderá la determinación de la interfaz en la cual se
reciba el paquete, y una pequeña comprobación en caso de que el
paquete se reciba de la interfaz de usuario, tendrá que añadirse al
mecanismo de autoaprendizaje de amplia difusión en los conmutadores
de la red de área local existentes. Así pues, el método presente
es muy simple y fácilmente implementable en los conmutadores
Ethernet estándar existentes.
En la reivindicación 2 se describe una
característica adicional de la presente invención.
De esta forma puede formarse una lista de
usuarios maliciosos de forma automática, mediante el almacenamiento
automático de la información relacionada con estos usuarios
maliciosos en la tabla adicional.
La reivindicación 3 expone que esta lista de
usuarios maliciosos podrá ser actualizada también en caso de que
una dirección de origen pueda ser aprendida desde la parte de la
red, la cual estará ya presente en la tabla de envíos de
direcciones. Esto significa que también en este caso se pudo activar
un usuario malicioso, no conocido todavía para el conmutador, hasta
que la misma dirección de origen (enrutador) pueda aparecer en la
parte de la red. En este caso, la información del usuario antiguo
será sobrescrita normalmente por la información de la parte de la
red, cuya acción asegurará entonces la comunicación dentro de el
conmutador, pero que será útil para mantener el seguimiento de
dichos usuarios maliciosos y, antes de sobrescribir su información
presente en la tabla de envíos de direcciones, podría introducirse
primeramente en la tabla adicional.
La presente invención está relacionada también
con un conmutador de red de área local, la cual está adaptada para
la ejecución de método presente, tal como se expone en las
reivindicaciones 4 a 6.
Se observará que el término "acoplado",
utilizado en las reivindicaciones, no deberá ser interpretado como
limitativo para dirigir solo las conexiones. Así pues, el alcance de
la expresión "un dispositivo A acoplado a un dispositivo B" no
deberá estar limitado a los dispositivos o sistemas en los que una
salida del dispositivo A pueda estar conectada directamente a una
entrada del dispositivo B. Esto significa que existe un trayecto
entre una salida de A y una entrada de B, el cual puede ser un
trayecto que incluya otros dispositivos o medios.
Se observará que el término
"comprendiendo", utilizado en las reivindicaciones, no deberá
ser interpretado como limitativo para los medios listados. Así
pues, el alcance de la expresión "un dispositivo que comprende
los medios A y B" no deberá estar limitado a los dispositivos que
comprendan solamente los componentes A y B. Esto significa que con
respecto a la presente invención, los únicos componentes relevantes
del dispositivo son A y B.
Los anteriores y otros objetos y características
de la invención llegarán a ser más evidentes, y se comprenderá
mejor la invención mediante la referencia a la siguiente descripción
de una realización considerada en conjunción con los dibujos
adjuntos, en los que:
la figura 1 muestra una visión general
esquemática de una red de área local, que comprende un conmutador
de área local AN que tiene un usuario y una interfaz de red, y que
está acoplada a los terminales de usuario T1 a Tn y a los
enrutadores R1 a Rr,
la figura 2 muestra esquemáticamente las
distintas etapas que tienen lugar con la llegada de nuevos paquetes
a cualquier interfaz en el conmutador de área local AN.
La presente invención es de interés en las redes
de agregación Ethernet, en donde todos los usuarios comparten la
misma Red de Área Local, abreviada de ahora en adelante como LAN,
aunque no siendo limitativa a estas redes de área local que
utilicen este estándar de Ethernet. En tales redes LAN, cada usuario
tiene asignada una dirección exclusiva, conocida en general como la
dirección MAC para las redes LAN Ethernet. Los conmutadores de
redes de área local ejecutan el envío de los paquetes recibidos
basándose en las direcciones de origen y de destino contenidas.
Para este fin, cada conmutador de la red de área local tiene que
"aprender" las direcciones de origen, lo cual significa que la
tabla de envíos de direcciones se completa con la información
relacionada con la dirección, tal como el nombre del puerto interno
del conmutador Ethernet que esté enlazado con el cliente o usuario
con esta dirección específica, información relacionada con el propio
enlace, así como también que sea conocida por una persona
especializada en el arte.
