Procedimiento y dispositivos para la securización de la conexión de un terminal a una red informática.

Procedimiento de securización de la conexión de un terminal (1) a una red (2) de comunicación, en particular de tipo informático, en el que dicho terminal

(1) se conecta a dicha red (2) a través de por lo menos una interfaz de comunicación (3, 4) de manera que emita y reciba por lo menos un flujo de datos, que comprende unas etapas de:

- creación de una pasarela virtual (6) de control de dicho flujo de datos que comprende una máquina virtual implementada en dicho terminal (1),

- creación de una interfaz virtual (30, 40) a nivel de dicha pasarela (6) por duplicación de dicha interfaz de comunicación (3, 4),

- control de dicho flujo de datos a nivel de dicha pasarela (6) y encaminamiento del flujo de datos controlado hacia dicho terminal (1),

- configuración de dicha interfaz de comunicación (3, 4) para convertirla en indisponible con respecto a dicha red (2), de manera que dicho flujo de datos sea redirigido hacia dicha interfaz virtual (30, 40),

caracterizado por que comprende además una etapa de asignación a la interfaz de comunicación (3, 4) de una dirección incompatible con dicha red (2), de tal manera que dicha interfaz de comunicación (3, 4) se convierte en indisponible con respecto a dicha red (2).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/FR2010/052449.

Solicitante: Saad, Clément.

Nacionalidad solicitante: Francia.

Dirección: 1 Traverse de l'Artimon 34970 Lattes FRANCIA.

Inventor/es: SAAD,CLÉMENT.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones para el control por programa, p. ej.... > G06F9/455 (Emulación; Simulación de software)
  • SECCION G — FISICA > COMPUTO; CALCULO; CONTEO > TRATAMIENTO DE DATOS DIGITALES ELECTRICOS (computadores... > Disposiciones de seguridad para la protección de... > G06F21/55 (La detección de intrusiones locales o la aplicación de contramedidas)

PDF original: ES-2548178_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Procedimiento y dispositivos para la securización de la conexión de un terminal a una red informática.

Campo técnico La presente invención se sitúa en el campo de las comunicaciones y de la informática.

La invención se refiere más particularmente a la conexión de un terminal a una red de comunicación de tipo 10 informático y a la securización de los datos que transitan por una conexión del tipo mencionado.

La invención encontrará una aplicación particular, aunque en ningún caso limitativa, en la securización y la regulación de flujos de datos que entran o salen hacia o desde un terminal, tal como un ordenador, recíprocamente desde o hacia una red de comunicación, en particular informática, tal como internet, a través de una conexión con dicha red.

Estado de la técnica anterior Tal como es sabido, un terminal se conecta a una red informática a través de por lo menos una interfaz de comunicación. Por medio de esta interfaz, transitan flujos de datos entrantes desde dicha red hacia dicho terminal y salientes desde dicho terminal hacia dicha red.

Un inconveniente principal de los flujos de datos, en particular recibidos por dicho terminal, reside en los problemas de seguridad creados. En efecto, dichos datos recibidos pueden ser peligrosos, en particular los que comprenden un programa o datos maliciosos ("malware") por ejemplo, de manera no exhaustiva: un virus, un gusano informático, un troyano, una puerta trasera ("backdoor") , un programa espía, un bulo ("hoax") , correo basura, suplantación de identidad ("phishing") o similares. Por lo tanto, existe una necesidad absoluta de proteger dicho terminal contra la recepción de datos maliciosos del tipo mencionado a través de la securización de su conexión y del filtrado de los datos recibidos.

Por otro lado, la conexión con dicha red puede provocar defectos de seguridad o accesos a portales virtuales no deseados, por ejemplo, sitios de internet de orden personal a los cuales accede un usuario desde un terminal profesional. Se debe contemplar por lo tanto una restricción del acceso de dicho terminal hacia dicha red.

Para ello, existen muchas soluciones, en forma tangible o de software, generalmente dedicadas a uno u otro caso.

Una solución generalizada consiste en un cortafuegos o firewall que limita las intrusiones hacia dicho terminal bloqueando ciertos puertos de comunicación con dicha red y filtrando los flujos de datos. Un firewall puede ser un software, instalado en dicho terminal o un servidor que actúe como pasarela con dicha red, o tangible.

