Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única.
Procedimiento para realizar transferencia de una ruta de transmisión inversa de usuario único,
aplicado en una red IPv6, que comprende un enrutador (3) y un equipo (1) en las instalaciones de un cliente, caracterizado porque la red IPv6 comprende un equipo de acceso (2), en el que
el equipo de acceso (2) efectúa búsqueda y obtención de un mensaje de comunicación procedente de un enrutador (3), de manera que el mensaje de comunicación contiene información (S202) de prefijos de dirección;
estableciendo el equipo de acceso (2) una tabla de prefijos basada en la información de prefijos de direcciones obtenida (S204); y
el equipo de acceso (2) recibe un mensaje de petición de acceso desde el equipo (1) de las instalaciones del cliente, determinando si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijos, y decidiendo si debe transferir el mensaje al enrutador (3) basado en el resultado de la determinación (S206).
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2008/073620.
Solicitante: ZTE CORPORATION.
Nacionalidad solicitante: China.
Dirección: ZTE PLAZA, KEJI ROAD SOUTH HI-TECH INDUSTRIAL PARK, NANSHAN DISTRICT SHENZHEN, GUANGDONG 518057 CHINA.
Inventor/es: SUN,PENG, ZHAN,YUPING.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L12/66 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 12/00 Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00). › Disposiciones para la conexión entre redes que tienen diferentes tipos de sistemas de conmutación, p. ej. pasarelas.
- H04L29/06 H04L […] › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
PDF original: ES-2404048_T3.pdf
Fragmento de la descripción:
Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única SECTOR TÉCNICO
La presente invención se refiere al sector de las comunicaciones, y más particularmente se refiere a un procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única o usuario único (URPF) .
ANTECEDENTES
En una suplantación de red utilizando una dirección de origen, el equipo del atacante (“hacker”) envía un gran número de mensajes de sincronización (SYN) de protocolo de control de transmisión (TCP) con direcciones de origen a un ordenador principal víctima, ocupando, por lo tanto, recursos de sesión de dirección de red (NAT) de una pasarela de seguridad, finalmente ocupando de modo total una tabla de sesión NAT de la pasarela de seguridad y provocando que todos los clientes dentro de una red de área local se vean incapaces de utilizar la red con normalidad.
El URPF es una medida efectiva para aumentar la seguridad de enrutado, y se utiliza principalmente para impedir procesos de ataque de red de dirección de origen. El URPF utiliza el siguiente mecanismo de transferencia del paquete de datos: cuando un enrutador recibe un paquete de datos, se comprueba una tabla de enrutado y determina si el enrutado que devuelve la dirección IP de origen del paquete de datos entra desde un interfaz en el que el paquete de datos ha sido recibido; si es así, el paquete de datos es transferido normalmente; de otro modo, se considera que la dirección IP de origen es una pseudo-dirección, y entonces se descarta el paquete de datos. Un mecanismo de transferencia de enrutado inverso juega un cierto papel en la prevención de ataques llevados a cabo mediante direcciones de origen maliciosas y de negación distribuida de servicio (DDoS) .
Por ejemplo, si un enrutador recibe un paquete de datos con una dirección IP de origen DA, pero no hay ruta (es decir, la ruta requerida para la transmisión inversa del paquete de datos) prevista para la dirección IP DA en la tabla de enrutado, entonces el enrutador descartará el paquete de datos. El URPF impide una suplantación SMURF y otros ataques basados en ocultación de dirección IP en un proveedor de servidor de Internet (ISP) (oficina final) , de esta manera, la red y los clientes pueden ser protegidos contra intrusiones desde Internet y otros lugares.
Desde la perspectiva de efecto de protección, el equipo es más marginal, el efecto de protección de la red es preferible. Entre tanto, para un equipo marginal, el tráfico de red es relativamente menor y el rendimiento de la transferencia de red se ve poco influenciado cuando la función de protección es activada.
El documento "Tools Available for Securing IPv6 Networks" (In: Ciprian Popoviciu; Eric Levy-Abegnoli; Patrick Grossetete: "Deploying IPv6 Networks", 10 de febrero de 2006 (2006-02-10) , Cisco Press, XPOO2646892, ISBN: 978-158705-210-1 Páginas 260-273) da a conocer: que las políticas de seguridad que implementan la verificación de la dirección de origen son importantes en la eliminación de ataques de suplantación (“spoofing”) . Estas políticas impiden el suplantación (“spoofing”) de la dirección de origen a nivel de prefijo. Se deberían implementar lo más cerca posible de la situación del elemento no asegurado. Una red de acceso es un escenario típico en el que estas políticas pueden ser aplicadas. El proveedor de servicio que opera la red desea asegurar que sus clientes no intentarán interferir una dirección con un prefijo distinto del suyo propio. La figura 9-7 muestra el caso en el que el ordenador principal A se ve impedido de enviar tráfico utilizando la dirección del ordenador principal B como dirección de origen.
