ES2308048T3 - Cortafuegos personal remoto. - Google Patents
Cortafuegos personal remoto. Download PDFInfo
- Publication number
- ES2308048T3 ES2308048T3 ES03818400T ES03818400T ES2308048T3 ES 2308048 T3 ES2308048 T3 ES 2308048T3 ES 03818400 T ES03818400 T ES 03818400T ES 03818400 T ES03818400 T ES 03818400T ES 2308048 T3 ES2308048 T3 ES 2308048T3
- Authority
- ES
- Spain
- Prior art keywords
- server
- tcp
- user
- port
- ports
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 claims abstract description 26
- 238000001914 filtration Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 description 9
- 238000013461 design Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephone Function (AREA)
- Lock And Its Accessories (AREA)
- Control Of Eletrric Generators (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
Abstract
Método de un servidor de pasarela (10) de una red privada virtual, VPN, para proporcionar reglas para el acceso inalámbrico, a través de una conexión de túneles seguros, a una red empresarial (20), comprendiendo dicho método: configurar una base de datos de usuarios (15, 25) del servidor de pasarela VPN para proporcionar reglas específicas de cada usuario para el acceso a través de la conexión de túneles seguros, autenticar un usuario que se conecta a la conexión de túneles seguros; y limitar el acceso del usuario autenticado a la red empresarial (20); caracterizado porque: la configuración comprende además la asociación de diferentes usuarios específicos a conjuntos respectivos de puertos permitidos del servidor TCP; la limitación del acceso del usuario autenticado se realiza reenviando únicamente datos de usuario recibidos en el túnel seguro que, como destino, tienen un puerto que está incluido por el conjunto de puertos permitidos del servidor TCP asociados al usuario en la base de datos de usuarios (15, 25); y en el que los puertos permitidos del servidor TCP asociados a un usuario específico son puertos permitidos del servidor TCP en el lado cliente, comprendiendo dicha etapa de configuración la configuración de la base de datos de usuarios (25) para asociar un puerto permitido del servidor TCP en el lado cliente a un puerto del servidor TCP en el lado servidor, comprendiendo el método el reenvío de datos de usuario recibidos en el túnel seguro hacia un puerto del servidor TCP en el lado servidor asociado a un puerto permitido del servidor TCP en el lado cliente a través de una conexión TCP independiente, actuando el servidor de pasarela (10), en dicha conexión, como cliente; y en el que dicha etapa de configuración comprende la configuración de la base de datos de usuarios (25) para asociar diferentes puertos permitidos del servidor TCP en el lado cliente, que están asociados a un usuario específico, al mismo puerto TCP en el lado servidor aunque con diferentes direcciones IP respectivas, comprendiendo el método el reenvío de datos de usuario recibidos en el túnel seguro hacia la dirección IP asociada a un puerto permitido del servidor TCP en el lado cliente.
Description
Cortafuegos personal remoto.
La presente invención se refiere a un método y a
un servidor de pasarela de una red privada virtual (VPN) que
proporcionan reglas para el acceso inalámbrico a través de una
conexión de túneles seguros a una red empresarial.
Se espera que el deseo y la posibilidad de usar
terminales inalámbricos para acceder a Internet crezcan rápidamente
durante los próximos años. Dicho acceso mejorará considerablemente
por medio de las redes móviles de tercera generación (3G) que los
operadores de redes móviles han introducido, o están a punto de
introducir, en todo el mundo. Además, las redes móviles existentes
se han actualizado recientemente con una funcionalidad adicional
para facilitar dicho acceso, por ejemplo, las redes GSM (Sistema
Global para Comunicaciones Móviles) actualizadas con la
funcionalidad GPRS (Servicio General de Radiocomunicaciones por
Paquetes).
Al mismo tiempo, el número de empleados que
desea usar sus terminales inalámbricos para acceder a recursos de
su empresa cuando se encuentran fuera de la oficina está creciendo
continuamente, de forma especial con la introducción de
dispositivos inalámbricos cada vez más potentes que proporcionan una
funcionalidad que hace que resulten adecuados como herramienta de
trabajo remota.
El deseo de acceso inalámbrico a recursos de
redes empresariales, junto con las posibilidades crecientes de
acceso inalámbrico a Internet, hará que aumente el despliegue, por
parte de empresas, de Redes Privadas Virtuales (VPN) diseñadas para
proporcionar a los clientes acceso inalámbrico a recursos de la
empresa.
En general, una Red Privada Virtual (VPN) es un
concepto que construye una infraestructura de comunicaciones
privada, segura, por encima de una red pública. El concepto lógico
túnel VPN sustituye a una línea privada, y el túnel puede
interconectar dos sitios de redes empresariales, una VPN denominada
de sitio-a-sitio, o interconectar
un usuario remoto con una red empresarial, una VPN denominada de
acceso remoto.