La presente invención es aplicable a estos tipos
de conmutadores de redes de área local, que tengan al menos dos
interfaces; en un lado una interfaz de usuario, y en el otro lado
una interfaz de red. Los conmutadores de redes de área local tienen
las dos últimas interfaces pueden estar compuestas por ejemplo de
nodos de acceso DSL, un módem en una red DSL acoplado a varios
ordenadores en la parte del usuario, concentradores o incluso nodos
de acceso radioeléctricos. Dicho conmutador de redes de área local,
tal como la expuesta en la figura 1 por AN, está acoplada, en su
parte del usuario, a través de su interfaz UI de usuario, a varias
líneas de usuario, por ejemplo con líneas DSL en una red de acceso
DSL. Estas líneas de usuario pueden consistir también en varios
cables coaxiales, en caso de un concentrador que constituya el
conmutador de la red de área local, o enlaces radioeléctricos en el
caso de un nodo de acceso radioeléctrico tal como un conmutador de
una red de área local. Estas líneas de usuario se encuentran
descritas de 1 a n en la figura 1. Cada una de estas líneas están
acopladas a la parte de las instalaciones del usuario a un terminal
o dispositivo del usuario, denotado por T1 a Tn. Dicho dispositivo
de terminación puede consistir en un único ordenador personal, un
teléfono a través de Internet, un decodificador, etc. Algunos
terminales de usuario, tal como un módem DSL, pueden a su vez estar
conectados además a varios dispositivos en los locales del usuario,
tal como uno o más ordenadores personales, acoplado posiblemente en
forma interna mediante enrutadores internos. Cada uno de estos
dispositivos de terminación o dispositivos de usuario tienen su
propia dirección de la red de área local. La invención es aplicable
también a conmutadores de redes de área local acoplados a varios
módems en el caso de que tengan una dirección de origen de la red
de área local independiente, tal como mediante módems en caso de
que a su vez estén acoplados a varios dispositivos tales como
ordenadores.
En la otra parte, correspondiendo a la parte
derecha de la central AN tal como se describe esquemáticamente en
la figura 1, el nodo N de acceso a la red de área local AN está
acoplado a través de su interfaz de red NI a otro o más enrutadores
o servidores, denotados por R1 a Rn contenidos en la misma. Cada uno
de estos enrutadores tiene también su propia dirección (MAC) de red
de área local.
Tal como se expuso anteriormente, el envío desde
un terminal o enrutador tal como T1 ó R1 acoplado a AN en otro lado
de cualquiera sea el lado de AN se basa en el aprendizaje de las
direcciones de las distintas terminales de usuario y de
enrutadores, cuyo proceso significa que una tabla de envíos de
direcciones, denotados en la figura 1 por FT se rellena con
entradas que contienen las direcciones de origen (MAC) recibidas en
nuevo paquetes entrantes, así como también la información adicional
asociada con los mismos, tal como su identidad del puerto de
entrada correspondiente. Por tanto, cuando un nodo de acceso de red
de área local DSL recibe un paquete que procede de una línea DSL en
particular, por ejemplo la línea 1, e incluyendo MAC1 como la
dirección de origen, entonces el nodo de acceso almacena esta
información tal como MAC1, y el nombre del puerto interno conectado
a la línea DSL 1, dentro de esta tabla de envíos. Si a continuación
se recibe un paquete desde el enrutador R1, con MAC1 como
dirección de destino, la AN podrá inmediatamente enviar este paquete
a la línea DSL 1, al recuperar la información necesaria dentro de
la tabla de envíos.
Alternativamente, la AN aprende también la
dirección de origen MACR1 a parir del enrutador R1, y almacena esta
información conjuntamente con el puerto interno conectado a R1,
dentro de la tabla FT de envíos de direcciones.
