PROCEDIMIENTO DE EXPLOTACIÓN DE UNA RED INFORMÁTICA LOCAL CONECTADA A UNA RED REMOTA PRIVADA MEDIANTE UN TÚNEL IPSEC.

Procedimiento de explotación de una red local (RES_L) que incluye un terminal local (T_L) enlazado con una pasarela (PASS_D) de una red remota (RES_D) mediante un túnel en modo de bloqueo,

de manera tal que un flujo emitido por el terminal (T_L) con destino a un equipo (E_L) de la red local (RES_L) se encamina hacia la pasarela (PASS_D) a través de dicho túnel, caracterizado porque comprende:

- una operación de reenvío, puesta en práctica en la pasarela (PASS_D), de un flujo emitido por el terminal (T_L), encaminado a través de dicho túnel y no destinado a dicha red remota, consistente en reenviar el flujo en cuestión hacia un encaminador (ROUT_L) perteneciente a la red local, a efectos de la redirección del flujo en cuestión por parte de dicho encaminador hacia un equipo de la red local al que está destinado el flujo en cuestión, identificándose dicho encaminador (ROUT_L) a partir de una información obtenida por la pasarela (PASS_D) en el establecimiento del túnel.

Procedimiento de explotación de una red informática local conectada a una red remota privada mediante un túnel IPsec

La invención se refiere, de modo general, a la explotación de redes relacionadas entre sí, en particular de redes informáticas.

Más precisamente, la invención se refiere, según un primero de sus aspectos, a un procedimiento de explotación de una red local que incorpora un terminal local enlazado con una pasarela de una red remota mediante un túnel en modo de bloqueo, de manera tal que un flujo emitido por el terminal con destino a un equipo de la red local se encamina hacia la pasarela a través de dicho túnel.

Un procedimiento de este tipo queda descrito, por ejemplo, en la solicitud de patente US2003/182363.

Como sabe el experto en la materia, un enlace entre dos redes puede ser de tipo IP y puede estar constituido por la red Internet o por cualquier otra red que utiliza los protocolos de Internet.

Por otro lado, como sabe igualmente el experto en la materia, Internet utiliza un protocolo de seguridad conocido con la denominación "IPsec", que es el acrónimo obtenido del inglés "Internet Protocol Security".

La presente invención se refiere, en su principal aplicación concreta, a los ordenadores en situación de nomadismo cuando están conectados a una red privada de empresa mediante el protocolo IPsec. Es de aplicación particularmente adaptada cuando el nómada realiza teletrabajo, es decir, cuando está conectado desde su red doméstica (la red local de su domicilio) a la red remota privada de su empresa. El procedimiento, no obstante, sigue siendo operante para otros tipos de redes locales, como por ejemplo las zonas de conexión inalámbrica llamadas "hot spots wi-fi".

Por convención, la presente descripción utiliza los términos "terminal" o "terminal local" para designar el ordenador por el que el nómada se conecta a su red local y luego a la red remota privada del la empresa.

El término "equipo local" designa todo equipo informático conectado a la red local y al que es preciso dar acceso al terminal durante sus conexiones IPsec. Este equipo local podrá estar así constituido, de manera estadísticamente representativa, por una impresora, pero también podrá estar constituido por cualquier tipo de servidor de la red local (FTP, Telnet...) al que el terminal tendrá que tener acceso durante sus conexiones IPsec.

Los términos "encaminador", "encaminador local" y "encaminador doméstico" designan un equipo que está situado en la entrada de la red local (o doméstica, si se contempla al nómada como un teletrabajador) y cuyas funciones se definirán más precisamente con posterioridad.

El término "pasarela" y, particularmente, "pasarela IPsec", designa un equipo que está situado entre el terminal y la red remota privada de la empresa, que es el encargado en particular de dar fin a los túneles, particularmente a los túneles IPsec, procedentes de los terminales y cuyas funciones se definirán más precisamente con posterioridad. Éste puede estar situado en la frontera de la red remota y ser gestionado por la empresa o por un operador de redes de telecomunicaciones.

Por motivos de seguridad, la mayoría de las puestas en práctica del protocolo IPsec no permiten al terminal local acceder simultáneamente a la red local y a la red remota de la empresa. Sin esta prohibición, el terminal estaría en situación de "doble nexo" e interconectaría de este modo las dos redes, constituyendo una grave falla de seguridad.

Esta prohibición queda asegurada por un modo específico denominado "modo de bloqueo" y previsto en particular en el protocolo IPsec.

