ES2237585T3 - Dispositivo de control de acceso entre redes atm. - Google Patents
Dispositivo de control de acceso entre redes atm.Info
- Publication number
- ES2237585T3 ES2237585T3 ES01956631T ES01956631T ES2237585T3 ES 2237585 T3 ES2237585 T3 ES 2237585T3 ES 01956631 T ES01956631 T ES 01956631T ES 01956631 T ES01956631 T ES 01956631T ES 2237585 T3 ES2237585 T3 ES 2237585T3
- Authority
- ES
- Spain
- Prior art keywords
- atm
- analysis
- access control
- traffic
- signaling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/04—Selecting arrangements for multiplex systems for time-division multiplexing
- H04Q11/0428—Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
- H04Q11/0478—Provisions for broadband connections
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5629—Admission control
- H04L2012/563—Signalling, e.g. protocols, reference model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5638—Services, e.g. multimedia, GOS, QOS
- H04L2012/5665—Interaction of ATM with other protocols
- H04L2012/5667—IP over ATM
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5687—Security aspects
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Dispositivo de control de acceso entre redes ATM, que comprende unos medios de análisis de señalización (4) y unos medios de análisis de tráfico (20, 21) conectados a un conmutador ATM (3) configurado para hacer transitar por los medios de análisis de señalización unos mensajes de señalización ATM intercambiados entre unas redes ATM interna y externa, y para hacer transitar por los medios de análisis de tráfico unas células ATM portadoras de trafico intercambiadas entre la red interna y externa en el marco de conexiones ATM establecidas por medio de dichos mensajes de señalización ATM, comprendiendo el dispositivo además unos medios de gestión de control de acceso (7) para configurar dinámicamente los medios de análisis de tráfico (20, 21) en función de una política de control de acceso y de informaciones recogidas por los medios de análisis de señalización (4) de manera que los medios de análisis de tráfico filtren cada célula ATM de acuerdo con la política de control de acceso.
Description
Dispositivo de control de acceso entre redes
ATM.
La presente invención se refiere a las técnicas
de control de acceso en las redes ATM ("Asynchronous Transfer
Mode").
La tecnología ATM ha sido especificada para
asegurar el transporte de flujos de naturalezas diversas que tienen
exigencias variadas en términos de calidad de servicio (QoS,
"Quality of Service"). Las comunicaciones son orientadas en
conexión, siendo estas establecidas, controladas y cerradas por
medio de un protocolo de señalización.
La invención prevé proporcionar una herramienta
de control de acceso para las redes basadas en la tecnología ATM,
es decir tanto en las redes utilizadas para las aplicaciones
nativas ATM como para unas redes de paquetes (por ejemplo IP o X25)
para las cuales la tecnología ATM es utilizada de forma
transparente.
La calidad del control de acceso efectuado en las
redes es función de la cantidad de información que es posible
recuperar a fin de caracterizar las acciones de los usuarios. Otro
punto importante es la capacidad de la herramienta de control de
acceso para respetar los compromisos en materia de calidad de
servicio tomados por la red con respecto a los usuarios. Siendo los
procesos de control de acceso particularmente consumidores de
recursos, es necesario realizar un compromiso sobre la cantidad de
información que se desea recuperar utilizando al mismo tiempo un
proceso de recuperación y de análisis de las informaciones tan
rendible como sea posible. Es preciso para ello hacer de manera que
el control de acceso se adapte a las utilizaciones de la red ATM, y
esto de forma dinámica.
La solución más evidente para realizar el control
de acceso en las redes ATM es utilizar un dispositivo parafuego, o
"firewall", entre la red a proteger (denominada a continuación
red interna) y la red pública no segura (denominada a continuación
red externa). Esta solución permite el control de acceso a los
niveles paquete, circuito y aplicación. En este caso, la red ATM es
considerada como una capa de nivel 2 en el modelo OSI que permite
el establecimiento de conexiones por punto. Se establecen dos
conexiones, una entre el firewall y el equipo interno y la otra
entre el firewall y el equipo externo. Con este tipo de
herramienta, el control de acceso al nivel ATM no es posible, y la
QoS asociada a las conexiones ATM no está garantizada.
Al nivel IP y al nivel circuito, los paquetes IP
son reunidos a partir de las células ATM y el control de acceso se
realiza por medio de las informaciones contenidas en los
encabezamientos de los paquetes IP ("Internet Protocol", RFC
760, IETF, enero 1980), TCP ("Transmission Control Protocol",
RFC 793, IETF, septiembre 1981) y UDP ("User Datagram
Protocol", RFC 768, IETF, agosto 1980). Los paquetes son
filtrados comparando unos campos del encabezamiento, tales como las
direcciones y los puertos fuente y destino, la dirección de los
paquetes y las banderas TCP, etc., con una descripción de los
paquetes autorizados. Los paquetes no autorizados son destruidos
mientras que los paquetes autorizados son transferidos de una red a
la otra. Cuando el mismo QoS es negociado a ambos lados del
firewall, la calidad de servicio de extremo a extremo puede ser
afectada de la manera siguiente:
- -
- Las operaciones de reunión, de encaminado y de fragmentación aumentan el plazo de tránsito de las células (CTD).
- -
- Las operaciones efectuadas sobre las informaciones transmitidas pueden aumentar el porcentaje de pérdida de célula (CLR).
- -
- El tiempo pasado en reunir y fragmentar los paquetes es proporcional a su tamaño. Siendo esta variable, la inestabilidad en la base de tiempos en el plazo de transferencia de las células (CDVT) puede ser modificada.
- -
- Las acciones de encaminado y de filtrado se realizan de forma lógica, la carga del sistema puede introducir modificaciones en los caudales cresta y mediano.
Las acciones a nivel aplicación son filtradas a
nivel aplicativo en unas lógicas denominadas proxies. Como en los
niveles IP y circuito, la QoS es perturbada, pero de forma más
importante puesto que el tráfico es examinado al nivel aplicación.
Además, como el filtrado se realiza generalmente en un entorno
multitarea, pueden producirse desincronizaciones entre los flujos
filtrados.
Un último problema introducido por este tipo de
arquitectura es su incapacidad para soportar unos caudales
importantes. Varios estudios (ver "ATM Net Management: Missing
Pieces", por J. Abusamra, Data Communications, mayo 1998, o
"Firewall Shootout Test Final Report", Keylabs, Networld +
Interop'98, mayo 1998) han demostrado que este tipo de arquitectura
no podía proporcionar por el momento el servicio de control de
acceso de forma satisfactoria a la velocidad de un enlace
OC-3 (155 Mbit/s).