En una VPN de acceso remoto, un servidor de
pasarela VPN típicamente interconecta la red empresarial con
Internet. De este modo, un usuario puede usar una conexión con
Internet de marcación, proporcionada por un Proveedor de Servicios
de Internet, para conectarse a una red empresarial a través del
servidor de pasarela VPN. Como el usuario se conecta a través de
una red pública, es necesario tomar ciertas medidas de seguridad,
típicamente el cifrado de la conexión y la autenticación del
usuario. Después de que el servidor de pasarela VPN haya
autenticado satisfactoriamente a un usuario a través de la conexión
cifrada entre el cliente y la pasarela VPN empresarial, al usuario
se le proporciona acceso a la red empresarial a través de un túnel
VPN denominado seguro. Con el uso del túnel, el usuario puede
acceder a diferentes recursos en la red de la empresa. De forma
similar, si los usuarios usan terminales de cliente inalámbricos que
tienen acceso a Internet a través de una red inalámbrica, se pueden
establecer túneles VPN seguros entre los clientes inalámbricos y una
pasarela VPN a través de la red inalámbrica e Internet, permitiendo
de este modo un acceso remoto inalámbrico a los recursos de una red
empresarial.
Tal como se ha mencionado, el acceso a una red
empresarial a través de una conexión de túneles VPN seguros implica
el cifrado de la conexión y la autenticación del usuario que accede.
No obstante, una vez que se ha establecido la conexión de túneles
seguros no existen, dentro del túnel, reglas de acceso específicas
de cada usuario. El túnel, en cambio, permite que un cliente
inalámbrico use todos los puertos TCP que están abiertos
constantemente para cualquier usuario autenticado que acceda.
El hecho de tener puertos TCP constantemente
abiertos dentro de una conexión de túneles seguros para todos los
usuarios autenticados no concuerda con el hecho de que muchos
empleados que utilizan terminales de cliente inalámbricos
únicamente necesitan acceder a ciertas aplicaciones dentro de una
red empresarial. Por otra parte, puede que algunos empleados ni
siquiera estén autorizados para acceder a ciertas aplicaciones
empresariales. Por esta razón, es deseable proporcionar un diseño
que, de una manera sencilla, permita que una empresa controle hasta
qué nivel se permite a los clientes inalámbricos acceder a una red
empresarial dentro de un túnel VPN seguro.
El documento WO 03/029916A (Bluesocket Inc), 10
de abril de 2003, da a conocer un método de la técnica anterior
para gestionar tráfico de datos en redes inalámbricas, en el que se
interpone un servidor de pasarela entre puntos de acceso
inalámbrico y redes protegidas para proporcionar funciones de
seguridad e integración.
El documento WO 03/045034 A (Soh Kok Hong;
Mobiwave PTE Ltd (AG)), 30 de mayo de 2003, da a conocer un método
para proporcionar un acceso de dispositivos inalámbricos a una red
mediante la creación de una conexión de red privada virtual.
\newpage
La presente invención proporciona una pasarela
VPN con funcionalidad de cortafuegos que puede diferenciar el tipo
de acceso permitido por diferentes usuarios a una red
empresarial.
Según la invención, esta funcionalidad se logra
con un método de acuerdo con la reivindicación independiente 1, un
sistema de red privada virtual de acuerdo con la reivindicación
independiente 13 y un servidor de pasarela de red privada virtual
de acuerdo con la reivindicación independiente 7. En las
reivindicaciones subordinadas se definen formas de realización
preferidas.
La idea en la que se basa la presente invención
es proporcionar un acceso remoto inalámbrico a una red empresarial,
estando protegida dicha red por una funcionalidad de cortafuegos,
con diferentes configuraciones de acceso para diferentes usuarios
remotos.
Según la invención, un servidor de pasarela VPN
comprende una base de datos de usuarios que proporciona reglas
específicas para cada usuario para el acceso a la red empresarial
usando el túnel seguro. Las reglas comprenden conjuntos específicos
de puertos TCP asociados a usuarios específicos respectivos. El
servidor de pasarela limita el acceso de un usuario autenticado a
la red empresarial, realizándose dicho acceso por medio de una
conexión de túnel proporcionada por el servidor de pasarela, hacia
los puertos permitidos asociados del servidor TCP.
De este modo, en lugar de permitir que un
usuario autenticado use todos los puertos disponibles del servidor
TCP dentro del túnel seguro, la funcionalidad de cortafuegos del
servidor de pasarela VPN según la invención únicamente permitirá
que un usuario acceda a la red empresarial por medio del túnel
seguro usando los puertos del servidor TCP asociados al usuario en
la base de datos de usuarios. Esto significa que es posible
diferenciar los tipos de acceso a la red empresarial que son
permitidos por diferentes usuarios. Por ejemplo, a un usuario se le
puede permitir usar todos los puertos TCP, o zócalos, disponibles
dentro del túnel seguro, proporcionando de este modo la opción de
interaccionar remotamente con un número diverso de aplicaciones en
la red empresarial. Al mismo tiempo, a otro usuario se le puede
permitir únicamente usar puertos del servidor TCP para interaccionar
remotamente con un proceso de un servidor de correo electrónico en
la red empresarial.
