Un método y un dispositivo en una red IP.

Un método para usar en un nodo conmutador (5), para gestionar tramas entrantes de un abonado (6) en una redIP,

incluyendo el método los siguientes pasos para ser realizados por el nodo conmutador:

-recibir del abonado (6) un mensaje de petición DHCP (M3) para una dirección IP;

-reenviar el mensaje de petición DHCP (M3);

-recibir un mensaje de respuesta (M4), el cual transporta una dirección IP de abonado asignada (IP1);

-analizar (510, 808, (8)) el mensaje de respuesta (M4) para ser un mensaje DHCP que viene de un servidor DHCPde confianza;

-actualizar (513, 812, (10)) un filtro (9, TAB1) dinámicamente en el dispositivo (5), almacenando el filtro unaidentificación (MAC1, P1, VLAN1) del abonado (6) y la dirección IP de abonado asignada (IP1);

-recibir (501, 801) del abonado (6) una trama en el puerto de abonado (P1);

-comprobar (506, 803) cuando la trama no es un mensaje de petición DHCP (M3), si una información fuente de latrama es válida en el puerto de abonado (P1); y

-descartar (507, 804) o aceptar (505, 805) dicha trama dependiendo de la información fuente de la trama.

Un método y un dispositivo en una red IP

Campo técnico de la invención La presente invención se refiere a un método y un dispositivo en una red IP, los cuales contrarrestan el uso ilegítimo de direcciones IP.

Descripción de la técnica relacionada Los abonados en una red IP pueden usar direcciones IP que no son adquiridas en una forma legítima. El abonado puede usar la dirección IP de alguien o una dirección IP actualmente no en uso. El abonado, que puede ser por ejemplo una empresa, está conectado a una isla de banda ancha, y usa la dirección IP para identificarse a sí mismo en la red. Si el abonado tiene intenciones de abusar hace un llamamiento para utilizar tal dirección IP ilegítima. El seguimiento de abusos está basado a saber en la dirección IP y el abusador se beneficiaría de la dirección ilegítima, dado que al abusador le sería más difícil de hacer el seguimiento en una investigación.

En la solicitud de patente internacional WO98/26550 se revela un sistema para asignación y uso de direcciones IP en una red con sistemas de abonado. Cada sistema de abonado está conectado a un servidor DHCP a través de un módem por cable. El servidor DHCP cede direcciones IP a los sistemas de abonados y trabaja en combinación con un agente de repetición DHCP seguro y un agente de repetición IP seguro. Cuando un sistema de abonado envía un mensaje de petición DHCP, el agente de repetición DHCP añade un identificador de confianza al mensaje y lo transmite al servidor DHCP. El identificador de confianza, el cual está asociado con el sistema de abonado de petición, se usa por el servidor DHCP para impedir al sistema de abonado acceder a cesiones de direcciones IP de otros sistemas de abonado. El servidor DHCP también cuenta el número de otros sistemas de abonados. servidor DHCP también cuenta el número de cesiones de direcciones IP por identificador de confianza y lo restringe a un número predeterminado. El sistema requiere un servidor DHCP no estándar y sistema de abonado.

La US 6.061.798 revela un cortafuegos para aislar los elementos de red de una red accesible públicamente. Todo acceso a elementos de red protegidos debe ir a través del cortafuegos, que funciona en un ordenador autónomo. Un agente intermediario, asignado específicamente a una petición entrante, verifica la autoridad de la petición de acceder a un elemento de red indicado en la petición. Una vez verificado, el agente intermediario completa la conexión a la red protegida en nombre de la fuente de la petición entrante.

Es conocido en la técnica impedir el mal uso de las direcciones IP mediante un filtro en un conmutador, el cual está conectado a un abonado. Unas tramas de datos de abonado se filtran por direcciones ilegítimas. El filtro se monta y se actualiza por un operador de red.

Un conmutador de filtrado de direcciones IP de fuente dinámica, que implementa un Agente de Repetición DHCP, se revela en la US 2002/0023160 A1.

El documento “A protection method against unauthorized access and address spoofing for open network access systems” de Hayato Ishibashi, et al. revela un método para proteger una red frente a un acceso no autorizado.

Resumen de la invención La presente invención trata con el problema mencionado anteriormente de cómo restringir el uso de direcciones IP asignadas en una red IP a las legítimas.

Otro problema es cómo impedir a un abonado usar de por sí direcciones IP legítimas, las cuales ha obtenido el abonado en una forma ilegítima.