El servicio de control de acceso tal como se
define por las especificaciones del ATM Forum ("ATM Security
Specification Version 1.0", The ATM Forum Technical Committee,
febrero 1999) es una extensión del servicio de control de acceso tal
como es considerado en los sistemas clasificados A y B del Orange
Book. En esta aproximación, un nivel de sensibilidad es asociado a
los objetos y un nivel de autorización es asociado a los sujetos.
Cada nivel es codificado por medio de dos tipos de parámetro, por
una parte un nivel jerárquico (por ejemplo público, confidencial,
secreto, muy secreto, ...) y por otra parte un conjunto de campos
(por ejemplo gestión, búsqueda, producción, recursos humanos, ...).
Un sujeto puede acceder a un objeto si su nivel jerárquico es
superior al del objeto y si por lo menos uno de los campos del
objeto está incluido en un campo del sujeto.
En las especificaciones del ATM Forum, estos dos
niveles están codificados en forma de etiquetas según la norma
"Standard Security Label for InformationTransfer" (Federal
Information Processing Standards Publication 188, National Institute
of Standards and Technology, septiembre 1994). Las etiquetas que
caracterizan el nivel de sensibilidad de los datos transmitidos son
intercambiadas antes de cualquier intercambio de datos usuario por
medio de la señalización ATM o por un protocolo del plan usuario. El
control de acceso en sí mismo es realizado por los equipos de la
red que verifican que el nivel de sensibilidad de los datos es
compatible con el nivel de autorización de los enlaces y de las
intercaras sobre los que los datos son transferidos.
La principal ventaja de esta solución es su
extensibilidad, puesto que la decisión de control de acceso se
realiza en el momento de la apertura de conexión y sin
interferencia con los datos de los usuarios. Sin embargo, pueden ser
subrayados algunos problemas:
- -
- todos los equipos de la red son considerados para administrar las etiquetas de seguridad. Los equipos actuales no disponen de dichas funcionalidades;
- -
- debe ser establecida una conexión para cada nivel de sensibilidad;
- -
- el control de acceso tal como es considerado en los firewalls tradicionales (acceso a los equipos, a los servicios,...) se deja voluntariamente fuera de las especificaciones.
Las limitaciones descritas anteriormente han sido
rápidamente identificadas y se han realizado varias proposiciones a
fin de proporcionar el servicio de control de acceso en su sentido
tradicional en las redes ATM. Estas soluciones pueden clasificarse
en dos categorías: soluciones industriales y soluciones
académicas.
El primer tipo de solución industrial
("LightStream 1010 Multiservice ATM Switch Overview", Cisco
Corp., 1999) utiliza un conmutador ATM clásico modificado a fin de
filtrar las peticiones de conexión ATM en función de las direcciones
fuente y destino. El problema principal de esta aproximación es que
el servicio de control de acceso no es muy potente teniendo en
cuenta los parámetros considerados.
La segunda solución industrial ("Atlas Policy
Cache Architecture, White Paper", B. Kowalski, Storagetek Corp.,
1997) está también basada en un conmutador ATM, modificado a fin de
prestar un servicio de control de acceso al nivel IP. En lugar de
reunir las células para examinar los encabezamientos de los paquetes
como en un firewall tradicional, esta aproximación busca obtener
unas informaciones directamente en la primera célula intercambiada
sobre una conexión. Esta aproximación impide la perturbación de la
calidad de servicio durante la conmutación de las células. La misma
utiliza también una memoria asociada CAM ("Content Addressable
Memory") a fin de hacer las búsquedas en la política de control
de acceso más rápidas. Esta solución es la primera en tener en
cuenta los límites del firewall tradicional. Sin embargo no está
exenta de defectos:
- -
- el control de acceso está limitado a los niveles de red y transporte. Los niveles ATM y aplicación no son considerados;
- -
- los paquetes IP que incluyen unas opciones no son filtrados al nivel transporte. En efecto, las opciones pueden rechazar las informaciones que se refieren a UDP y TCP en una segunda célula. Esto plantea un problema de seguridad;
- -
- el equipo es difícil de administrar en particular en el caso de las conexiones dinámicas puesto que la configuración de los filtros se realiza manualmente;
- -
- las características de este equipo no son muy extensibles. En efecto, una versión OC-12 (622 Mbit/s) de este producto ha sido anunciada en 1996, pero después no ha sido presentada.
Las dos soluciones académicas están basadas en la
arquitectura anterior pero introducen algunas mejoras a fin de
llenar algunas lagunas de esta solución.
La primera aproximación (J. McHenry, et
al., "An FPGA-Based Coprocessor for ATM
Firewalls", Proceedings of IEEE FCCM'97, abril 1997) utiliza un
circuito especializado de tipo FGPA asociado a un conmutador
modificado. Al nivel ATM, el control de acceso al establecimiento de
las conexiones es mejorado permitiendo un filtrado basado en las
direcciones fuente y destino. Esta solución permite también el
filtrado de las informaciones de encaminado PNNI ("Private
Network to Network Interface"). En los niveles IP y transporte,
el servicio de control de acceso es similar al de la segunda
solución industrial citada. Esta solución es la más completa
actualmente suministrada. Sin embargo posee algunas
limitaciones:
- -
- los paquetes IP con opciones no son tratados;
- -
- sólo una parte de las informaciones proporcionadas por la señalización es utilizada;
- -
- no hay control de acceso al nivel de aplicación.
La segunda solución académica (J. Xu, et
al., "Design of a High-Performance ATM
Firewall", Rapport technique, The Ohio State University, 1997) es
la arquitectura más completa propuesta hasta el presente. Una
clasificación del tráfico en cuatro categorías se efectúa en
función de la QoS negociada al nivel ATM y del tratamiento a
realizar sobre el flujo. Esta clasificación permite asegurar que
las comunicaciones que tienen unas obligaciones de calidad de
servicio no son perturbadas por unos tratamientos complejos, siendo
las otras comunicaciones filtradas y perturbadas de la misma manera
que en un firewall. A parte de la clasificación, esta solución
introduce también todo un conjunto de ideas de implementación
interesantes a fin de reducir los plazos generados por el control
de acceso. Esta aproximación presenta sin embargo ciertos
inconvenientes:
- -
- pocos parámetros son considerados a nivel ATM;
- -
- el control de acceso a nivel de aplicación no es proporcionado para las aplicaciones que tienen unas obligaciones de QoS;
- -
- las comunicaciones UDP que descansan sobre unas conexiones ATM que tienen unas obligaciones de QoS no son controladas;
- -
- la arquitectura no permite suprimir las fugas de información puesto que un usuario puede con un complicidad exterior hacer fracasar los mecanismos de control de acceso;
- -
- la arquitectura es compleja y se puede preguntar cuáles serían los caudales soportados por una aplicación de esta arquitectura;
Un objetivo principal de la presente invención es
proporcionar otra solución al problema del control de acceso en las
redes ATM, que ofrece amplias posibilidades de control a diferentes
niveles. Otro objetivo es facilitar la gestión de la herramienta de
control de acceso permitiendo en particular integrar diferentes
aspectos de la política de control de acceso a los niveles ATM, IP
y transporte. Otro objetivo aún es mejorar el control de acceso a
nivel ATM enriqueciendo los parámetros de control de acceso tomados
en consideración. Es también deseable proporcionar un servicio
rápido de control de acceso a nivel célula.