Preferentemente, el túnel seguro está vinculado
a un puerto específico del servidor TCP del servidor de pasarela,
mientras que los puertos TCP permitidos para el tráfico de usuario
real dentro del túnel seguro están preconfigurados en la base de
datos de usuario. El puerto del servidor TCP para el propio túnel
está preconfigurado en la aplicación del usuario.
Preferentemente, el acceso de un usuario a la
red empresarial conlleva dos sesiones TCP separadas. Un túnel VPN
en forma de una conexión cifrada entre el terminal de cliente
inalámbrico del usuario y el servidor de pasarela, y una sesión
entre el servidor de pasarela y un servidor de fondo
(back-end) de la red empresarial. En esta
última sesión TCP, el servidor de pasarela actúa como cliente con
respecto a un zócalo servidor definido por un puerto permitido del
servidor TCP.
La base de datos de usuario se puede configurar
de diversas maneras ventajosas para controlar y mejorar el acceso
de un usuario a la red empresarial a través de la conexión de
túneles. Algunas de estas posibles configuraciones se describen a
continuación.
Preferentemente, la base de datos de usuarios
asocia un número de puerto permitido del servidor TCP de un usuario
específico a una dirección IP específica dentro de la red
empresarial. De esta manera, los datos de usuario de clientes
diferentes que usan el mismo protocolo de puertos, bien al usar los
mismos zócalos bien conocidos o bien al usar diferentes números de
puerto TCP asociados al mismo protocolo de puertos, se pueden
reenviar a destinos de direcciones IP diferentes dentro de la red
empresarial. A continuación, estos destinos se pueden usar para
diferenciar los servicios y aplicaciones accesibles para usuarios
diferentes que usan el mismo protocolo de acceso.
De forma ventajosa, los puertos permitidos del
servidor TCP de un usuario son puertos del servidor TCP en el lado
cliente asociados en la base de datos de usuarios a puertos
respectivos del servidor TCP en el lado servidor. Esto proporciona
la posibilidad de asociar diferentes puertos del servidor TCP en el
lado cliente al mismo puerto del servidor TCP en el lado servidor.
Esta situación resulta ventajosa ya que permite que un cliente
ejecute, por ejemplo, dos instancias diferentes de un proceso de
aplicación de cliente con respecto al mismo proceso de aplicación
del servidor. Por ejemplo, el cliente puede tener dos procesos
diferentes y simultáneos de cliente de correo comunicándose con
exactamente el mismo proceso de servidor de correo.
Resulta además ventajoso configurar la base de
datos de usuarios para asociar diferentes puertos TCP en el lado
cliente permitidos para un usuario específico al mismo puerto TCP en
el lado servidor aunque con diferentes direcciones IP. De esta
manera, un cliente puede tener conexiones simultáneas que usan el
mismo protocolo con direcciones IP diferentes en la red empresarial
usando puertos TCP diferentes en el lado cliente para las
diferentes conexiones. Esto proporciona la posibilidad de que un
cliente tenga diferentes procesos simultáneos de cliente de correo
comunicándose con diferentes procesos de servidor de correo en
direcciones IP diferentes.
\newpage
De forma ventajosa, la base de datos de usuarios
está configurada para asociar un puerto de servidor TCP en el lado
cliente a un puerto de servidor TCP en el lado servidor y a una
dirección IP de un servidor DNS empresarial dentro de la red
empresarial. Esto permite que el cliente en cuestión use un servicio
DNS empresarial dentro de la conexión de túneles.
El conjunto de puertos permitidos del servidor
TCP dentro del túnel que están asociados a un usuario específico se
transmite preferentemente hacia el usuario después de que el mismo
haya sido autenticado. De esta manera, se informará al usuario
sobre qué puertos del servidor TCP tiene permiso para usar en el
túnel en caso de que el cliente no se haya configurado previamente
con la información de dichos puertos permitidos del servidor TCP.
Además, esto permite cambiar puertos TCP permitidos en la base de
datos de usuarios sin tener que volver a configurar el cliente de
forma correspondiente antes de usar la conexión de túneles.
Los puertos del servidor TCP permitidos para ser
usados por un cliente pueden ser bien puertos de zócalos bien
conocidos o bien puertos arbitrarios. En el caso de que se usen
puertos arbitrarios del servidor TCP, una de las formas de
realización de la invención prevé que la base de datos de usuarios
asocie un protocolo específico de cada puerto a los puertos
permitidos del servidor TCP, transmitiéndose dichos protocolos hacia
el cliente junto con los puertos TCP después de la
autenticación.