El modo de bloqueo es, por tanto, una técnica que permite evitar el doble nexo de un terminal local a la red remota accesible en IPsec (típicamente, la red privada de la empresa) y a la red local (típicamente la red doméstica) . Para tal fin, el modo de bloqueo impide toda comunicación del terminal local al margen del túnel IPsec, lo que tiene como efecto el de limitar ampliamente los riesgos de ataques por rebote en el túnel IPsec (y, por tanto, hacia el sistema de información de la empresa) .

Como el modo de bloqueo reviste el mayor interés para las empresas preocupadas por la seguridad, las políticas de seguridad de las empresas accesibles a distancia gracias a IPsec generalmente prevén activarlo por defecto.

En la práctica, el modo de bloqueo se pone en práctica en el soporte lógico IPsec del terminal y generalmente modifica la configuración de encaminamiento del cliente de manera que envía todos los paquetes hacia un caminopor defecto que pertenece al plan de direccionamiento de la red remota de la empresa. Éste pone en práctica asimismo una función de filtrado de acceso (típicamente un cortafuegos personal) que impide toda comunicación desde el exterior hacia el terminal.

La contrapartida de este funcionamiento de seguridad es que el terminal nómada, durante una conexión a una red remota (también llamada "intranet") , ya no puede acceder a las máquinas (equipos) que están presentes en la red local a la que está físicamente conectado. En particular, ya no tiene acceso a la impresora de su red local, puesto que todos los flujos de control y de datos son canalizados automáticamente por el túnel de bloqueo hacia la red remota de la empresa.

Una vía conocida a día de hoy para salvar este problema consiste en utilizar la técnica llamada de "túnel dividido" (o "split tunneling") , que ofrece al terminal local la posibilidad de direccionar directamente cualquier equipo de la red local pese a la existencia concomitante del túnel IPsec y, por tanto, de acceder a los servicios locales.

El problema está en que esta técnica hace que aparezca un serio riesgo de penetración pirata en la red remota de la empresa por rebote en el terminal, siendo fuertemente desaconsejado, e incluso prohibido, recurrir a esta técnica por la mayoría de los administradores de redes corporativas.

En este contexto, la presente invención tiene como objetivo, en particular, proponer un procedimiento que permite al terminal local direccionar un equipo local pese a la existencia concomitante de un enlace de este terminal con una pasarela IPsec a través de un túnel de bloqueo, funcionalidad esta que se obtiene sin degradación de la seguridad ofrecida por el túnel de bloqueo y sin modificación del terminal local ni del equipo local de interés ni, en particular, de la impresora.

Para este propósito, el procedimiento de la invención, por otro lado conforme a la definición genérica que le da el anterior preámbulo, está caracterizado esencialmente porque comprende una operación de reenvío, puesta en práctica en la pasarela, de un flujo emitido por el terminal, encaminado a través de dicho túnel y no destinado a dicha red remota, consistente en reenviar el flujo en cuestión hacia un encaminador perteneciente a la red local, a efectos de la redirección del flujo en cuestión por parte de dicho encaminador hacia un equipo de la red local al que está destinado el flujo en cuestión, identificándose dicho encaminador a partir de una información obtenida por la pasarela en el establecimiento del túnel.

Si bien la solicitud de patente US2004/177157 describe un procedimiento de gestión de direcciones, esta solicitud no enseña la redirección de un flujo de datos hacia un equipo de una red local.

La operación de reenvío puede incluir, por ejemplo, la recepción de dicho flujo por un encaminador de la red local y el encaminamiento automático de dicho flujo por parte de dicho encaminador hacia dicho equipo.

La operación de reenvío puede incluir asimismo el análisis de los flujos por parte de la pasarela al objeto de reconocer un flujo no destinado a dicha red remota.

La invención, en una definición particular y muy detallada, puede adoptar así la forma de un procedimiento de explotación de una red informática local en una configuración que comprende, además de esa red local,

- una red informática remota privada a la que está conectada la red local a través de una red de enlace de tipo IP,

- un encaminador local dispuesto en la interfaz entre la red local y la red de enlace, y

- una pasarela IPsec dispuesta en la interfaz entre la red remota y la red de enlace,

comprendiendo la red local al menos un terminal local y un equipo informático local y estando enlazado el terminal con la pasarela IPsec mediante... [Seguir leyendo]