La invención propone así un dispositivo de
control de acceso entre redes ATM, que comprende unos medios de
análisis de señalización y unos medios de análisis de tráfico
conectados a un conmutador ATM configurado para hacer transitar por
los medios de análisis de señalización unos mensajes de
señalización ATM intercambiados entre unas redes ATM interna y
externa, y para hacer transitar por los medios de análisis de
tráfico unas células ATM portadoras de tráfico intercambiadas entre
las redes interna y externa en el marco de conexiones ATM
establecidas por medio de dichos mensajes de señalización ATM. El
dispositivo comprende además unos medios de gestión de control de
acceso para configurar dinámicamente los medios de análisis de
tráfico en función de una política de control de acceso y de
informaciones recogidas por los medios de análisis de señalización
de manera que los medios de análisis de tráfico filtran cada célula
ATM de acuerdo con la política de control de acceso.
Otras particularidades y ventajas de la presente
invención aparecerán con la descripción siguiente de ejemplos de
realización no limitativos con referencia a los planos anexos, en
los que:
- la figura 1 es un esquema sinóptico de un
dispositivo de control de acceso según la invención;
- la figura 2 es un diagrama que ilustra una
configuración de un conmutador del dispositivo de la figura 1 con
respecto a los mensajes de señalización ATM;
- la figura 3 es un esquema sinóptico de un
analizador de señalización del dispositivo de la figura 1;
- la figura 4 es una tabla que describe unas
informaciones tratadas por unos analizadores de tráfico del
dispositivo de la figura 1;
- la figura 5 es un diagrama que ilustra una
configuración del conmutador del dispositivo de la figura 1 con
respecto a las células ATM de tráfico; y
- la figura 6 es un diagrama que ilustra un
ejemplo de árbol de análisis al cual se refiere un analizador de
tráfico del dispositivo de la figura 1.
Como se ha indicado en la figura 1, un
dispositivo de control de acceso según la invención puede estar
compuesto por dos partes principales 1, 2 que cooperan con un
conmutador ATM 3. La primera parte 1 está dedicada a la toma en
cuenta de una política de control de acceso y al análisis de la
señalización ATM. El resultado de este análisis es utilizado para
construir dinámicamente una configuración. Ésta es utilizada por la
segunda parte 2 para proporcionar un servicio de control de acceso
basado en las informaciones transportadas en las células ATM. Esta
segunda parte 2 es capaz de recuperar las informaciones de nivel
ATM, IP y transporte a fin de decidir si una conmutación debe ser
autorizada o prohibida. La configuración del conjunto se realiza por
medio de un lenguaje único.
La parte 1 puede ser realizada por medio de una
estación de trabajo, tal como una estación comercializada por la
sociedad Sun Microsystem, Inc. El analizador de señalización 4 es
el elemento de esta parte 1 que efectúa las acciones de control de
acceso a nivel de la señalización ATM en combinación con el gestor
de control de acceso 7.
La parte 2 puede ser realizada por medio de una
estación del tipo PC que funciona por ejemplo con el sistema de
explotación Solaris x86. Esta estación está equipada con tarjetas
20, 21 de análisis en tiempo real de las células ATM, llamadas a
continuación tarjetas IFT ("IP Fast Translator"), que aseguran
las acciones de control de acceso célula por célula.
A fin de permitir la expresión de políticas de
control de acceso, se utiliza un Lenguaje de Definición de Política
de Control de Acceso (ACPDL, "Access Control Policy Description
Language"). La definición del ACPDL está basada en el Lenguaje de
Descripción de Política (PDL) en curso de definición en el seno del
grupo de trabajo que trabaja sobre las políticas con el IETF (ver
J. Strassner, et al., "Policy Framework Definition
Language",
draft-letf-policy-framwork-pfdl-00.txt,
Internet Engineering Task Force, 17 noviembre 1998). En este
lenguaje, una política está definida por un conjunto de reglas,
estando cada regla a su vez constituida por un conjunto de
condiciones y por una acción que es ejecutada cuando el conjunto de
las condiciones es cumplido. La expresión siguiente (expresada en el
formalismo Backus Naur, BNF) describe la forma general de una
regla:
- Rule ::= IF<Conditions> THEN<Action>
Todas las condiciones tienen la misma estructura
genérica expresada a continuación por medio del formalismo BNF:
- Condition ::= <ACCESS CONTROL PARAMETER> <RELATIONAL OPERATOR> <VALUE>
En función del nivel en la pila de protocolo,
pueden ser utilizados varios tipos de parámetros de control de
acceso:
- -
- al nivel ATM los parámetros interesantes están descritos en el artículo de O. Paul, et al., "Manageable parameters to improve access control in ATM networks", HP-OVUA Workshop, Rennes, Francia, abril 1998. Entre estos, se puede elegir el tipo de tráfico, los identificadores de conexión, las informaciones de direccionado, los descriptores de QoS y los descriptores de servicio;
- -
- al nivel transporte, la mayor parte de los parámetros considerados son los que son utilizados habitualmente a fin de realizar el filtrado de los paquetes en los encaminadores filtrantes (por ejemplo las informaciones de direccionado, los puertos fuente y destino, las banderas en el caso de las conexiones TCP, etc);
- -
- al nivel aplicación, son considerados dos parámetros genéricos: el identificador del usuario de la aplicación así como el estado de la aplicación;
- -
- unas informaciones temporales son también incluidas a fin de especificar cuando una regla debe ser aplicada.
Las acciones tienen generalmente una estructura
genérica (notación BNF):
- Action ::= <ACTION><ACTION LEVEL><LOG LEVEL>
Una acción se descompone en tres partes. La
primera indica si la comunicación descrita por las condiciones debe
ser autorizada o prohibida. El parámetro <ACTION LEVEL>
corresponde a la capa protocolaria en la cual debe ser efectuada la
acción. La última parte describe la importancia concedida al suceso
de control de acceso y permite una clasificación de los
resultados.
El párrafo siguiente muestra como el lenguaje
ACPDL puede ser utilizado a fin de expresar un ejemplo de servicio
de control de acceso. En este ejemplo, cada equipo está
identificado por su dirección fuente (IP_SRC_ADDRESS) y su dirección
destino (IP_DST_ADRESS). El servicio WWW es identificado por los
puertos fuente (SRC_PORT) y destino (DST_PORT). La segunda línea de
mando dada en el ejemplo es utilizada a fin de prohibir las
peticiones de conexión sobre el puerto WWW de una estación
interna.