Otras características y ventajas de la presente
invención se pondrán más claramente de manifiesto a partir de la
siguiente descripción de una serie de formas de realización
ilustrativas de la invención. Tal como se entenderá, cuando se
estudien los aspectos generales dados a conocer en el presente
documento y la siguiente descripción detallada, se pondrán de
manifiesto, para los expertos en la materia, varias modificaciones,
variaciones y diferentes combinaciones de características
comprendidas dentro del espíritu y el alcance de la invención.
A continuación se describirán formas de
realización ilustrativas de la presente invención haciendo
referencia a los dibujos adjuntos, en los que:
la Fig. 1 muestra esquemáticamente un entorno
global de un sistema ilustrativo en el que se incluye y se puede
hacer funcionar una forma de realización de la invención; y
la Fig. 2 muestra esquemáticamente el mismo
entorno global del sistema ilustrativo en el que se incluye y se
puede hacer funcionar otra forma de realización de la invención.
A continuación, haciendo referencia a la Fig. 1,
se describirá más detalladamente la invención. La Fig. 1 muestra un
servidor de pasarela 10 de red privada virtual (VPN) que
interconecta una red empresarial 20, típicamente una Intranet, e
Internet 30. Se muestra un terminal inalámbrico de cliente 40 de un
usuario de manera que tiene acceso a Internet a través de una red
inalámbrica 50.
El servidor de pasarela VPN comprende una base
de datos de usuarios 15 configurada para asociar diferentes
usuarios a diferentes reglas específicas de cada usuario para
acceder a la red empresarial 20. La base de datos de usuarios
proporciona las reglas específicas de cada usuario asociando
diferentes usuarios a diferentes conjuntos de puertos del servidor
TCP para cuyo uso se tiene permiso cuando se accede a la red
empresarial por medio de una conexión de túneles VPN.
El servidor de pasarela VPN 10 está configurado
para usar un puerto específico del servidor TCP con vistas a
proporcionar el túnel VPN seguro con el que un usuario puede acceder
a la red empresarial 20 usando el terminal inalámbrico de cliente
40. El túnel se crea cuando el cliente inalámbrico 40 usa este
puerto específico para iniciar una conexión cifrada en SSL (Capa de
Conexión Segura) entre el cliente 40 y el servidor de pasarela 10
como sesión propia. Esta sesión finaliza en el servidor de pasarela.
La conexión adicional entre el servidor de pasarela 10 y servidores
de fondo de la red empresarial 20 se proporciona por medio de nuevas
sesiones TCP independientes no cifradas.
De este modo, el acceso de un usuario a un
servidor de fondo de la red empresarial 20 se proporciona por medio
de una sesión TCP específica entre el cliente 40 y el servidor de
pasarela 10 y una sesión TCP adicional entre el servidor de
pasarela 10 y el servidor de fondo, actuando el servidor de pasarela
como cliente.
El servidor de pasarela VPN 10 comprende además
unos medios de autenticación 11 para autenticar un usuario que se
conecte al túnel VPN, unos medios de filtrado de puertos 12 para
limitar el acceso de un usuario autenticado en el túnel y unos
medios transmisores 13 para transmitir un conjunto de puertos
permitidos del servidor TCP a un usuario autenticado.
Los expertos en la materia apreciarán que la
base de datos de usuarios 15, los medios de autenticación 11, los
medios de filtrado de puertos 12 y los medios transmisores 13 se
implementan todos ellos por medio de circuitos de hardware del
estado de la técnica, bien conocidos, comprendiendo circuitos de
memoria, circuitos de interfaz y un microprocesador, que están
configurados y controlados para funcionar según la invención. El
microprocesador ejecuta instrucciones de programas que se han
cargado en una memoria y que consiguen que los circuitos de
hardware se configuren y funcionen según las diversas formas de
realización de la invención. El diseño de estas instrucciones de
programa será apreciado por los expertos en la técnica de la
programación después de haber estudiado el contenido de la presente
solicitud.
Haciendo referencia nuevamente a la Fig. 1, se
describirá a continuación una forma de realización ilustrativa. En
la Fig. 1 se muestra una configuración ilustrativa en la base de
datos de usuarios 15 que asocia un usuario X a un conjunto de
puertos TCP permitidos que constan de los puertos 80, 110 y 25.
Estos puertos son conocidos por los expertos en la materia como
zócalos para los protocolos, respectivamente, HTTP (Protocolo de
Transporte de Hipertexto), POP3 (Protocolo de Oficina de Correos -
Versión 3) y SMTP (Protocolo Simple de Transferencia de Correo). De
forma similar, un usuario Y está asociado únicamente a los puertos
permitidos TCP 110 y 25. De este modo, el acceso del usuario Y a la
red empresarial 20 está configurado para limitarse a un acceso de
servidor de correo, mientras que al usuario X, además del acceso de
servidor de correo, se le permite acceder a aplicaciones web dentro
de la red empresarial.