El documento "Unicast Reverse Path Forwarding for IPv6 on the Cisco 120000 Series Internet Router" (1 de enero de 2005 (2005-01-01) , páginas 1-18, XP002646905, recuperado de Internet) da a conocer: que la transferencia de ruta de transmisión inversa de dirección o usuario único (Unicast RPF) para la característica IPv6, reduce los problemas provocados por la introducción de direcciones de origen IPv6 malformadas o falsificadas (“spoofed”) en una red al descartar paquetes IPv6 que carecen de dirección de origen IPv6 verificable. Cuando se activan en un interfaz dirigido a cliente (o sub-interfaz) de un procesador de interfaz 5 SPA (10G SIP) con motor 10G de Cisco serie 12000, esta característica filtra el tráfico IPv6 protegiendo una red de un proveedor de servicio y sus clientes.
Por lo tanto, es vital llevar a cabo URPF. No obstante, una red IPv6 actualmente carece de la tecnología para realizar un control de filtro de dirección de origen con un equipo de acceso a un ancho de banda.
RESUMEN
Teniendo en cuenta el problema anterior de que un equipo de acceso carece de tecnología de control de filtro de dirección de origen, la presente invención está destinada a proporcionar un procedimiento y aparato para llevar a cabo URPF.
A efectos de conseguir el objetivo anterior de la presente invención, de acuerdo con un aspecto de la presente invención, se da a conocer un procedimiento para llevar a cabo URPF. El procedimiento es aplicado en una red IPv6, de manera que la red IPv6 comprende un enrutador y un equipo en las instalaciones del cliente, caracterizado porque la red IPv6 comprende, además, un equipo de acceso.
El procedimiento para llevar a cabo URPF, de acuerdo con la presente invención, comprende: el equipo de acceso intenta captar y obtiene un mensaje de comunicación del enrutador, de manera que el mensaje de comunicación contiene información de prefijo de dirección; el equipo de acceso establece una tabla de prefijo basada en la información de prefijo de la dirección obtenida; y el equipo de acceso recibe un mensaje de petición de acceso del equipo situado en las instalaciones del cliente, determina si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijo y decide si debe transferir el mensaje al enrutador basándose en el resultado de la determinación.
Preferentemente, bajo las circunstancias de que el mensaje de comunicación que se ha captado y obtenido por el equipo de acceso es enviado periódicamente por el enrutador de acuerdo con un periodo predeterminado, y si el equipo de acceso obtiene un nuevo mensaje de comunicación, el procedimiento puede comprender, además: el equipo de acceso actualiza la información registrada en la tabla de prefijos.
Preferentemente, el procedimiento puede comprender además: dejar en reposo la información registrada en la tabla de prefijos si dicha información registrada en la tabla de prefijos no es actualizada dentro del tiempo predeterminado.
Preferentemente, la decisión de si transferir el mensaje basada en el resultado de determinación, puede ser específicamente: transferir el mensaje al enrutador si el resultado de la determinación es sí, y descartar el mensaje si el resultado de la determinación es no.
De acuerdo con otro aspecto de la presente invención, se prevé además un aparato para realizar URPF, siendo aplicado el aparato en una red IPv6, comprendiendo la red IPv6 un enrutador y un equipo en las instalaciones del cliente, caracterizándose porque la red IPv6 comprende además un equipo de acceso.
El aparato para realizar URPF, de acuerdo con la presente invención, está dispuesto en el equipo de acceso en la red IPv6, comprendiendo dicho aparato: un módulo de búsqueda y obtención, un módulo de establecimiento, un módulo receptor y un módulo de transferencia en el que el módulo de búsqueda y obtención está destinado a la búsqueda y obtención de un mensaje de comunicación desde el enrutador, en el que el mensaje de comunicación contiene información de prefijo de dirección; el módulo de establecimiento está destinado a establecer una tabla de prefijos basada en la información de prefijo de dirección obtenida; el módulo de recepción está destinado a recibir un mensaje de petición de acceso desde las instalaciones del cliente y el módulo de transferencia está destinado a transferir el mensaje al enrutador si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijos establecida por el módulo de establecimiento.