La política de control de acceso es definida por
el oficial de seguridad por medio de una intercara
hombre-máquina (IHM) 6 de la estación 1, utilizando
el lenguaje ACPDL. La misma es utilizada para configurar las dos
partes del controlador. Sin embargo esta política no puede ser
utilizada directamente por las dos herramientas de control de
acceso 4, 20/21. El gestor 7 es el módulo que permite resolver este
problema traduciendo la política de control de acceso en mandos de
configuración para las dos herramientas.
Este proceso de traducción puede ser utilizado en
dos partes principales. La primera es la traducción de la política
en tres configuraciones estáticas:
Al nivel de la señalización ATM, esta
configuración comprende una descripción de las comunicaciones que
deben ser controladas. Cada comunicación es descrita por un
conjunto de elementos de información (IE) y por una acción (Permitir
o Prohibir). Esta configuración es enviada al analizador de
señalización 4.
Al nivel TCP/IP la configuración comprende una
descripción de los paquetes que deben ser controlados. Esta parte de
la política puede ser genérica, lo que significa que las reglas que
están descritas en la misma no están dedicadas a una conexión ATM
particular. Esta parte puede también ser unida a una conexión ATM
por la expresión de condiciones que se refieren a unos
identificadores de conexión.
Al nivel célula, la configuración comprende una
descripción de las células que deben ser controladas. Estas células
son divididas según los campos que pueden contener. El conjunto de
los valores que cada campo puede tomar se describe por un árbol.
Esta configuración es enviada a las tarjetas IFT.
La segunda parte del proceso de configuración
tiene lugar cuando se recibe una petición de conexión por el
analizador de señalización 4. Una vez que el proceso de control de
acceso ha sido realizado, el analizador de señalización 4 envía al
gestor 7 las informaciones necesarias para efectuar la
configuración dinámica de las tarjetas ITF 20, 21. Esta
configuración dinámica es importante puesto que permite disminuir el
tamaño de las informaciones de configuración almacenadas en la
memoria de las tarjetas ITF 5 en comparación con una configuración
estática. Esto es importante puesto que el plazo introducido por
las tarjetas IFT en el curso del proceso de análisis depende de
este tamaño. Las informaciones proporcionadas por el analizador de
señalización 4 comprenden:
- -
- los identificadores de conexión VPI y VCI ("Virtual Path Identifier", "Virtual Channel Identifier");
- -
- las direcciones ATM fuente y destino;
- -
- un descriptor de servicio (Classical IP over ATM (CLIP), Aplicaciones nativas ATM). Cuando una capa adicional es utilizada encima del modelo ATM, el analizador de señalización 4 proporciona también la encapsulación (con o sin encabezamiento SNAP/LLC);
- -
- la dirección de la comunicación.
En un entorno CLIP, el gestor 7 utiliza las
direcciones ATM fuente y destino a fin de encontrar las direcciones
IP correspondientes. Esta traducción se efectúa por medio de un
fichero que describe las correspondencias entre direcciones IP y
ATM. La misma puede también utilizar un servidor de resolución de
dirección (ATMARP).
El gestor 7 prueba a continuación encontrar una
correspondencia entre las direcciones IP y las reglas genéricas de
control de acceso de nivel TCP/IP. El subconjunto de reglas
obtenido es instanciado con las direcciones IP y asociado a las
otras informaciones (direcciones, encapsulación, identificadores de
conexión, dirección). Este conjunto de informaciones es utilizado
por el gestor a fin de construir el árbol de análisis que será
utilizado para configurar las tarjetas IFT, y es conservado durante
toda la vida de la conexión. Al cierre de la conexión, el gestor 7
recibe una señal del analizador de señalización 4 a fin de
reconfigurar eventualmente las tarjetas IFT 20, 21 borrando las
informaciones relativas a la conexión. El gestor destruye a
continuación las informaciones asociadas a la conexión.
El analizador de señalización 4 descansa en dos
funciones. La primera es la redirección de los mensajes de
señalización que provienen de las redes interna y externa hacia un
filtro que pertenece al analizador 4 (figura 3). La segunda es la
capacidad de descomponer los mensajes de señalización según la
especificación UNI 3.1 de la ATM Forum ("ATM
User-Network Interface Specification, Version
3.1", ATM Forum, julio 1994) y transmitir o suprimir estos
mensajes en función de la configuración de control de acceso
proporcionada por el gestor 7.
La estación 1 está provista de dos tarjetas de
intercara ATM 8, 9 respectivamente conectadas a dos intercaras 12,
13 del conmutador 3 (figuras 1, 2 y 5). Las otras intercaras
representadas del conmutador 3 están anotadas 10 (red interna), 11
(red externa), 14 y 15 (tarjetas IFT 20 y 21).
A fin de redirigir la señalización, el conmutador
ATM 3 es configurado a fin de dirigir los mensajes de señalización
hacia la estación 1 como se ha indicado en la figura 2. Esta
configuración puede ser realizada desactivando el protocolo de
señalización en las intercaras 10, 11, 12 y 13. Un canal virtual
(VC) debe ser a continuación construido entre cada par de
intercaras para cada canal de señalización. Los canales de
señalización están por ejemplo identificados por un identificador
de canal virtual (VCI) igual a 5.
Con la configuración anterior, los mensajes de
señalización que provienen de la red externa son dirigidos hacia la
intercara 13 de la estación 1 mientras que los mensajes que
provienen de la red interna son dirigidos hacia la intercara 12.
Como se ha indicado en la figura 3, todos los mensajes de
señalización son multiplexados por un módulo 16 de tipo Q93B que
pertenece al analizador de señalización 4 y que comunica con las
intercaras ATM 8 y 9 a través de los módulos respectivos 17, 18 que
utilizan los protocolos de fiabilización SSCOP. La función del
módulo Q93B es, de forma conocida, establecer, controlar y cerrar
las conexiones ATM. A fin de evitar el rechazo de los mensajes de
señalización por el módulo Q93B, este debe ser modificado a fin de
pasar los mensajes a un filtro 19 al nivel aplicación sin
analizarlos. A fin de diferenciar el filtrado realizado sobre los
mensajes que vienen del exterior del realizado sobre los mensajes
que vienen del interior, los mensajes son asociados a su intercara
ATM de origen. Esta información es proporcionada al filtro
aplicativo 19 por el módulo Q93B 16.