El cliente inalámbrico 40 comprende una
aplicación de cliente configurada para acceder al túnel VPN
proporcionado por el servidor de pasarela. Para acceder al túnel,
el cliente se conecta a la dirección IP del servidor de pasarela
VPN y al puerto específico del servidor TCP del túnel. Si el puerto
del servidor TCP correspondiente al túnel es, por ejemplo, el
puerto 83, la aplicación de cliente estará preconfigurada para
conectarse al puerto 83 del servidor TCP cuando acceda al túnel
VPN.
A continuación se describirá el funcionamiento
de la forma de realización mostrada en la Fig. 1. Según la
invención, la base de datos de usuarios 15 se configura en primer
lugar con reglas específicas de cada usuario para acceder al puerto
del servidor TCP usando el túnel VPN. Tal como se ha descrito
anteriormente, esta configuración comprende la asociación de
diferentes conjuntos de puertos permitidos del servidor TCP a
diferentes usuarios. La configuración resultante de la base de
datos de usuarios en esta forma de realización se ha descrito
anteriormente y se indica también en la Fig. 1.
Cuando el usuario desea acceder a la red
empresarial, usa el cliente inalámbrico 40 y la dirección IP del
servidor de pasarela VPN 10 para conectarse al puerto del servidor
TCP del túnel VPN, es decir, en este caso, el puerto 83. Mediante
el uso de este puerto para iniciar una conexión cifrada en SSL entre
el cliente 40 y el servidor de pasarela 10 se crea un túnel VPN
seguro. A continuación, el servidor de pasarela VPN 10 autenticará
al usuario basándose en una información de identificación y
contraseña de usuario transmitida por el mismo desde el cliente
inalámbrico 40, a través de la conexión TCP/IP, al puerto 83 del
servidor TCP del túnel. Cuando se ha autenticado al usuario, el
servidor de pasarela VPN recupera los puertos permitidos del
servidor TCP asociados al usuario específico a partir de la base de
datos de usuarios 15. A continuación, el servidor VPN 10 devuelve
un número de sesión de cliente y los puertos permitidos del servidor
TCP específicos a la aplicación inalámbrica de cliente, por
ejemplo, los puertos 80, 110 y 25 en el caso de que el usuario que
se conecta sea el usuario X antes descrito. En este momento, estos
puertos del servidor TCP son los únicos puertos permitidos en el
túnel.
Tras haber recibido del servidor de pasarela VPN
10 los puertos permitidos del servidor TCP, el cliente inalámbrico
40 sabrá qué protocolos usar en el túnel seguro abierto. (Si los
puertos TCP permitidos no son zócalos bien conocidos, el servidor
10 habrá transmitido también hacia el cliente los protocolos a usar
con los puertos TCP permitidos). En este momento, el usuario puede
comenzar a usar aplicaciones que requieren protocolos
correspondientes a los protocolos que es posible usar en relación
con los puertos TCP permitidos. Típicamente, una aplicación de
cliente abrirá un puerto TCP en el lado cliente y transmitirá una
solicitud, dentro del túnel, para conectarse a un puerto TCP
permitido en el lado servidor. Por ejemplo, el usuario X puede usar
una aplicación de navegador web que abre un puerto 1077 en el lado
cliente y solicita conectarse al puerto TCP 80 permitido en el lado
servidor. El cliente encaminará esta solicitud de conexión hacia el
zócalo en el túnel, es decir, a través de la conexión establecida
hacia el puerto TCP 83 en el lado servidor. De esta manera, todas
las solicitudes del cliente para conexiones a zócalos diferentes se
encaminan a la misma
conexión de zócalo abierta del servidor, es decir, el puerto 83 del servidor TCP del túnel seguro cifrado en SSL.
conexión de zócalo abierta del servidor, es decir, el puerto 83 del servidor TCP del túnel seguro cifrado en SSL.
Al recibir datos del cliente inalámbrico en el
túnel seguro, el servidor de pasarela 10 descifra los datos y
comprueba, con la base de datos de usuarios, si se permite que el
usuario X use el puerto 80 del servidor TCP en el túnel. Como sí
tiene permiso, el servidor de pasarela 10 actuará como cliente y
establecerá una sesión TCP independiente nueva mediante una
conexión al puerto TCP 80 del servidor de fondo que aloja el proceso
del servidor de aplicación web en la red empresarial. A
continuación, el servidor de pasarela 10 reenviará los datos de
usuario descifrados a través de esta sesión TCP independiente.