1. Procedimiento de explotación de una red local (RES_L) que incluye un terminal local (T_L) enlazado con una pasarela (PASS_D) de una red remota (RES_D) mediante un túnel en modo de bloqueo, de manera tal que un flujo emitido por el terminal (T_L) con destino a un equipo (E_L) de la red local (RES_L) se encamina hacia la pasarela (PASS_D) a través de dicho túnel, caracterizado porque comprende:

- una operación de reenvío, puesta en práctica en la pasarela (PASS_D) , de un flujo emitido por el terminal (T_L) , encaminado a través de dicho túnel y no destinado a dicha red remota, consistente en reenviar el flujo en cuestión hacia un encaminador (ROUT_L) perteneciente a la red local, a efectos de la redirección del flujo en cuestión por parte de dicho encaminador hacia un equipo de la red local al que está destinado el flujo en cuestión, identificándose dicho encaminador (ROUT_L) a partir de una información obtenida por la pasarela (PASS_D) en el establecimiento del túnel.

2. Procedimiento según la reivindicación 1, caracterizado porque la operación de reenvío incluye:

- la recepción de dicho flujo por dicho encaminador (ROUT_L) ,

- el encaminamiento automático de dicho flujo por parte de dicho encaminador (ROUT_L) hacia dicho equipo (E_L) .

3. Procedimiento según una cualquiera de las reivindicaciones precedentes, caracterizado porque la operación de reenvío incluye:

- el análisis de los flujos por la pasarela (PASS_D) al objeto de reconocer un flujo no destinado a dicha red remota (RES_D) .

4. Procedimiento según una cualquiera de las reivindicaciones 1 a 3, en el que el encaminador local (ROUT_L) , al que se asigna una dirección encaminable (AD_1) , sustituye una dirección (ad_1) del terminal (T_L) interna a la red local por su propia dirección encaminable (AD_1) en una petición de conexión a la red remota privada (RES_D) proveniente del terminal (T_L) con destino a la pasarela (PASS_D) y en el que la pasarela (PASS_D) asigna al terminal local una dirección (ad_3) interna a la red remota (RES_D) en el establecimiento del túnel de bloqueo, comprendiendo además este procedimiento una operación de correlación puesta en práctica en la pasarela (PASS_D) en el establecimiento del túnel de bloqueo y consistente en memorizar una tabla de consulta que establece una mutua correspondencia entre la dirección encaminable (AD_1) del encaminador local y la dirección (ad_3) del terminal interna a la red remota, utilizando la operación de reenvío del flujo la tabla de consulta y consistiendo ésta en reenviar hacia la dirección encaminable (AD_1) del encaminador local el flujo proveniente del terminal (T_L) identificado mediante la dirección (ad_3) interna a la red remota.

5. Procedimiento según una cualquiera de las reivindicaciones precedentes combinada con la reivindicación 2, caracterizado porque la operación de encaminamiento automático se pone en práctica mediante una técnica de traducción de puerto.

6. Procedimiento según una cualquiera de las reivindicaciones 1 a 5, caracterizado porque el flujo reenviado comprende un mandato de impresión.

7. Procedimiento según una cualquiera de las reivindicaciones precedentes combinada con la reivindicación 2, caracterizado porque comprende una operación puesta en práctica por la pasarela (PASS_D) y consistente en establecer un segundo túnel, de tipo IPsec o SSL, que enlaza esta pasarela (PASS_D) con el encaminador local (ROUT_L) .

8. Procedimiento según una cualquiera de las reivindicaciones 1 a 6, caracterizado porque comprende una operación puesta en práctica por la pasarela (PASS_D) y consistente en establecer un segundo túnel, de tipo IPsec

o SSL, que enlaza esta pasarela (PASS_D) con el equipo local (E_L, ad_2) , constituido por una impresora.

9. Procedimiento según una cualquiera de las reivindicaciones precedentes combinada con la reivindicación 2, caracterizado porque comprende una operación puesta en práctica por el encaminador local (ROUT_L) y consistente en reservar a la pasarela (PASS_D) el acceso al equipo local (E_L, ad_2) , constituido por una impresora.

10. Módulo de soporte lógico (MTI) , caracterizado porque comprende instrucciones que, una vez cargado este módulo en una pasarela (PASS_D) de una red remota, ponen en práctica al menos la operación de reenvío del procedimiento según una cualquiera de las reivindicaciones 1 a 9.

11. Pasarela para una red remota, caracterizada porque comprende un módulo de soporte (MTI) según la reivindicación 10.

12. Pasarela según la reivindicación 11, caracterizada porque la pasarela es una pasarela (PASS_D) IPsec.