Otra solución, totalmente de software, consiste en aplicaciones denominadas "anti-virus". Se trata de aplicaciones instaladas en dicho terminal, o en un servidor que actúa como pasarela, y que permiten filtrar los datos una vez recibidos.

Dichas soluciones, aunque están adaptadas para terminales de tipo puesto fijo, generan problemas de puesta en práctica en el ámbito de los terminales móviles, de tipo ordenador portátil, susceptibles de conectarse desde diferentes emplazamientos geográficos. Por lo tanto, no se pueden contemplar las soluciones puestas en práctica por un servidor o un hardware anexo físico (tal como un cortafuegos o un encaminador) .

Una solución alternativa conocida consiste en unos dispositivos amovibles, aptos para conectarse a dicho terminal y que permiten configurar para cada terminal parámetros de conexión particulares y que integran programas anti-virus u otros.

Un ejemplo de un dispositivo amovible del tipo mencionado se describe por medio del documento WO 02/095543

referente a la securización, por cifrado, de los datos, en particular de los paquetes que forman dichos flujos. Aunque una solución de este tipo mejora la seguridad de la transferencia de los datos, no impide en modo alguno la transmisión, incluso cifrada, de programas o datos maliciosos.

En el documento WO 2007/069245 se describe otra solución referente a un dispositivo amovible provisto de medios 60 de conexión con un terminal y que actúa como pasarela de forma que filtra los flujos de datos procedentes de dicha red. Para ello, este intermediario integra unos programas ejecutados en dicho terminal desde el dispositivo, aunque también a nivel de hardware para desviar la conexión con dicha red con el fin de que la misma transite por dicho dispositivo amovible.

Un dispositivo de este tipo está limitado al nivel de hardware, en relación con dicho terminal. En efecto, adolece del inconveniente de ser específico de cada tipo de conexión, por cables o no, con dicha red. Además, es específico del sistema operativo que funciona en dicho terminal, dado que actúa en las capas del núcleo de dicho sistema.

Se conoce también el documento US 2006/112342 A1, que describe un procedimiento según el preámbulo de la reivindicación 1.

Exposición de la invención La invención tiene como objetivo paliar los inconvenientes del estado de la técnica al proponer una solución totalmente aplicativa, es decir que se puede implementar en una forma de software, que permite securizar la conexión de un terminal a una red de comunicación. En particular, la invención permite filtrar los flujos de datos por medio de aplicaciones dedicadas y configurar restricciones de acceso de un usuario a dicha red.

De forma ventajosa, el tratamiento de los flujos resulta posible a través de una reproducción virtual de las interfaces de conexión de dicho ordenador y convirtiendo éstas últimas en indisponibles. Para ello, la presente invención se refiere a un procedimiento de securización de la conexión de un terminal a una red de comunicación, en particular de tipo informático, en el que dicho terminal está conectado a dicha red a través de por lo menos una interfaz de comunicación de forma que emite y recibe por lo menos un flujo de datos, según la reivindicación 1.

El procedimiento según la invención puede comprender además unas etapas: -de atribución de una dirección física a la interfaz virtual idéntica a la dirección física de la interfaz de comunicación; -de atribución de una dirección MAC (Control de Acceso al Medio o Media Access Control en inglés) a la interfaz virtual, idéntica a la dirección MAC de la interfaz de comunicación; -de asignación a la interfaz de comunicación de una dirección IP incompatible con la red; -de creación de una interfaz nueva a nivel de dicho terminal apta para recibir el flujo controlado;

El procedimiento según la invención puede comprender además, en calidad de control del flujo de datos a nivel de la pasarela, por lo menos cualquiera de las siguientes etapas: protección, filtrado, tratamiento de dicho flujo de datos.

La pasarela virtual puede comprender una máquina virtual. Esta máquina virtual puede comprender un sistema operativo diferente al del terminal, o un sistema operativo idéntico o similar al del terminal.

Según otros aspectos, se propone: -un dispositivo de programa de ordenador que comprende instrucciones para ejecutar las etapas del procedimiento según la invención, siendo dicho programa de ordenador apto para ser ejecutado en el terminal; -un dispositivo de almacenamiento masivo que comprende un programa de ordenador, caracterizado por que es apto para conectarse al terminal de tal manera que se permite la ejecución de dicho programa de ordenador en dicho terminal; -un dispositivo de almacenamiento masivo que comprende cualquiera de los siguientes dispositivos: llave USB, tarjeta de memoria, disco duro, o cualquier otro soporte físico o virtual.