Cuando unos mensajes de señalización son
recibidos por el analizador de señalización 4, estos son
descompuestos por un módulo de descomposición de mensajes 24 en
elementos de información según la especificación UNI 3.1. Los
elementos de información son a continuación descompuestos en
informaciones elementales tales como las direcciones, los
identificadores de conexión, la referencia de llamada, los
descriptores de calidad de servicio y los identificadores de
servicio. El analizador 4 busca a continuación si el mensaje puede
estar asociado a una conexión existente por medio del tipo del
mensaje y de la referencia de llamada. Si la conexión es nueva, se
construye un descriptor de conexión que contiene estas
informaciones. Cuando la conexión ya existe, el descriptor de
conexión es puesto al día. El descriptor de conexión está asociado
al estado de conexión y a la intercara de origen. Es identificado
por un identificador de conexión. El descriptor es a continuación
enviado al filtro 19 a fin de ser analizado.
Cuando el filtro 19 recibe un descriptor de
conexión, compara los parámetros que describen la conexión con el
conjunto de las comunicaciones descrito por la política de control
de acceso. Si se encuentra una correspondencia, el filtro 19 aplica
la acción asociada a la comunicación. En caso contrario, aplica la
acción por defecto que es prohibir la conexión. Cuando la acción
consiste en una prohibición, el filtro 19 destruye el descriptor de
conexión. En el caso contrario, envía el descriptor de conexión al
módulo de construcción de los mensajes 25. Cuando el descriptor de
conexión indica que un mensaje CONNECT ha sido recibido, se envía
un subconjunto de los parámetros del descriptor de conexión al
gestor 7 como se indica a continuación:
- -
- los identificadores de conexión VPI/VCI, obtenidos a partir de la IE "Connection identifier";
- -
- las direcciones ATM fuente y destino, proporcionadas por las IE "Called Party Identifier" y "Calling Party Identifier"
- -
- los descriptores de servicio, obtenidos a partir de las IE "Broadband Higher Layer Identifier (BHLI)" y "Broadband Lower Layer Identifier (BLLI)";
- -
- la dirección, proporcionada por el nombre de la intercara asociada al descriptor de conexión.
Cuando el descriptor de conexión indica la
recepción de un mensaje RELEASE_COMPLETE, que acaba la liberación de
una conexión, el descriptor de conexión es de nuevo enviado al
gestor 7. Las comunicaciones entre el gestor 7 y el filtro de
señalización 19 pueden realizarse de forma clásica por medio de un
segmento de memoria compartido y de señales.
Otra funcionalidad proporcionada por el filtro 19
es su capacidad de modificar la dirección ATM fuente cuando una
comunicación proviene de la red ATM interna, a fin de esconder la
estructura topológica interna de esta red. Esta funcionalidad es
realizada reemplazando la dirección ATM fuente por la dirección de
la intercara ATM externa de la estación, a saber la intercara
13.
Cuando el módulo de construcción de mensajes 25
recibe un descriptor de conexión, construye un nuevo mensaje de
señalización a partir de las informaciones contenidas en el
descriptor. El mensaje es a continuación asociado a una intercara de
salida y enviado al módulo Q93B 16. Cuando el estado asociado a la
conexión indica que un mensaje RELEASE_COMPLETE ha sido recibido
para liberar la conexión, el módulo 16 libera los recursos
asociados al descriptor de conexión.
El plazo introducido por el proceso de análisis
de la señalización no tiene impacto sobre el desarrollo normal de
la conexión puesto que los plazos normalizados son extremadamente
largos (por ejemplo 14 segundos entre los mensajes SETUP y
CONNECT).
Las tarjetas IFT consideradas aquí para la
realización de la invención son del tipo descrito en la solicitud
de patente europea nº00400366.1 presentada el 9 de febrero de 2000
por el solicitante. Estas tarjetas han sido ideadas en origen para
un módulo de encaminado de alto caudal (ver también
EP-A-0 989 502). Estas tarjetas
poseen unas características interesantes que hacen que sean bien
adaptadas al dispositivo según la invención.
- -
- las mismas permiten el análisis de la primera célula de cada trama AAL5 ("ATM Adaptation Layer nº 5") y la modificación de las células correspondientes en función del análisis;
- -
- pueden funcionar a la velocidad de 622 Mbit/s gracias a un procedimiento rápido y flexible de análisis de las células;
- -
- el plazo introducido por el análisis puede ser marcado y depende de la configuración de la tarjeta;
- -
- pueden ser configuradas dinámicamente sin interrumpir el proceso de análisis;
- -
- son integrables en unos equipos de tipo PC bajo Solaris.
La figura 4 describe las informaciones que pueden
ser analizadas por las tarjetas IFT 20, 21 en el caso de los
protocolos CLIP (CLIP1) y CLIP sin encapsulación
SNAP-LLC (CLIP2). Los campos UD y TD indican el
inicio de los segmentos de datos para los protocolos UDP y TCP,
respectivamente. Esto significa que, en el caso general, las
tarjetas IFT tienen acceso a las informaciones de nivel ATM, IP,
TCP, UDP y en ciertos casos de nivel de aplicación. Es preciso sin
embargo observar que los campos opcionales que pueden encontrarse en
el paquete IP no están representados. La presencia de estos campos
(de longitud variable) puede rechazar las informaciones de nivel TCP
o UDP en la segunda célula ATM.
Como en el caso de la señalización, la primera
parte del proceso de control de acceso al nivel célula consiste en
redirigir el tráfico que proviene de las redes interna y externa
hacia las tarjetas IFT 20, 21. Sin embargo, en este caso, la
configuración debe preservar la configuración realizada para el
control de la señalización. A título de ejemplo, los canales
virtuales identificados por un valor de VCI igual a 31 son
voluntariamente dejados libres a fin de permitir al conmutador ATM
3 rechazar las células que pertenecen a una comunicación que debe
ser prohibida. El conmutador ATM 3 es entonces configurado a fin de
crear un canal virtual para cada valor de VCI diferente de 5 y de 31
entre cada par de intercaras (10, 14) y (11, 15) como se ha
ilustrado en la figura 5.
Las tarjetas IFT consideradas sólo permiten el
análisis de flujos unidireccionales. Esto significa que los flujos
que provienen de las redes interna y externa deben ser separados.
Esta operación es particularmente simple en el caso de una capa
física de tipo Mono Mode Fiber utilizado por las tarjetas puesto
que las fibras de emisión y de recepción están físicamente
separadas. La figura 5 muestra como las fibras de recepción y de
emisión deben ser conectadas entre las tarjetas IFT y los accesos
14, 15 del conmutador 3.