Preferentemente, el aparato antes indicado puede comprender además un módulo de determinación conectado al módulo receptor y al módulo de transferencia, para determinar si la dirección IP de la de origen del mensaje de petición de acceso existe en la tabla de prefijos establecida por el módulo de establecimiento, y si el resultado de la determinación es sí, se puede ejecutar el módulo... [Seguir leyendo]
Reivindicaciones:
1. Procedimiento para realizar transferencia de una ruta de transmisión inversa de usuario único, aplicado en una red IPv6, que comprende un enrutador (3) y un equipo (1) en las instalaciones de un cliente, caracterizado porque la red IPv6 comprende un equipo de acceso (2) , en el que el equipo de acceso (2) efectúa búsqueda y obtención de un mensaje de comunicación procedente de un enrutador (3) , de manera que el mensaje de comunicación contiene información (S202) de prefijos de dirección; estableciendo el equipo de acceso (2) una tabla de prefijos basada en la información de prefijos de direcciones obtenida (S204) ; y el equipo de acceso (2) recibe un mensaje de petición de acceso desde el equipo (1) de las instalaciones del cliente, determinando si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijos, y decidiendo si debe transferir el mensaje al enrutador (3) basado en el resultado de la determinación (S206) .
2. Procedimiento, según la reivindicación 1, en el que bajo las circunstancias de que el mensaje de comunicación buscado y obtenido por el equipo de acceso (2) es enviado periódicamente por el enrutador (3) , de acuerdo con un periodo predeterminado, y si el equipo de acceso (2) obtiene un nuevo mensaje de comunicación, el procedimiento comprende, además:
el equipo de acceso (2) actualiza la información registrada en la tabla de prefijos.
3. Procedimiento, según la reivindicación 1, que comprende, además:
mantener en reposo la información registrada en la tabla de prefijos si la información registrada en la tabla de prefijos no está actualizada dentro de un periodo de tiempo predeterminado, en el que la expresión, medios de mantenimiento en reposo, significa que en las instalaciones a las que ha llegado el mensaje de comunicación en el enrutador (3) , si no se ha indicado registro de que el mensaje de comunicación ha llegado al enrutador (3) y ha sido procesado después de regeneración realizada tres veces, se supone que el registro ha sido borrado en el interfaz del enrutador.
4. Procedimiento, según la reivindicación 1, en el que la decisión de si se debe enviar el mensaje basado en el resultado de la determinación, comprende:
transferir el mensaje al enrutador (3) si el resultado de la determinación es si; descartar el mensaje si el resultado de la determinación es no.
5. Aparato para llevar a cabo transferencia de ruta de transmisión inversa, aplicado a una red IPv6 que comprende un enrutador (3) , y un equipo (1) en las instalaciones de un cliente, caracterizado porque la red IPv6 comprende un equipo de acceso (2) , estando dispuesto el aparato en el equipo de acceso (2) , y comprendiendo el aparato:
un módulo de búsqueda y obtención de un mensaje de comunicación procedente del enrutador (3) , en el que el mensaje de comunicación contiene información de prefijo de dirección; un módulo de establecimiento (20) para establecer una tabla de prefijo basada en la información de prefijo de dirección obtenida; un módulo receptor (30) para recibir un mensaje de petición de acceso desde el equipo (1) de las instalaciones del cliente; y un módulo de transferencia (40) para transferir el mensaje al enrutador (3) si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijo establecida por el módulo de establecimiento (20) .
6. Aparato, según la reivindicación 5, que comprende, además, un módulo de determinación (50) conectado al módulo receptor (30) y al módulo de transferencia (40) , para determinar si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijo establecida por el módulo de establecimiento (20) ; y si el resultado de la determinación es si, se ejecuta la transferencia del módulo (40) .
7. Aparato, según la reivindicación 5, que comprende, además, un módulo de actualización (60) conectado al módulo (10) de búsqueda y obtención y al módulo de establecimiento (20) , para actualizar la información registrada en la tabla de prefijo.
8. Aparato, según la reivindicación 7, que comprende, además, un módulo de mantenimiento en reposo (70) conectado al módulo de establecimiento (20) , para mantener en reposo información registrada que no ha sido actualizada dentro de un periodo de tiempo predeterminado en la tabla de prefijo, en el que el mantenimiento en reposo significa que en las instalaciones a las que ha llegado el mensaje de comunicación en el enrutador (3) , si un registro de que el mensaje de comunicación ha llegado al enrutador (3) no ha sido indicado y procesado después de que se ha llevado a cabo regeneración tres veces, se considera que el registro ha sido borrado en el interfaz del enrutador.
9. Aparato, según la reivindicación 8, en el que el módulo de transferencia (40) transfiere el mensaje de acuerdo con una lista de control de acceso bajada de la tabla de prefijo establecida.
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]