Sistema y procedimiento de comunicación en red segura.

Sistema de transmisión de datos para un intercambio seguro de datos utilizando un protocolo de control de transmisión entre un cliente (10) y un servidor (12),

comprendiendo el sistema un agente (16) y un intermediario (14) conectados a través de por lo menos un cortafuegos para intercambiar datos sobre un enlace de red no asegurada (18), en el que:

el agente (16) establece una sesión de control segura con el intermediario (14) utilizando un transporte seguro sobre el enlace de red insegura (18);

al recibir un paquete TCP SYN desde el cliente (10) a través de una red segura, el intermediario (14) es operativo para capturar el paquete TCP SYN y enviar un paquete de control modificado al agente (16) utilizando la sesión de control segura;

el agente (16) es operativo para recibir el paquete de control modificado desde el intermediario (14) y para generar su propio paquete TCP SYN y para enviar su propio paquete TCP SYN al servidor (12);

al recibir un paquete de respuesta desde el servidor (12), el agente (16) es operativo para enviar un paquete de respuesta al intermediario (14) utilizando la sesión de control segura;

y al recibir un paquete de respuesta desde el agente (16), el intermediario (14) es operativo para enviar un paquete de respuesta al cliente (10);

en el que en el caso de que un intercambio de paquetes de control TCP entre el agente y el servidor indique el establecimiento de una sesión TCP, el agente (16) es operativo para establecer un canal de datos entre el agente y el intermediario con el fin de crear un canal TCP transparente entre el cliente (10) y el servidor (12), y, en el caso de que un intercambio de paquetes de control TCP entre el agente y el servidor indique un fallo en el establecimiento de una sesión TCP, el paquete de respuesta reenviado por el intermediario (14) al cliente (10) indica que la conexión ha fallado.

Sistema y procedimiento de comunicación en red segura.

La presente invención se refiere a un sistema y a un procedimiento de comunicación en red segura. Particularmente, se refiere a un sistema y a un procedimiento de comunicaciones para posibilitar que clientes seguros obtengan un acceso seguro y transparente a un servidor remoto a través de una red insegura.

Se ha reconocido ampliamente que la conexión de un ordenador para comunicarse con una red insegura, tal como Internet, representa un riesgo de seguridad. Para llevar a cabo tareas útiles, dicho ordenador debe reaccionar necesariamente a datos que son recibidos desde servidores remotos a través de la red. Los atacantes maliciosos pueden aprovechar deficiencias del sistema operativo y aplicaciones del ordenador para reaccionar de tal manera que lleven a cabo funciones que podrían comprometer la seguridad u operatividad del ordenador. Por consiguiente, es normal que un ordenador privado o red de ordenadores no se conecte directamente a una red pública. Por el contrario, se realiza una conexión a la red a través de alguna interfaz restrictiva que controla la naturaleza de los datos que se pueden intercambiar entre los ordenadores privados y la red no asegurada. La configuración típica de los anfitriones y redes es que los anfitriones de cliente sean “internos” o de confianza, mientras que los servidores son “externos” o no fiables.

Dos de los procedimientos existentes para posibilitar un acceso transparente y seguro por pasarela entre redes se realizan por medio de un proxy (por ejemplo, según se da a conocer en los documentos US-A-5.623.601 y US-A-5.781.550) y mediante la traducción de direcciones de red (NAT) (por ejemplo, según se da a conocer en el documento US-A-5.793.763) . En muchos casos, estas disposiciones proporcionan un servicio adecuado a usuarios y ordenadores “internos”. No obstante, el servicio proporcionado no es el mismo que el de una conexión de red directa. En el caso de un proxy, normalmente se permiten solo conexiones a una gama configurable de puertos bien conocidos en servidores remotos. Esto puede permitir que un administrador de la red restrinja los tipos de servicio a los que puede acceder un usuario de la red, y las máquinas de cliente permanezcan ocultas para los servidores externos.