Aún un problema es cómo impedir al abonado hacer un gran número de intentos para usar ilegítimamente direcciones IP.

Aún otro problema es que un operador tiene que montar y actualizar un filtro para direcciones asignadas estáticamente.

El problema se resuelve mediante un método y un dispositivo según las reivindicaciones 1 y 6, respectivamente. En las reivindicaciones dependientes se recogen realizaciones particulares.

El problema se resuelve mediante un dispositivo de filtro IP con identificaciones de abonado y direcciones IP correspondientes. Las tramas de datos de los abonados tienen que tener la dirección IP fuente correcta para pasar el dispositivo de filtro. El filtro IP es actualizado sucesivamente según se usan nuevas direcciones IP de abonado. En caso de direcciones IP que se asignan por servidores DHCP (Protocolo de Configuración Central Dinámica) , solamente se permiten servidores de confianza para asignar direcciones IP de abonado a los abonados.

El filtro IP es actualizado dinámicamente de la siguiente manera. Un abonado requiere una dirección IP. Una respuesta de dirección con una dirección IP asignada desde un servidor DHCP es analizada tanto para ser unas tramas DHCP como para venir desde uno de los servidores DHCP de confianza, cuyos servidores se señalan en una lista. La dirección IP asignada y su tiempo de cesión se almacenan en el filtro IP junto con una identificación del abonado. Cuando el tiempo de cesión se acaba la identificación del abonado y la dirección IP son eliminadas del filtro. Nuevos abonados son almacenados sucesivamente. El tráfico desde uno de los abonados tiene que tener la dirección IP asignada a los abonados como dirección fuente para pasar el filtro. Los intentos de un abonado para usar direcciones IP ilegítimas son contados y a un número predeterminado de intentos se genera una advertencia.

Un propósito con la invención es restringir el uso de direcciones IP a las legítimas.

Otro propósito es impedir a un abonado usar de por sí direcciones IP legítimas las cuales, el abonado haya obtenido en una manera ilegítima.

Todavía un propósito es cómo impedir al abonado hacer un gran número de intentos para usar ilegítimamente direcciones IP.

Aún otro propósito es que las limitaciones de direcciones IP mencionadas funcionarán automáticamente en un entorno con direcciones IP asignadas dinámicamente.

La invención tiene la ventaja de que solamente los servidores DHCP de confianza pueden asignar direcciones IP.

Otra ventaja es que un abonado puede usar solamente direcciones IP legítimas obtenidas de una forma legítima.

Una ventaja adicional es que es posible impedir intentos repetidos para obtener direcciones IP.

Aún otra ventaja es que un abonado, que pretende emplear mal la red, no puede hacer el seguimiento más difícil usando una dirección IP obtenida ilegítimamente.

También, son ventajas que un operador no necesita montar y actualizar un filtro, un proceso automatizado no está afectado por errores humanos y la gestión del sistema es barata.

La invención se describirá ahora más estrechamente con la ayuda de las realizaciones en conexión con los dibujos adjuntos.

Breve descripción de los dibujos La Figura 1 muestra una vista sobre una red IP;

La Figura 2 muestra un esquema de bloques sobre un conmutador;

La Figura 3 muestra una tabla en el conmutador;

La Figura 4 muestra un esquema de bloques sobre una trama IP;

La Figura 5 muestra un diagrama de flujo para procedimientos en el conmutador;

La Figura 6 muestra un esquema de bloques sobre una lista;

La Figura 7 muestra un esquema de bloques sobre un contador; y

La Figura 8 muestra un diagrama de flujo para procedimientos alternativos en el conmutador.

Descripción detallada La Figura 1 muestra una vista sobre una red IP simple 1. La red 1 incluye una red central 2 la cual está conectada a un proveedor de servicios 3, servidores DHCP 4, 4a y 4b y a un conmutador 5 a través de un puerto PN de enlace ascendente. El conmutador a su vez incluye un motor conmutador 8, el cual está conectado a una base de datos 7 y un dispositivo de filtro IP 9. El dispositivo de filtro está conectado a los puertos físicos del conmutador P1, P2, P3 para abonados. Un dispositivo de abonado 6 está conectado a la red central 2 a través del filtro IP 9 en el conmutador 5. El dispositivo de abonado 6 tiene de manera convencional una dirección MAC MAC1 y está conectado al puerto físico P1 del conmutador y a una LAN virtual LAN1 en ese puerto. También, un abonado 6A con una dirección MAC MAC2 está conectado al puerto con la identificación P2 en una LAN VLAN2 virtual y el conmutador también tiene un puerto P3 adicional.