Los clientes maliciosos en la parte del usuario
del nodo de acceso, necesitan a veces utilizar la dirección del
enrutador o servidor en la parte de la red tal como su propia
dirección de origen. Esto se denomina como modificación de
direcciones MAC, lo cual es el uso de una dirección MAC por un
abonado en particular, que no pertenezca a dicho abonado. El
resultado es que, en la modificación de una dirección MAC por un
usuario, este usuario generará por tanto paquetes de datos en la
zona de aguas arriba con una dirección de origen MAC perteneciente
a alguien más. En consecuencia, la tabla de envíos de direcciones
en el nodo de acceso aprenderá con las asociaciones erróneas. Si
entonces otros usuarios necesitan enviar paquetes hacia el enrutador
cuya dirección MAC haya sido modificada, por ejemplo por el usuario
1, todos los paquetes podrían ser enviados al usuario 1. En
algunos conmutadores Ethernet existentes esto se evita mediante el
bloqueo de la transmisión directa de
usuario-usuario, pero en otros conmutadores Ethernet
podrían provocarse serios problemas. Incluso aunque no fuera
posible la transmisión directa de usuario-usuario,
los usuarios que modificaran una dirección de origen de un
enrutador podrían provocar que este enrutador no recibiera ya
paquetes.
La presente invención proporciona una solución
sencilla para evitar la modificación de las direcciones de los
enrutadores de esta forma en la parte de la red, mediante un usuario
en la parte del usuario. Esta solución consiste en que cada vez
que se reciba una dirección de origen nueva, en la parte del
usuario o bien en la parte de la red, se determinará la interfaz
con la cual haya sido recibida. A continuación se ejecutará una
comparación entre la dirección de origen nueva recibida en la parte
del usuario, y todas las direcciones de origen almacenadas
recibidas en la parte de la red. Si resulta que la dirección de
origen ya fue almacenada como una dirección de origen desde el lado
de la red, el paquete conteniendo la nueva dirección de origen
quedará descartado. Si una dirección de origen nueva del lado de la
red coincide con una que se haya almacenado en la parte del
usuario, la entrada existente con esta dirección quedará sobrescrita
por el aprendizaje estándar con una indicación extra que consistirá
en una dirección de origen recibida de la parte del usuario. Si una
dirección de origen nueva en la parte del usuario no está todavía
contenida en la tabla de envíos de direcciones, se almacenará
conjuntamente con la información asociada clásica, y con una
indicación que se origine en el lado del usuario en la tabla de
envíos. A tal fin, podrá almacenarse una bandera especial en la FT,
pero la FT podrá también estar dividida en dos partes: una parte
originaria del usuario y una parte originaria de la red, y pudiendo
preverse otras técnicas para crear y almacenar esta distinción por
una persona especializada en el arte.
Si la nueva dirección de origen del enrutador no
está todavía almacenada en la FT, se almacenará también con su
información asociada adicional, y conjuntamente con una indicación
de su origen, en la parte del usuario o de la red, en la FT, o en
la parte de la red de la FT, dependiendo de la implementación de
esta tabla.
Esto está descrito esquemáticamente en la figura
2. Además de descartar un paquete de un usuario que tenga ya
almacenada la dirección de origen de la "red", la información
adicional relacionada con el usuario podrá ser almacenada además en
una tabla adicional. Se tiene que remarcar también por tanto que
además del autoaprendizaje estándar, tal como se ha descrito en los
dos recuadros del lado derecho en la figura 1, pueden ejecutarse
una primera comprobación interna dentro d esta tabla adicional, y
que después del aprendizaje estándar, se ejecutará también una
actualización de esta tabla adicional, por ejemplo al detectar que
una nueva dirección de la red recibida ya haya sido almacenada al
igual que una dirección de usuario en la mencionada tabla de envío
de direcciones. En dicho caso, la entrada en la tabla de envíos de
direcciones relacionada con la dirección del usuario (malicioso)
será copiada y almacenada en la mencionada tabla adicional, después
de cuya etapa la entrada en la tabla de envío de direcciones será
sobrescrita por la nueva dirección recibida y su información
asociada.
Después del aprendizaje estándar, por supuesto,
tendrán lugar otras etapas concernientes a la manipulación de los
paquetes recibidos, tal como es bien conocido por la persona
especializada en el arte.