La segunda parte del proceso de control de acceso
es la configuración de las tarjetas IFT 20, 21 a fin de que
proporcionen el servicio de control de acceso deseado. Como se ha
indicado anteriormente, esta configuración es realizada por el
gestor 7. Las tarjetas IFT han sido ideadas en origen para ser
administradas a distancia por varios gestores. Una lógica apropiada
27 (démon RPC) es entonces utilizada en la estación 2 para
serializar las peticiones dirigidas al circuito de mando 28
(driver) de las tarjetas 20, 21. Del lado del gestor 7, una
biblioteca da acceso a las funciones de configuración. Esta
biblioteca traduce las llamadas locales en llamadas a distancia en
la estación 2. Las comunicaciones entre los dos equipos se realizan
por ejemplo a través de una red dedicada de tipo Ethernet.
La configuración de las tarjetas 20, 21 se basa
en una descripción de las comunicaciones a controlar en forma de
árboles. Cada rama del árbol describe el valor codificado de una
cadena binaria, por ejemplo de 4 bits, que puede ser encontrada
durante el proceso de análisis. Este proceso consiste en recorrer la
porción de célula a analizar por porciones de 4 bits que sirven
para acceder al contenido de una memoria asociativa del tipo TRIE
incluida en cada tarjeta IFT. Un árbol de análisis, construido a
partir de una instrucción de control de acceso proporcionada por el
gestor 7, corresponde a un encadenamiento dado de porciones de 4
bits encontradas en unos emplazamientos determinados recorriendo la
célula. La raíz del árbol que corresponde a un portero que debe ser
reconocido a fin de iniciar el análisis del árbol. Un ejemplo del
análisis está representado esquemáticamente en la figura 6. Unas
informaciones complementarias pueden ser asociadas a un nudo a fin
de permitir el salto de un árbol a otro o la interrupción del
análisis permitiendo la modificación de los identificadores de
conexión. Para mayores detalles sobre el funcionamiento y la
configuración de las tarjetas IFT, se podrá hacer referencia a la
solicitud de patente europea nº 00400366.1
citada.
citada.
Las funciones de configuración permiten al gestor
7 construir, poner al día y suprimir estos árboles mientras las
tarjetas IFT 20, 21 funcionan. La traducción entre las
informaciones proporcionadas por el proceso de generación dinámica
de la política de control de acceso de nivel célula puede
realizarse de la forma siguiente:
- -
- cada campo posible es codificado por un árbol. Los valores descritos por la política de control de acceso son a continuación recortados en palabras de 4 bits y atribuidos a las ramas del árbol. Los intervalos descritos por varias condiciones sobre un mismo campo son codificados generando una rama para cada valor posible en el intervalo;
- -
- el ET lógico entre dos condiciones sobre dos campos diferentes es codificado como un salto de un árbol a otro.
La acción de rechazo o de aceptación ("DENY"
o "ALLOW") es codificada por medio de un nudo particular que
provoca el final del análisis y enviando de nuevo el identificador
de conexión que será atribuido a todas las células de la trama AAL 5
correspondiente. La acción "DENY" es codificada dirigiendo la
trama hacia el canal no configurado (VCI 31) al nivel del
conmutador 3. El VCI 31 es así utilizado como VCI basura para tirar
todas las células ATM no conformes con la política de seguridad. La
acción "ALLOW" es codificada dejando el identificador de
conexión sin cambio.
El dispositivo anterior constituye un firewall
ATM que puede ser construido a partir de componentes existentes.
Tiene la capacidad de proporcionar un servicio de control de acceso
a los niveles ATM, IP y transporte, incluso aplicación, y puede
alcanzar la velocidad de 622 Mbit/s en un prototipo que ha sido
realizado.
Debido en particular al plazo marcado del proceso
de control de acceso al nivel célula, la estructura del dispositivo
evita las modificaciones de QoS que son corrientes con los
firewalls clásicos. El dispositivo presenta además las ventajas de
tener un buen nivel de control de acceso al nivel ATM y una
velocidad de análisis al nivel célula compatible con el caudal del
canal.
Para enriquecer las capacidades de control de
acceso al nivel aplicación, el gestor 7 puede programar las
tarjetas IFT a fin de dirigir los flujos producidos por las
aplicaciones sin requerimiento de calidad de servicio hacia un
firewall clásico que analiza estos flujos de manera profunda,
reuniendo y después segmentando de nuevo los paquetes IP. En este
caso, el filtro 19 del analizador de señalización 4 es modificado a
fin de proporcionar una indicación de petición calidad de servicio
al gestor 7 al mismo tiempo que las informaciones indicadas
anteriormente. El gestor 7 designa así a las tarjetas IFT 20, 21 las
conexiones establecidas sin compromiso de QoS, para que las células
correspondientes sean transferidas al firewall exterior y tratadas
según la política de control de acceso deseada.
Esta misma solución es utilizable para tratar el
problema de los paquetes IP que poseen unas opciones.
La invención ha sido descrita anteriormente en su
aplicación preferida a unas redes ATM que soportan unas redes IP.
Se observará sin embargo que el gestor 7 y el filtro 19 pueden ser
modificados a fin de proporcionar unas capacidades de control de
acceso para otros tipos de utilización de las redes ATM, como por
ejemplo la emulación de LAN, MPOA, o relevo de trama sobre ATM, y
de manera general en cualquier red que utiliza un canal de
señalización, como relevo de trama, X.25, o incluso Intserv (que
utiliza RSVP para señalización), sin en cambio estar basado en ATM
en capa inferior.
Claims (15)
1. Dispositivo de control de acceso entre redes
ATM, que comprende unos medios de análisis de señalización (4) y
unos medios de análisis de tráfico (20, 21) conectados a un
conmutador ATM (3) configurado para hacer transitar por los medios
de análisis de señalización unos mensajes de señalización ATM
intercambiados entre unas redes ATM interna y externa, y para hacer
transitar por los medios de análisis de tráfico unas células ATM
portadoras de trafico intercambiadas entre la red interna y externa
en el marco de conexiones ATM establecidas por medio de dichos
mensajes de señalización ATM, comprendiendo el dispositivo además
unos medios de gestión de control de acceso (7) para configurar
dinámicamente los medios de análisis de tráfico (20, 21) en función
de una política de control de acceso y de informaciones recogidas
por los medios de análisis de señalización (4) de manera que los
medios de análisis de tráfico filtren cada célula ATM de acuerdo
con la política de control de acceso.
2. Dispositivo según la reivindicación 1, en el
cual los medios de gestión de control de acceso (7) cooperan con
los medios de análisis de señalización (4) de manera que permitan o
prohiban el establecimiento de conexiones ATM de acuerdo con la
política de control de acceso.
3. Dispositivo según la reivindicación 1 ó 2, en
el cual los medios de análisis de señalización (4) están dispuestos
para modificar la dirección ATM fuente indicada en cada mensaje de
petición de conexión salido de la red ATM interna antes de
retransmitir dicho mensaje hacia la red externa.