Según otros modos de realización, el procedimiento según la invención puede consistir en: -crear una pasarela virtual de control aplicativo de dicho flujo de datos; -crear una interfaz... [Seguir leyendo]

 


Reivindicaciones:

1. Procedimiento de securización de la conexión de un terminal (1) a una red (2) de comunicación, en particular de tipo informático, en el que dicho terminal (1) se conecta a dicha red (2) a través de por lo menos una interfaz de 5 comunicación (3, 4) de manera que emita y reciba por lo menos un flujo de datos, que comprende unas etapas de:

- creación de una pasarela virtual (6) de control de dicho flujo de datos que comprende una máquina virtual implementada en dicho terminal (1) , -creación de una interfaz virtual (30, 40) a nivel de dicha pasarela (6) por duplicación de dicha interfaz de comunicación (3, 4) , -control de dicho flujo de datos a nivel de dicha pasarela (6) y encaminamiento del flujo de datos controlado hacia dicho terminal (1) .

15. configuración de dicha interfaz de comunicación (3, 4) para convertirla en indisponible con respecto a dicha red (2) , de manera que dicho flujo de datos sea redirigido hacia dicha interfaz virtual (30, 40) , caracterizado por que comprende además una etapa de asignación a la interfaz de comunicación (3, 4) de una 20 dirección incompatible con dicha red (2) , de tal manera que dicha interfaz de comunicación (3, 4) se convierte en indisponible con respecto a dicha red (2) .

2. Procedimiento de securización según la reivindicación 1, caracterizado por que consiste en:

- crear una pasarela virtual (6) de control aplicativo de dicho flujo de datos, -crear una interfaz virtual (30, 40) a nivel de dicha pasarela (6) por duplicación de dicha interfaz de comunicación (3, 4) , -convertir en indisponible dicha interfaz de comunicación (3, 4) con respecto a dicha red (2) de manera que dicho flujo sea redirigido hacia dicha interfaz virtual (30, 40) , -controlar dicho flujo a nivel de dicha pasarela (6) y a continuación encaminarlo, (controlarlo) , hacia dicho terminal (1) . 35

3. Procedimiento de securización según una de las reivindicaciones 1 o 2, caracterizado por que dicha duplicación comprende además una etapa de creación de un puente entre dicha interfaz de comunicación (3, 4) y dicha interfaz virtual (30, 40) .

4. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además una etapa de atribución de una dirección física a la interfaz virtual (30, 40) idéntica a la dirección física de la interfaz de comunicación (3, 4) .

5. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además una 45 etapa de atribución de una dirección MAC a la interfaz virtual (30, 40) idéntica a la dirección MAC de la interfaz de comunicación (3, 4) .

6. Procedimiento según la reivindicación 6, caracterizado por que comprende además una etapa de asignación a la interfaz de comunicación (3, 4) de una dirección IP incompatible con la red (2) . 50

7. Procedimiento de securización según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además una etapa de creación de una nueva interfaz (8) a nivel de dicho terminal (1) apta para recibir el flujo controlado.

8. Procedimiento de securización según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además, en calidad de control del flujo de datos a nivel de la pasarela (6) , por lo menos cualquiera de las siguientes etapas: protección, filtrado, tratamiento de dicho flujo de datos.

9. Procedimiento de securización según cualquiera de las reivindicaciones anteriores, caracterizado por que la 60 pasarela virtual (6) comprende una máquina virtual.

10. Procedimiento de securización según la reivindicación 10, caracterizado por que la máquina virtual comprende un sistema operativo diferente del correspondiente del terminal (1) .

11. Dispositivo de programa de ordenador, caracterizado por que comprende instrucciones para ejecutar las etapas del procedimiento según cualquiera de las reivindicaciones anteriores, y por que es apto para ser ejecutado en el terminal (1) .

12. Dispositivo de almacenamiento masivo que comprende un programa de ordenador según la reivindicación 11, caracterizado por que es apto para conectarse al terminal (1) de tal manera que permita la ejecución de dicho programa de ordenador en dicho terminal (1) .

13. Dispositivo de almacenamiento masivo según la reivindicación 12, caracterizado por que comprende cualquiera 10 de los siguientes dispositivos: llave USB, tarjeta de memoria, disco duro.