Supóngase en este momento que el usuario Y
deseara ejecutar una aplicación empresarial de navegador web. Según
la configuración, el servidor de pasarela 10 evitará que el usuario
Y use este tipo de acceso a la red empresarial. Cuando el usuario Y
encamina una solicitud de conexión al puerto 80 en el túnel, el
servidor de pasarela, después del descifrado de datos recibidos,
descubrirá que el usuario Y no tiene permiso para usar el puerto
solicitado del servidor TCP. Por lo tanto, el servidor de pasarela
10 no establecerá ninguna sesión TCP con el puerto 80 de un
servidor de fondo y no se reenviarán ningunos datos hacia la red
empresarial. No obstante, si el usuario Y hubiera estado intentando
acceder al servidor de correo en la red empresarial, dicho acceso
lo habría proporcionado el servidor de pasarela 10 ya que el mismo
habría implicado puertos del servidor TCP con permiso para ser
usados por el usuario Y en el túnel (puerto 25 y 110). De este modo,
el servidor de pasarela 10 limita el acceso del usuario Y a la red
empresarial.
Haciendo referencia a la Fig. 2, se describirá a
continuación otra forma de realización ilustrativa de la invención.
En esta forma de realización, la base de datos de usuarios está
configurada para proporcionar reglas específicas de cada usuario,
adicionales, para el acceso a la red empresarial. La configuración
del túnel VPN y el acceso al mismo se corresponden con lo ya
descrito en referencia a la Fig. 1. Además, todos los elementos de
la Fig. 2 que tienen un diseño y un funcionamiento correspondientes
a los de los elementos de la Fig. 1 se han designado con los mismos
símbolos de referencia que se usan en la Fig. 1.
Los puertos permitidos del servidor TCP
asociados a un usuario son, en esta forma de realización, puertos
del servidor TCP permitidos en el lado cliente que, en la base de
datos de usuarios 25, están asociados a puertos del servidor TCP
respectivos en el lado servidor. Cuando, a través del túnel VPN, se
recibe una solicitud de conexión a un puerto permitido del servidor
TCP en el lado cliente, el servidor de pasarela 10 establece una
sesión TCP nueva mediante una conexión al puerto asociado del
servidor TCP en el lado servidor. A continuación, los datos de
usuario recibidos en el túnel seguro y que tienen, como destino, un
puerto permitido del servidor TCP en el lado cliente se reenviarán
hacia el puerto asociado del servidor TCP en el lado servidor.
Además, cada puerto del servidor TCP en el lado
cliente, del usuario, está asociado a una dirección IP, lo que
permite que el mismo número de puerto de servidor TCP en el lado
cliente, para diferentes usuarios, esté asociado a diferentes
direcciones IP.
La Fig. 2 muestra una configuración ilustrativa
que implica a los usuarios X e Y. Nuevamente, se supone que las
aplicaciones en la red empresarial usan números de puerto en
concordancia con la forma habitual de usar estos números, es decir,
el puerto 25 para el protocolo SMTP, el puerto 110 para el protocolo
POP3, el puerto 80 para el protocolo HTTP y el puerto 53 para
aplicaciones del Servidor de Nombres de Dominio. Con la
configuración de la Fig. 2, al usuario X se le permite usar los
puertos 25, 26, 110 y 112 del servidor TCP en el lado cliente para
acceder a diferentes aplicaciones de servidor de correo que tienen
diferentes direcciones IP.
Al producirse la autenticación del usuario X, el
servidor de pasarela VPN transmite los puertos permitidos del
servidor TCP en el lado cliente hacia el terminal inalámbrico 40
controlado por el usuario X, a través del túnel seguro. A
continuación, el usuario X sabe para qué puertos tiene permiso de
uso. Si un número de puerto no fuera un zócalo bien conocido, el
servidor de pasarela transmite también hacia el usuario el protocolo
específico del puerto, debiéndose usar dicho protocolo junto con un
puerto específico. Alternativamente, el cliente inalámbrico está
preconfigurado con los protocolos que debe usar junto con diversos
números de puerto.
A partir de la configuración de la base de datos
de usuarios 25 de la Fig. 2, se puede observar que el usuario X
tiene permiso para acceder a dos procesos diferentes del servidor
POP3, residentes en las dos direcciones IP diferentes 10.114.2.1 y
10.114.2.2 en la red empresarial, mediante el uso de los diferentes
puertos 110 y 112 del servidor TCP en el lado cliente junto con el
protocolo POP3 en el túnel. Tal como se indica en la Fig. 2, el
tráfico en el túnel seguro desde el usuario X que usa el puerto 110
del servidor TCP en el lado cliente se reenviará, a través de una
conexión TCP, hacia la dirección IP 10.114.2.1 y al puerto TCP 110
en el lado servidor, mientras que el tráfico que hace uso del
puerto 112 del servidor TCP en el lado cliente se reenviará a una
conexión TCP hacia la dirección IP 10.114.2.2 y al puerto TCP 110 en
el lado servidor.