4. Dispositivo según la reivindicación 3, en el
cual los medios de análisis de señalización (4) están dispuestos
para remplazar la dirección ATM fuente indicada en cada mensaje de
petición de conexión salido de la red ATM interna por una dirección
ATM asignada a los medios de análisis de señalización.
5. Dispositivo según cualquiera de las
reivindicaciones 1 a 4, en el cual los medios de gestión de control
de acceso (7) están dispuestos para mandar a los medios de análisis
de tráfico (20, 21) suprimir unos elementos tomados en cuenta en el
análisis de células intercambiadas en el marco de una conexión ATM
en respuesta a la detección, por los medios de análisis de
señalización (4), de la liberación de dicha conexión ATM.
6. Dispositivo según cualquiera de las
reivindicaciones 1 a 5, en el cual algunos por lo menos de los
filtrados de células ATM efectuados por los medios de análisis de
tráfico (20, 21) están condicionados por unos elementos definidos
por los medios de gestión de control de acceso (7), que comprenden
unos elementos incluidos en los encabezamientos ATM de las
células.
7. Dispositivo según la reivindicación 6, en el
cual los elementos definidos por los medios de gestión de control
de acceso (7) para condicionar algunos por lo menos de los
filtrados efectuados por los medios de análisis de tráfico (20, 21)
comprenden además unos elementos incluidos en los encabezamientos
de paquetes soportados por dichas células.
8. Dispositivo según la reivindicación 7, en el
cual los elementos definidos por los medios de gestión de control
de acceso (7) para condicionar algunos por lo menos de los
filtrados efectuados por los medios de análisis de tráfico (20, 21)
comprenden además unos elementos que sobresalen de un protocolo de
transporte asociado a los paquetes.
9. Dispositivo según la reivindicación 8, en el
cual dichos paquetes son unos paquetes IP y dicho protocolo de
transporte es TCP y/o UDP.
10. Dispositivo según cualquiera de las
reivindicaciones 7 a 9, en el cual los elementos definidos por los
medios de gestión de control de acceso (7) para condicionar algunos
por lo menos de los filtrados efectuados por los medios de análisis
de tráfico (20, 21) comprenden además unos elementos incluidos en
unos encabezamientos de unidades de datos de protocolos de capa
aplicación transportados en los paquetes.
11. Dispositivo según cualquiera de las
reivindicaciones 1 a 10, en el cual los medios de gestión de
control de acceso (7) están dispuestos para mandar los medios de
análisis de señalización (4) y/o los medios de análisis de tráfico
(20, 21) para aplicar una política de control de acceso
proporcionada según un lenguaje unificado para unas operaciones de
control de acceso efectuadas a diferentes niveles de protocolo
utilizadas en dichas redes ATM.
12. Dispositivo según cualquiera de las
reivindicaciones 1 a 11, en el cual los medios de análisis de
tráfico (20, 21) están dispuestos para transferir a un dispositivo
parafuego de las células ATM que sobresalen de las conexiones ATM
designadas por los medios de gestión de control de acceso (7).
13. Dispositivo según cualquiera de las
reivindicaciones 1 a 12, en el cual los medios de análisis de
tráfico comprenden por lo menos un analizador de tráfico (20) para
las células que van de la red interna hacia la red externa y por lo
menos un analizador de tráfico (21) para las células que van de la
red externa hacia la red interna.
14. Dispositivo según cualquiera de las
reivindicaciones 1 a 13, en el cual los medios de gestión de
control de acceso (7) configuran los medios de análisis de tráfico
(20, 21) proporcionándoles unos árboles de análisis que corresponden
a unos valores de cadenas binarias que pueden aparecer en unos
emplazamientos determinados en unas células ATM recibidas del
conmutador ATM (3), estando los medios de análisis de tráfico (20,
21) dispuestos para detectar las cadenas binarias que tienen dichos
valores y, en respuesta a esta detección para cada valor de un
árbol de análisis, realizar una acción de control de acceso
especificada en la política de control de acceso o proseguir el
análisis según un árbol siguiente.
15. Dispositivo según la reivindicación 14, en el
cual los medios de análisis de tráfico (20, 21) comprenden por lo
menos una memoria asociativa de tipo TRIE para efectuar unos
análisis según un conjunto de árboles definido dinámicamente por los
medios de gestión de control de acceso (7).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR0009723A FR2812491B1 (fr) | 2000-07-25 | 2000-07-25 | Dispositif de controle d'acces entre des reseaux atm |
FR0009723 | 2000-07-25 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2237585T3 true ES2237585T3 (es) | 2005-08-01 |
Family
ID=8852879
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES01956631T Expired - Lifetime ES2237585T3 (es) | 2000-07-25 | 2001-07-23 | Dispositivo de control de acceso entre redes atm. |
Country Status (8)
Country | Link |
---|---|
US (1) | US20040013086A1 (es) |
EP (1) | EP1303953B1 (es) |
AU (1) | AU2001278557A1 (es) |
CA (1) | CA2417198A1 (es) |
DE (1) | DE60109038T2 (es) |
ES (1) | ES2237585T3 (es) |
FR (1) | FR2812491B1 (es) |
WO (1) | WO2002009367A1 (es) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2815208B1 (fr) * | 2000-10-06 | 2003-01-03 | France Telecom | Regie dans une installation terminale privative en mode atm |
FR2835991B1 (fr) | 2002-02-12 | 2004-04-23 | France Telecom | Procede de configuration d'une memoire trie pour le traitement de paquets de donnees, et dispositif de traitement de paquets mettant en oeuvre un tel procede |
US20040008697A1 (en) * | 2002-05-15 | 2004-01-15 | Xyratex Technology Limited | Method and apparatus for enabling filtering of data packets |
US7886350B2 (en) | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Methodology for measurements and analysis of protocol conformance, performance and scalability of stateful border gateways |
US7886348B2 (en) | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Security management system for monitoring firewall operation |
US7853996B1 (en) * | 2003-10-03 | 2010-12-14 | Verizon Services Corp. | Methodology, measurements and analysis of performance and scalability of stateful border gateways |
US7421734B2 (en) * | 2003-10-03 | 2008-09-02 | Verizon Services Corp. | Network firewall test methods and apparatus |
US8441935B2 (en) * | 2004-08-09 | 2013-05-14 | Jds Uniphase Corporation | Method and apparatus to distribute signaling data for parallel analysis |