La ejecución de estas etapas podrá tener lugar
por los medios de procesamiento incluidos en el conmutador de la
red de área local, o por varios módulos de software. A tal fin, los
medios de discriminación, presentes bajo la forma de un programa de
software, o un hardware específico dentro del conmutador, estarán
adaptados para realizar una distinción entre las direcciones de
origen recibidas del interfaz de usuario mencionado y la interfaz
de direcciones de origen. De forma similar, los medios de
comparación para comparar un dirección de origen contenida dentro
de un nuevo paquete de llegada en la mencionada interfaz de usuario
(UI) con todas las direcciones de origen almacenadas en la
mencionada tabla de envío (FT), que fueron recibidas de la
mencionada interfaz de la red (NI), tal como para proporcionar una
señal de control a los medios de descarte para descartar el
mencionado paquete de llegada en el caso de que la dirección de
origen contenida en los mismos ya hubiera sido almacenada como una
dirección de origen recibida de la mencionada interfaz de la red,
podrán también realizarse por los medios de los módulos de
software o mediante hardware.
Así mismo, los medios para detectar que una
nueva dirección de red recibida ya estaba almacenada como una
dirección de usuario en la mencionada tabla de envíos de direcciones
(FT), y para enviar la entrada en la tabla de envío de direcciones
relacionada con la mencionada dirección de usuario a la mencionada
tabla adicional, y para ordenar a la mencionada tabla de envíos
para que sobrescriba esta entrada mediante la nueva dirección
recibida y su información asociada, podrán realizarse por los
medios de programas de software o medios de procesamiento por
hardware.
Por supuesto son posibles otras
implementaciones. Aunque los principios de la invención han sido
descritos anteriormente en relación con el aparato específico, se
comprenderá claramente que esta descripción se realiza solo a modo
de ejemplo, y no como una limitación del alcance de la invención,
según lo definido en las reivindicaciones adjuntas.
Claims (6)
1. Un método para asegurar la comunicación en un
conmutador de una red de área local (AN), que comprende una
interfaz de usuario (UI), y una interfaz de red (NI), en el que el
mencionado método comprende las etapas de extracción de una
dirección de origen (MACi) de cada paquete recibido por el
mencionado conmutador de red de área local (AN), y almacenando la
mencionada dirección (MACi) conjuntamente con la información
asociada en una tabla de envíos de direcciones (FT) incluida en el
mencionado conmutador de la red de área local (AN),
caracterizado porque
se realiza una distinción entre las direcciones
de origen recibidas de la interfaz de usuario (UI) y la interfaz de
red (NI), de forma tal que al detectar que la dirección de origen
(MACi) contenida dentro de un nuevo paquete recién recibido en la
interfaz de usuario (UI) había sido ya almacenada como una dirección
de origen recibida en la interfaz de red (NI), en consecuencia el
paquete recién recibido será descartado, y su dirección de origen
contenida en el mismo no será almacenada dentro de la mencionada
tabla de envíos de direcciones (FT).
2. Un método de acuerdo con la reivindicación 1,
en el que la información de usuario adicional relacionada con el
mencionado paquete descartado está almacenada dentro de una tabla
adicional.
3. Un método de acuerdo con la reivindicación 2,
en el que al detectar que una nueva dirección recibida de la red ya
fue almacenada como una dirección de usuario en la mencionada tabla
de envíos de direcciones (FT), la entrada en la tabla de envíos de
direcciones relacionada con la mencionada dirección de usuario se
almacenará en la mencionada tabla adicional, después de cuya etapa
la mencionada entrada será sobrescrita por la dirección nueva
recibida y su información asociada.