Estos sistemas conocidos permiten que un usuario de red acceda a servicios externos tales como la Red Informática Mundial (Worldwide Web) , el correo electrónico de Internet, y otros, y por lo tanto son selectivamente transparentes a protocolos de la capa de aplicación de OSI (Capa 7) . No obstante, no proporcionan conexiones transparentes para protocolos de red de nivel inferior. En particular, en la capa de transporte de OSI (Capa 4) , en la que se usa comúnmente el Protocolo de Control de Transmisión (TCP) , y en la capa de red de OSI (Capa 3) , en la que se usa comúnmente el Protocolo de Internet (IP) , estos sistemas carecen de transparencia. Esto puede constituir una fuente de problemas cuando la red no está funcionando normalmente, tal como, por ejemplo, cuando falla el establecimiento de una conexión TCP.

La implementación conocida de una pasarela proxy transparente no es totalmente transparente, particularmente con respecto a los paquetes de control TCP/IP. Por ejemplo, considérese el caso en el que un cliente completa el establecimiento de la conexión entre él mismo y un proxy, antes de que el proxy intente establecer una conexión con el anfitrión de destino. Si la conexión del proxy falla, entonces la conexión establecida con el anfitrión se desconecta. El cliente se hace por lo tanto una idea incorrecta de la red, lo cual para el descubrimiento de servicios por parte de clientes de servicios del servidor tiene una importancia crucial. En este ejemplo, el cliente percibe el puerto de servicio como abierto, lo cual no es así.

Los desarrollos más recientes en el acceso remoto han producido lo que se describe en ocasiones como proxys o pasarelas inversos, en donde clientes “externos” a la red son autenticados y se les proporciona un acceso seguro a servidores “internos”. No obstante, las pasarelas no son transparentes, lo cual requiere, en su lugar, software desplegado por el cliente, que negocia conexiones con el proxy inverso.

La solicitud de patente US 2002/0042875 da a conocer también cómo posibilitar que clientes obtengan un acceso seguro y transparente a un servidor remoto a través de una red insegura.

Uno de los objetivos de esta invención consiste en proporcionar una transparencia aumentada, en comparación con sistemas conocidos, al mismo tiempo que manteniendo la seguridad para los sistemas de cliente. Una finalidad particular de las formas de realización preferidas de la invención consiste en proporcionar una transparencia TCP completa en el cliente con el fin de permitir el descubrimiento automático de recursos de la red.

A partir de un primer aspecto, esta invención proporciona un sistema de transmisión de datos para un intercambio seguro de datos usando el Protocolo de Control de Transmisión entre un cliente y un servidor según se expone en la reivindicación 1.

Típicamente, el servidor se conecta al intermediario para el intercambio de datos a través de una red asegurada – es decir, una red “interna”. Para proteger la red interna, la red asegurada se conecta típicamente a la red no asegurada por medio de uno o más de entre un cortafuegos, un proxy o un dispositivo de traducción de direcciones de red (NAT) .

El protocolo seguro puede utilizar un protocolo de seguridad de la capa de transporte (TLS) . El protocolo TLS se puede usar para acarrear el protocolo de transporte de hipertexto (HTTPS) seguro. Esto tiene la ventaja de que el puerto 443, puerto usado para HTTPS, se deja típicamente abierto en cortafuegos de la red y proxys. Alternativamente, se puede usar el protocolo HTTP CONNECT.

Los paquetes de control gestionados por el sistema incluyen paquetes TCP SYN y paquetes TCP ACK. Los paquetes de respuesta incluyen paquetes TCP SYN ACK y TCP RST ACK. Estos son los paquetes involucrados principalmente en el establecimiento de una sesión TCP. El paquete de control y el paquete de respuesta pueden ser paquetes del Protocolo de Mensajes de Control de Internet. Dichos paquetes están involucrados típicamente en el descubrimiento automático de recursos de la red.

Mediante la modificación adecuada de las direcciones de origen y de destino dentro de estos paquetes, los datos intercambiados por el cliente y el servidor son similares a aquellos que se intercambiarían si el cliente y el servidor estuvieran en comunicación directa.

Para controlar los servicios y servidores a los que puede acceder un usuario, el intermediario aplica reglas para determinar si el paquete de control se reenvía o no a la gente. Las reglas pueden depender de uno o más de entre el originador del paquete, la dirección del destino del paquete, y el número de puerto de destino del paquete.