La asignación de direcciones dinámica convencional funciona en resumen de la siguiente manera. Un abonado en una red IP convencional con asignación de direcciones dinámica quiere tener una dirección IP, por la cual ha pagado. Él entonces transmite una petición DHCP (Protocolo de Configuración Dinámica de Servidor) . Un servidor DHCP señala la petición y responde con una dirección IP y un intervalo de... [Seguir leyendo]

1.Un método para usar en un nodo conmutador (5) , para gestionar tramas entrantes de un abonado (6) en una red IP, incluyendo el método los siguientes pasos para ser realizados por el nodo conmutador: -recibir del abonado (6) un mensaje de petición DHCP (M3) para una dirección IP; -reenviar el mensaje de petición DHCP (M3) ;

- recibir un mensaje de respuesta (M4) , el cual transporta una dirección IP de abonado asignada (IP1) ; -analizar (510, 808, (8) ) el mensaje de respuesta (M4) para ser un mensaje DHCP que viene de un servidor DHCP de confianza;

-actualizar (513, 812, (10) ) un filtro (9, TAB1) dinámicamente en el dispositivo (5) , almacenando el filtro una identificación (MAC1, P1, VLAN1) del abonado (6) y la dirección IP de abonado asignada (IP1) ;

-recibir (501, 801) del abonado (6) una trama en el puerto de abonado (P1) ; -comprobar (506, 803) cuando la trama no es un mensaje de petición DHCP (M3) , si una información fuente de la trama es válida en el puerto de abonado (P1) ; y

-descartar (507, 804) o aceptar (505, 805) dicha trama dependiendo de la información fuente de la trama.

2. Método según la reivindicación 1, en el que dicho paso de comprobación incluye comprobar que una dirección IP de la trama es válida en el puerto de abonado (P1) .

3. Método según la reivindicación 1 ó 2, en el que dicho paso de comprobación incluye comprobar que una dirección MAC de la trama es válida en el puerto de abonado (P1) .

4. Método según cualquiera de las reivindicaciones anteriores, en el que dicho paso de comprobación incluye comprobar que un intervalo de tiempo de cesión es válido en el puerto de abonado (P1) .

5. Método según cualquiera de las reivindicaciones anteriores, en el que dicho paso de comprobación incluye comprobar que una identificación LAN es válida en el puerto de abonado (P1) .

6. Un dispositivo (5) , para gestionar tramas entrantes de un abonado (6) en una red IP, incluyendo el dispositivo (5) al menos un puerto (P1, P2, P3) para un abonado (6, 6A) ; donde el dispositivo está dispuesto para: -recibir del abonado (6) un mensaje de petición DHCP (M3) para una dirección IP; -reenviar el mensaje de petición DHCP (M3) ;

- recibir un mensaje de respuesta (M4) , el cual transporta una dirección IP de abonado asignada (IP1) ; -analizar (510, 808, (8) ) el mensaje de respuesta (M4) para ser un mensaje DHCP que viene de un servidor DHCP de confianza;

- actualizar (513, 812, (10) ) un filtro (9, TAB1) dinámicamente en el dispositivo (5) , almacenando el filtro una identificación (MAC1, P1, VLAN1) del abonado (6) y la dirección IP de abonado asignada (IP1) ;

- recibir (501, 801) del abonado (6) una trama en el puerto de abonado (P1) ; -comprobar (506, 803) cuando la trama no es un mensaje de petición DHCP (M3) , si una información fuente de la trama es válida en el puerto de abonado (P1) ; y

-descartar (507, 804) o aceptar (505, 805) dicha trama dependiendo de la información fuente de la trama.

7. Dispositivo según la reivindicación 6, en el que el dispositivo está dispuesto para comprobar que una dirección IP de la trama es válida en el puerto de abonado (P1) .

8. Dispositivo según la reivindicación 6 ó 7, en el que el dispositivo está dispuesto para comprobar que una dirección MAC de la trama es válida en el puerto de abonado (P1) .

9. Dispositivo según cualquiera de las reivindicaciones 6-8, en el que el dispositivo está dispuesto para comprobar que un intervalo de tiempo de cesión de la trama es válido en el puerto de abonado (P1) .

10. Dispositivo según cualquiera de las reivindicaciones 6-9, en el que el dispositivo está dispuesto para comprobar que una identificación LAN es válida en el puerto de abonado (P1) .