4. Un conmutador de red de área local (AN) que
incluye una interfaz de usuario (UI) y una interfaz de red (NI), y
una tabla de envíos de direcciones (FT) para almacenar las
direcciones de origen (MACi) extraídas de cada paquete recibido por
el mencionado conmutador de red de área local (AN), conjuntamente
con la información asociada relacionada con las mencionadas
direcciones de origen,
caracterizada porque:
el mencionado conmutador de red de área local
(AN) incluye además medios de discriminación adaptados para hacer
una distinción entre las direcciones de origen recibidas de la
mencionada interfaz de usuario y la mencionada interfaz de red, en
la que el mencionado conmutador de red de área local (AN) incluye
unos medios de comparación para comparar una dirección de origen
contenida dentro de un paquete nuevo entrante en la mencionada
interfaz de usuario (UI) con todas las direcciones de origen
almacenadas en la mencionada tabla de envíos (FT), que fueron
recibidas desde la mencionada interfaz de red (NI), de forma que
pueda proporcionarse una señal de control a unos medios de
descarte, para descartar el mencionado paquete entrante en el caso
de que la dirección de origen contenida en el mismo ya haya sido
almacenada como una dirección de origen recibida desde la mencionada
interfaz de red.
5. Un conmutador de red de área local (AN) de
acuerdo con la reivindicación 4, que incluye además una tabla
adicional para almacenar la información de usuario del paquete
descartado.
6. Un conmutador de red de área local (AN) de
acuerdo con la reivindicación 5, que incluye medios para detectar
que una dirección de red recién recibida ya fue almacenada como una
dirección de usuario en la mencionada tabla de envíos de
direcciones (FT), y para enviar la entrada en la tabla de envíos de
direcciones relacionada con la mencionada dirección de usuario a la
mencionada tabla adicional, y para ordenar a la mencionada tabla de
envíos de que sobrescriba esta entrada por la dirección recién
recibida y su información asociada.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP04291831A EP1617619B1 (en) | 2004-07-16 | 2004-07-16 | Method for securing communication in a local area network switch |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2285379T3 true ES2285379T3 (es) | 2007-11-16 |
Family
ID=34931258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES04291831T Active ES2285379T3 (es) | 2004-07-16 | 2004-07-16 | Metodo para asegurar la comunicacion en un conmutador de red de area lcal. |
Country Status (6)
Country | Link |
---|---|
US (1) | US7593397B2 (es) |
EP (1) | EP1617619B1 (es) |
CN (1) | CN1722707B (es) |
AT (1) | ATE361627T1 (es) |
DE (1) | DE602004006251T2 (es) |
ES (1) | ES2285379T3 (es) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101321054B (zh) * | 2007-06-08 | 2011-02-09 | 华为技术有限公司 | 自动防止网络侧媒体接入控制地址被仿冒的方法及其装置 |
FR2923969B1 (fr) * | 2007-11-16 | 2012-11-23 | Canon Kk | Procede de gestion de trames dans un reseau global de communication, produit programme d'ordinateur, moyen de stockage et tete de tunnel correspondants |
US20100088399A1 (en) * | 2008-10-03 | 2010-04-08 | Yoel Gluck | Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP |
US20100088748A1 (en) * | 2008-10-03 | 2010-04-08 | Yoel Gluck | Secure peer group network and method thereof by locking a mac address to an entity at physical layer |
ATE518339T1 (de) * | 2008-10-22 | 2011-08-15 | Alcatel Lucent | Quellbasiertes und zielbasiertes selbst lernendes weiterleitendes paradigma |
CN101488862B (zh) * | 2009-02-23 | 2012-02-08 | 中兴通讯股份有限公司 | 分布式以太网交换机及其内部的mac地址维护方法 |
US20110055571A1 (en) * | 2009-08-24 | 2011-03-03 | Yoel Gluck | Method and system for preventing lower-layer level attacks in a network |
JP2016181191A (ja) * | 2015-03-25 | 2016-10-13 | 富士通株式会社 | 管理プログラム、管理装置及び管理方法 |
US11551544B2 (en) | 2020-01-27 | 2023-01-10 | Inventus Holdings, Llc | Impeding unauthorized network infiltration at remote critical infrastructure facilities |