Las formas de realización de la invención pueden ser operativas para prestar servicio a múltiples redes virtuales a través de una red de acceso de cliente. En tales formas de realización, la red de acceso de cliente es típicamente responsable de la gestión del acceso del cliente. La red de acceso de cliente puede usar uno o ambos de los servicios normalizados de AAA (Autorización, Autenticación y Contabilidad) y VPN (Red Privada Virtual) .

A partir de un segundo aspecto, la invención proporciona un procedimiento de transmisión de datos según se expone en la reivindicación 11.

A continuación se describirá con mayor detalle, a título de ejemplo, una forma de realización de la invención, haciendo referencia a los dibujos adjuntos, en los que:

la figura 1 es un diagrama que ilustra la comunicación entre un cliente y un servidor en un sistema que materializa la invención;

la figura 2 es un diagrama de bloques de un intermediario como componente de un sistema que materializa la invención; y

la figura 3 es un diagrama de bloques de un agente como componente de un sistema que materializa la invención.

Haciendo referencia inicialmente a la figura 1, un cliente 10 que está funcionando dentro de una red segura se conecta a un servidor remoto externo 12 por medio de un intermediario 14 y un agente 16. El intermediario 14 y el agente 16 se comunican a través de una red insegura 18, que lo más habitual es que incluya un enlace de Internet.

En el sistema de la figura 1, el cliente 10 está intentando establecer una comunicación con el servidor 12. El intermediario 14 sirve como pasarela de Internet intermedia, que “engaña” al servidor... [Seguir leyendo]

1. Sistema de transmisión de datos para un intercambio seguro de datos utilizando un protocolo de control de transmisión entre un cliente (10) y un servidor (12) , comprendiendo el sistema un agente (16) y un intermediario (14) conectados a través de por lo menos un cortafuegos para intercambiar datos sobre un enlace de red no asegurada (18) , en el que:

el agente (16) establece una sesión de control segura con el intermediario (14) utilizando un transporte seguro sobre el enlace de red insegura (18) ;

al recibir un paquete TCP SYN desde el cliente (10) a través de una red segura, el intermediario (14) es operativo para capturar el paquete TCP SYN y enviar un paquete de control modificado al agente (16) utilizando la sesión de control segura;

el agente (16) es operativo para recibir el paquete de control modificado desde el intermediario (14) y para generar su propio paquete TCP SYN y para enviar su propio paquete TCP SYN al servidor (12) ;

al recibir un paquete de respuesta desde el servidor (12) , el agente (16) es operativo para enviar un paquete de respuesta al intermediario (14) utilizando la sesión de control segura;

y al recibir un paquete de respuesta desde el agente (16) , el intermediario (14) es operativo para enviar un paquete de respuesta al cliente (10) ;

en el que en el caso de que un intercambio de paquetes de control TCP entre el agente y el servidor indique el establecimiento de una sesión TCP, el agente (16) es operativo para establecer un canal de datos entre el agente y el intermediario con el fin de crear un canal TCP transparente entre el cliente (10) y el servidor (12) , y, en el caso de que un intercambio de paquetes de control TCP entre el agente y el servidor indique un fallo en el establecimiento de una sesión TCP, el paquete de respuesta reenviado por el intermediario (14) al cliente (10) indica que la conexión ha fallado.

2. Sistema de transmisión de datos según la reivindicación 1, en el que el cliente (10) está conectado al intermediario (14) para el intercambio de datos a través de una red asegurada.

3. Sistema de transmisión de datos según la reivindicación 2, en el que la red asegurada está conectada a la red no asegurada mediante uno o más de un proxy o dispositivo de traducción de direcciones de red (NAT) .

4. Sistema de transmisión de datos según cualquiera de las reivindicaciones anteriores, en el que la sesión de control segura es una conexión del protocolo de seguridad de capa de transporte (TLS) que presenta una conexión realizada a través del puerto TCP 443.

5. Sistema de transmisión de datos según la reivindicación 4, en el que la conexión TLS se realiza a través de un proxy local.

6. Sistema de transmisión de datos según la reivindicación 5, en el que el proxy local utiliza el protocolo HTTP CONNECT.

7. Sistema de transmisión de datos según cualquiera de las reivindicaciones anteriores, en el que el paquete de respuesta es un paquete TCP SYN ACK o un paquete TCP RST ACK.