Por otro lado, el usuario Y solamente tiene
permiso para usar los puertos 25 y 110 del servidor TCP en el lado
cliente. De este modo, el acceso del servidor de correo del usuario
Y a la red empresarial se limita a los puertos del servidor TCP en
el lado servidor usados para POP3 y SMTP por el servidor de correo
que tiene la dirección IP 10.114.2.2. De este modo, en este caso,
el mismo número de puerto del servidor TCP en el lado cliente
correspondiente a los dos usuarios diferentes, es decir, el número
de puerto 110, está asociado al mismo número de puerto TCP en el
lado servidor, aunque con diferentes direcciones IP. De esta manera,
el servidor de pasarela puede reenviar datos de usuario desde
usuarios diferentes que usan el mismo protocolo de comunicaciones
hacia puertos TCP en el lado servidor de destinos con direcciones IP
diferentes.
Al usuario X se le permite también usar los
puertos 80 y 53 del servidor TCP en el lado cliente asociados a
puertos TCP respectivos en el lado servidor y direcciones IP de una
aplicación de servidor web y un servidor de nombres de dominio en
la red empresarial. El usuario Y no tiene ningún puerto en el lado
cliente asociado a puertos en el lado servidor para aplicaciones de
servidor web o aplicaciones de servidor de nombres de dominio. De
este modo, el acceso del usuario Y a la red empresarial se limita
únicamente al acceso del servidor de correo.
Debería indicarse que la anterior descripción
detallada de diferentes formas de realización de la invención se ha
proporcionado únicamente a título ilustrativo, y que por lo tanto
las mismas no pretenden limitar el alcance de la invención, tal
como queda definido por las reivindicaciones adjuntas. Debe
entenderse especialmente que se pueden combinar de forma ventajosa
características de las diferentes formas de realización descritas
para producir formas de realización nuevas que quedan comprendidas
dentro del alcance de las reivindicaciones adjuntas.
Además, se apreciará que, para los expertos en
la materia, cuando estudien las reivindicaciones y la descripción
detallada, se pondrán de manifiesto otras variantes y modificaciones
que están comprendidas dentro del alcance de las reivindicaciones
adjuntas según se expone en el presente documento.
Claims (14)
1. Método de un servidor de pasarela (10) de una
red privada virtual, VPN, para proporcionar reglas para el acceso
inalámbrico, a través de una conexión de túneles seguros, a una red
empresarial (20), comprendiendo dicho método:
configurar una base de datos de usuarios (15,
25) del servidor de pasarela VPN para proporcionar reglas
específicas de cada usuario para el acceso a través de la conexión
de túneles seguros,
autenticar un usuario que se conecta a la
conexión de túneles seguros; y
limitar el acceso del usuario autenticado a la
red empresarial (20);
caracterizado porque:
la configuración comprende además la asociación
de diferentes usuarios específicos a conjuntos respectivos de
puertos permitidos del servidor TCP;
la limitación del acceso del usuario autenticado
se realiza reenviando únicamente datos de usuario recibidos en el
túnel seguro que, como destino, tienen un puerto que está incluido
por el conjunto de puertos permitidos del servidor TCP asociados al
usuario en la base de datos de usuarios (15, 25); y
en el que los puertos permitidos del servidor
TCP asociados a un usuario específico son puertos permitidos del
servidor TCP en el lado cliente, comprendiendo dicha etapa de
configuración la configuración de la base de datos de usuarios (25)
para asociar un puerto permitido del servidor TCP en el lado cliente
a un puerto del servidor TCP en el lado servidor, comprendiendo el
método el reenvío de datos de usuario recibidos en el túnel seguro
hacia un puerto del servidor TCP en el lado servidor asociado a un
puerto permitido del servidor TCP en el lado cliente a través de
una conexión TCP independiente, actuando el servidor de pasarela
(10), en dicha conexión, como cliente; y
en el que dicha etapa de configuración comprende
la configuración de la base de datos de usuarios (25) para asociar
diferentes puertos permitidos del servidor TCP en el lado cliente,
que están asociados a un usuario específico, al mismo puerto TCP en
el lado servidor aunque con diferentes direcciones IP respectivas,
comprendiendo el método el reenvío de datos de usuario recibidos en
el túnel seguro hacia la dirección IP asociada a un puerto
permitido del servidor TCP en el lado cliente.
2. Método según la reivindicación 1, que
comprende la configuración del túnel seguro para que quede vinculado
a un puerto específico, del servidor TCP, del servidor de pasarela
(10).
3. Método según la reivindicación 1 ó 2, en el
que la etapa de configuración comprende la configuración de la base
de datos (25) para asociar diferentes puertos permitidos del
servidor TCP en el lado cliente a puertos del servidor TCP en el
lado servidor de diferentes servidores de correo electrónico que
tienen direcciones IP respectivas.