US11356363B2 (en) * | 2020-03-26 | 2022-06-07 | Red Hat, Inc. | Location change notification handling |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5654985A (en) * | 1993-02-19 | 1997-08-05 | Advanced Micro Devices, Inc. | Address tracking over repeater based networks |
JP3112160B2 (ja) * | 1997-09-29 | 2000-11-27 | 日本電気株式会社 | ネットワークアドレス重複装置の自動検出方式 |
CN1192310C (zh) * | 1999-08-26 | 2005-03-09 | 网观科技(加拿大)有限公司 | 互联网络防火墙 |
IL144100A (en) * | 2000-07-06 | 2006-08-01 | Samsung Electronics Co Ltd | A method based on MAC address in communication restriction |
US8356334B2 (en) * | 2001-05-25 | 2013-01-15 | Conexant Systems, Inc. | Data network node having enhanced security features |
US20030105881A1 (en) * | 2001-12-03 | 2003-06-05 | Symons Julie Anna | Method for detecting and preventing intrusion in a virtually-wired switching fabric |
US7193996B2 (en) * | 2002-02-28 | 2007-03-20 | Acme Packet, Inc. | System and method for determining a source of an internet protocol packet |
US20030236685A1 (en) * | 2002-06-19 | 2003-12-25 | Robert Buckner | Preferred life mortality systems and methods |
US7379423B1 (en) * | 2003-03-20 | 2008-05-27 | Occam Networks, Inc. | Filtering subscriber traffic to prevent denial-of-service attacks |
-
2004
- 2004-07-16 DE DE602004006251T patent/DE602004006251T2/de active Active
- 2004-07-16 AT AT04291831T patent/ATE361627T1/de not_active IP Right Cessation
- 2004-07-16 ES ES04291831T patent/ES2285379T3/es active Active
- 2004-07-16 EP EP04291831A patent/EP1617619B1/en active Active
-
2005
- 2005-07-04 CN CN2005100806220A patent/CN1722707B/zh active Active
- 2005-07-11 US US11/177,313 patent/US7593397B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN1722707B (zh) | 2010-10-06 |
CN1722707A (zh) | 2006-01-18 |
US7593397B2 (en) | 2009-09-22 |
EP1617619A1 (en) | 2006-01-18 |
EP1617619B1 (en) | 2007-05-02 |
DE602004006251T2 (de) | 2008-01-10 |
DE602004006251D1 (de) | 2007-06-14 |
ATE361627T1 (de) | 2007-05-15 |
US20060013221A1 (en) | 2006-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106233673B (zh) | 用于网络服务***的设备和方法 | |
ES2713078T3 (es) | Sistema y método para implementar y gestionar redes virtuales | |
ES2574003T3 (es) | Procedimiento y aparato para proporcionar seguridad de red utilizando control de acceso basado en roles | |
US7831733B2 (en) | Policy-based forwarding in open shortest path first (OSPF) networks | |
US20180375755A1 (en) | Mechanism to detect control plane loops in a software defined networking (sdn) network | |
EP3507953B1 (en) | Techniques for architecture-independent dynamic flow learning in a packet forwarder | |
US20190372895A1 (en) | System and method of a data processing pipeline with policy based routing | |
US20070258462A1 (en) | Network Node Unit And Method For Forwarding Data Packets | |
US20160285753A1 (en) | Lock free flow learning in a network device | |
US20170331641A1 (en) | Deployment Of Virtual Extensible Local Area Network | |
US20060013221A1 (en) | Method for securing communication in a local area network switch | |
US20150052600A1 (en) | Network environment separation | |
US10313154B2 (en) | Packet forwarding | |
US7451203B2 (en) | Method and system for communicating between a management station and at least two networks having duplicate internet protocol addresses | |
US20200213264A1 (en) | Method and apparatus for isolating transverse communication between terminal devices in intranet | |
CN106341423B (zh) | 一种报文处理方法和装置 | |
CN107404470A (zh) | 接入控制方法及装置 | |
CN108259303A (zh) | 一种报文转发方法及装置 | |
CN109691026A (zh) | 用于更新多个多协议标签切换(mpls)双向转发检测(bfd)会话的方法和装置 | |
US20190215191A1 (en) | Deployment Of Virtual Extensible Local Area Network | |
US7619992B2 (en) | Low latency working VPLS | |
US9584339B2 (en) | Connecting a PVLAN switch to a non-PVLAN device | |
US8065393B2 (en) | Method and system for obviating redundant actions in a network | |
Cisco | Cisco VPNSC: MPLS Solution Command Reference | |
Cisco | Cisco MPLS VPN Solutions Command Reference |