US8027251B2 (en) * | 2005-11-08 | 2011-09-27 | Verizon Services Corp. | Systems and methods for implementing protocol-aware network firewall |
US9374342B2 (en) * | 2005-11-08 | 2016-06-21 | Verizon Patent And Licensing Inc. | System and method for testing network firewall using fine granularity measurements |
US8966619B2 (en) * | 2006-11-08 | 2015-02-24 | Verizon Patent And Licensing Inc. | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using return routability check filtering |
US9473529B2 (en) | 2006-11-08 | 2016-10-18 | Verizon Patent And Licensing Inc. | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering |
US8302186B2 (en) * | 2007-06-29 | 2012-10-30 | Verizon Patent And Licensing Inc. | System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel |
US8522344B2 (en) * | 2007-06-29 | 2013-08-27 | Verizon Patent And Licensing Inc. | Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems |
US8302151B2 (en) * | 2008-06-02 | 2012-10-30 | International Business Machines Corporation | Improving comprehension of information in a security enhanced environment by representing the information in audio form |
US8725869B1 (en) * | 2011-09-30 | 2014-05-13 | Emc Corporation | Classifying situations for system management |
US8879558B1 (en) * | 2012-06-27 | 2014-11-04 | Juniper Networks, Inc. | Dynamic remote packet capture |
RU2607997C1 (ru) * | 2015-08-05 | 2017-01-11 | Общество с ограниченной ответственностью "Научно-Техническая Компания "Эспадон" | Система защиты компьютерных сетей от несанкционированного доступа |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5842040A (en) * | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
US6754212B1 (en) * | 1996-07-12 | 2004-06-22 | Hitachi, Ltd. | Repeater and network system utililzing the same |
JP3591753B2 (ja) * | 1997-01-30 | 2004-11-24 | 富士通株式会社 | ファイアウォール方式およびその方法 |
US6141755A (en) * | 1998-04-13 | 2000-10-31 | The United States Of America As Represented By The Director Of The National Security Agency | Firewall security apparatus for high-speed circuit switched networks |
US7073196B1 (en) * | 1998-08-07 | 2006-07-04 | The United States Of America As Represented By The National Security Agency | Firewall for processing a connectionless network packet |
US6615358B1 (en) * | 1998-08-07 | 2003-09-02 | Patrick W. Dowd | Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network |
US6917619B1 (en) * | 1999-01-13 | 2005-07-12 | Avaya Technology Corp. | System and method for interconnecting ATM systems over an intermediate ATM network using switch virtual connections |
DE60045552D1 (de) * | 1999-06-30 | 2011-03-03 | Apptitude Inc | Verfahren und gerät um den netzwerkverkehr zu überwachen |
US6879593B1 (en) * | 1999-12-20 | 2005-04-12 | Intel Corporation | Connections of nodes on different networks |
AU2001231041A1 (en) * | 2000-01-20 | 2001-07-31 | Mci Worldcom, Inc. | Intelligent network and method for providing voice telephony over atm and private address translation |
US7031267B2 (en) * | 2000-12-21 | 2006-04-18 | 802 Systems Llc | PLD-based packet filtering methods with PLD configuration data update of filtering rules |
US20020143914A1 (en) * | 2001-03-29 | 2002-10-03 | Cihula Joseph F. | Network-aware policy deployment |
FR2835991B1 (fr) * | 2002-02-12 | 2004-04-23 | France Telecom | Procede de configuration d'une memoire trie pour le traitement de paquets de donnees, et dispositif de traitement de paquets mettant en oeuvre un tel procede |
-
2000
- 2000-07-25 FR FR0009723A patent/FR2812491B1/fr not_active Expired - Fee Related
-
2001
- 2001-07-23 WO PCT/FR2001/002394 patent/WO2002009367A1/fr active IP Right Grant
- 2001-07-23 CA CA002417198A patent/CA2417198A1/fr not_active Abandoned
- 2001-07-23 EP EP01956631A patent/EP1303953B1/fr not_active Expired - Lifetime
- 2001-07-23 AU AU2001278557A patent/AU2001278557A1/en not_active Abandoned
- 2001-07-23 ES ES01956631T patent/ES2237585T3/es not_active Expired - Lifetime
- 2001-07-23 US US10/333,862 patent/US20040013086A1/en not_active Abandoned
- 2001-07-23 DE DE60109038T patent/DE60109038T2/de not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP1303953A1 (fr) | 2003-04-23 |
AU2001278557A1 (en) | 2002-02-05 |
WO2002009367A1 (fr) | 2002-01-31 |
DE60109038T2 (de) | 2006-04-13 |
CA2417198A1 (fr) | 2002-01-31 |
EP1303953B1 (fr) | 2005-02-23 |
FR2812491A1 (fr) | 2002-02-01 |
DE60109038D1 (de) | 2005-03-31 |
US20040013086A1 (en) | 2004-01-22 |
FR2812491B1 (fr) | 2003-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2237585T3 (es) | Dispositivo de control de acceso entre redes atm. | |
EP1012726B1 (en) | Policy caching method and apparatus for use in a communication device | |
Khosravi et al. | Requirements for separation of IP control and forwarding | |
Lara et al. | OpenSec: Policy-based security using software-defined networking | |
DE602004009356T2 (de) | Verfahren und Vorrichtung zum Schutz einer Netzwerkinfrastruktur und zur gesicherten Kommunikation von Kontrollinformationen | |
Moscola et al. | Implementation of a content-scanning module for an internet firewall | |
US9258227B2 (en) | Next hop chaining for forwarding data in a network switching device | |
US8689316B2 (en) | Routing a packet by a device | |
Lockwood et al. | Internet worm and virus protection in dynamically reconfigurable hardware | |
Xu et al. | Design and evaluation of a High-Performance ATM firewall switch and its applications | |
KR100308593B1 (ko) | 패킷스위칭된 트래픽을루팅하는방법 | |
US20100111083A1 (en) | Application for non disruptive task migration in a network edge switch | |
McHenry et al. | An FPGA-based coprocessor for ATM firewalls | |
ES2276021T3 (es) | Procedimiento y dispositivo para el tratamiento de paquetes de datos. | |
JPH10136016A (ja) | パケット転送制御方法及びノード装置 | |
da Silveira et al. | IEC 61850 network cybersecurity: Mitigating GOOSE message vulnerabilities | |
CN101588361B (zh) | 一种增强组播安全性的方法 | |
Nelson et al. | SDNS Architecture and End-to-end Encryption | |
Tarman et al. | Intrusion detection considerations for switched networks | |
Paul et al. | A Full Bandwidth ATМ Firewall | |
Paul et al. | Design and Implementation of a Full Bandwidth ATM Firewall | |
Paul et al. | An asynchronous distributed access control architecture for IP over ATM networks | |
Katevenis et al. | Wormhole IP over (connectionless) ATM | |
Zhao et al. | OpenRouter: A TCP-based lightweight protocol for control plane and forwarding plane communication | |
Takahashi et al. | APE: Fast and secure active networking architecture for active packet editing |