8. Sistema de transmisión de datos según cualquiera de las reivindicaciones anteriores, en el que el paquete de respuesta son paquetes del protocolo de mensajes de control de Internet.

9. Sistema de transmisión de datos según cualquiera de las reivindicaciones anteriores, operativo para prestar servicio a múltiples redes virtuales a través de una red de acceso de cliente que es responsable de gestionar el acceso de clientes.

10. Sistema de transmisión de datos según la reivindicación 9, en el que la red de acceso de cliente utiliza uno o ambos de los servicios convencionales de AAA (Autorización, Autenticación y Contabilidad) y VPN.

11. Procedimiento de transmisión de datos para un intercambio seguro de datos utilizando un protocolo de control de transmisión entre un cliente (10) y un servidor (12) , que utiliza un intermediario (14) y un agente (16) conectados a través de por lo menos un cortafuegos para intercambiar datos sobre un enlace de red no asegurada (18) , en el que:

el agente establece una sesión de control segura con el intermediario utilizando un transporte seguro sobre el enlace de red insegura (18) ;

al recibir un paquete TCP SYN desde el cliente (10) , el intermediario (14) captura el paquete TCP SYN y envía un paquete de control modificado al agente (16) utilizando la sesión de control segura;

el agente (16) recibe el paquete de control modificado desde el intermediario (14) , 5 genera su propio paquete TCP SYN y envía su propio TCP SYN al servidor (12) ;

al recibir un paquete de respuesta desde el servidor (12) , el agente (16) envía un paquete de respuesta al intermediario (14) utilizando la sesión de control segura; y 10 al recibir el paquete de respuesta, el intermediario (14) envía un paquete de respuesta al cliente (10) ;

en el que, en el caso de que el intercambio de paquetes de control TCP entre el agente y el servidor indique el establecimiento de una sesión TCP, el agente (16) establece un canal de datos entre el agente y el intermediario con el fin de crear un canal TCP transparente entre el cliente (10) y el servidor (12) , y, en el caso de que un intercambio de paquetes de control TCP entre el agente y el servidor indique un fallo en el establecimiento de una sesión TCP, el paquete de respuesta reenviado por el intermediario (14) al cliente (10) indica que la conexión ha fallado.

12. Procedimiento de transmisión de datos según la reivindicación 11, en el que el cliente (10) se conecta al 20 intermediario (14) para el intercambio de datos a través de una red asegurada.

13. Procedimiento de transmisión de datos según la reivindicación 12, en el que la red asegurada se conecta a la red no asegurada mediante uno o más de un proxy o un dispositivo de traducción de direcciones de red (NAT) .

14. Procedimiento de transmisión de datos según cualquiera de las reivindicaciones 11 a 13, en el que la sesión de control segura es una conexión del protocolo de seguridad de capa de transporte (TLS) que presenta una conexión realizada a través del puerto TCP 443.

15. Procedimiento de transmisión de datos según la reivindicación 14, en el que la conexión TLS se realiza a través 30 de un proxy local.

16. Procedimiento de transmisión de datos según la reivindicación 15, en el que el proxy local utiliza el protocolo HTTP CONNECT.

17. Procedimiento de transmisión de datos según cualquiera de las reivindicaciones 11 a 16, en el que el paquete de respuesta TCP es un paquete TCP SYN ACK o un paquete TCP RST ACK.

18. Procedimiento de transmisión de datos según cualquiera de las reivindicaciones 11 a 17, en el que el paquete de respuesta son paquetes del protocolo de mensajes de control de Internet. 40

19. Procedimiento de transmisión de datos según cualquiera de las reivindicaciones 11 a 18 operativo para prestar servicio a múltiples redes virtuales a través de una red de acceso de cliente.

20. Procedimiento de transmisión de datos según la reivindicación 19, en el que la red de acceso de cliente es 45 responsable de gestionar el acceso de clientes.

21. Procedimiento de transmisión de datos según la reivindicación 20, en el que la red de acceso de cliente utiliza uno o ambos de los servicios convencionales de AAA (Autorización, Autenticación y Contabilidad) y VPN (red privada virtual) .