4. Método según cualquiera de las
reivindicaciones 1 a 3, en el que la etapa de configuración
comprende la configuración de la base de datos (25) para asociar un
puerto permitido del servidor TCP en el lado cliente a un puerto
del servidor TCP en el lado servidor y a una dirección IP de un
servidor DNS empresarial dentro de la red empresarial.
5. Método según cualquiera de las
reivindicaciones 1 a 4, que comprende la etapa en la que se
transmite hacia el usuario autenticado, a través del túnel seguro,
el conjunto de puertos permitidos del servidor TCP que están
asociados al usuario autenticado en la base de datos de usuarios
(15, 25).
6. Método según la reivindicación 5, en el que
la etapa de configuración comprende la configuración de la base de
datos de usuarios (15, 25) para asociar un protocolo específico de
cada puerto a un puerto permitido del servidor TCP, transmitiéndose
dicho protocolo específico de cada puerto junto con el puerto
permitido del servidor TCP hacia el usuario autenticado.
7. Servidor de pasarela (10) de una red privada
virtual (VPN) que proporciona reglas para el acceso inalámbrico a
través de una conexión de túneles seguros a una red empresarial
(20), comprendiendo el servidor (10):
una base de datos de usuarios (15, 25) que
proporciona reglas específicas de cada usuario para el acceso a
través de la conexión de túneles seguros;
unos medios de autenticación (11) para
autenticar un usuario que se conecta a la conexión de túneles
seguros;
unos medios de filtrado de puertos (12) para
limitar el acceso del usuario autenticado a la red empresarial
(20); caracterizado porque:
dicha base de datos de usuarios (15, 25)
almacena asociaciones entre diferentes usuarios específicos y
conjuntos respectivos de puertos permitidos del servidor TCP;
la limitación del acceso del usuario autenticado
se realiza reenviando únicamente datos de usuario recibidos en el
túnel seguro que, como destino, tienen un puerto que está incluido
por el conjunto de puertos permitidos del servidor TCP asociados al
usuario en la base de datos de usuarios (15, 25);
en el que los puertos permitidos del servidor
TCP asociados a un usuario específico son puertos permitidos del
servidor TCP en el lado cliente, asociando dicha base de datos de
usuarios (25) un puerto permitido del servidor TCP en el lado
cliente a un puerto del servidor TCP en el lado servidor, estando
además dispuestos los medios de filtrado de puertos para reenviar
datos de usuario recibidos en el túnel seguro hacia un puerto del
servidor TCP en el lado servidor asociado a un puerto permitido del
servidor TCP en el lado cliente a través de una conexión TCP
independiente, actuando el servidor de pasarela (10), en dicha
conexión, como cliente; y en el que la base de datos de usuarios
(25) asocia diferentes puertos permitidos del servidor TCP en el
lado cliente, que están asociados a un usuario específico, al mismo
puerto TCP en el lado servidor aunque con diferentes direcciones IP
respectivas, en el que los medios de filtrado de puertos están
dispuestos para reenviar datos de usuario recibidos en el túnel
seguro hacia la dirección IP asociada a un puerto permitido del
servidor TCP en el lado cliente.
8. Servidor de pasarela según la reivindicación
7, en el que el túnel seguro está vinculado a un puerto específico,
del servidor TCP, del servidor de pasarela (10).
9. Servidor de pasarela según la reivindicación
8, en el que la base de datos de usuarios (25) asocia diferentes
puertos permitidos del servidor TCP en el lado cliente a puertos del
servidor TCP en el lado servidor de diferentes servidores de correo
electrónico que tienen direcciones IP respectivas.
10. Servidor de pasarela según cualquiera de las
reivindicaciones 7 a 9, en el que la base de datos de usuarios (25)
asocia un puerto permitido del servidor TCP en el lado cliente a un
puerto del servidor TCP en el lado servidor y a una dirección IP de
un servidor DNS empresarial dentro de la red empresarial.
11. Servidor de pasarela según cualquiera de las
reivindicaciones 7 a 10, que comprende unos medios transmisores
para transmitir hacia el usuario autenticado, a través del túnel
seguro, el conjunto de puertos permitidos del servidor TCP que
están asociados al usuario autenticado en la base de datos de
usuarios (15, 25).
12. Servidor de pasarela según la reivindicación
11, en el que la base de datos de usuarios (15, 25) asocia un
protocolo específico de cada puerto a un puerto permitido del
servidor TCP, estando dispuestos dichos medios transmisores para
transmitir el protocolo específico de cada puerto junto con el
puerto permitido del servidor TCP hacia el usuario autenticado.
13. Sistema de red privada virtual VPN que
comprende:
una red empresarial (20);
un servidor de pasarela (10) de la red privada
virtual (VPN) según cualquiera de las reivindicaciones 7 a 12 para
proporcionara acceso inalámbrico, a través de una conexión de
túneles seguros, a la red empresarial (20); y
por lo menos un terminal inalámbrico de cliente
(40),
en el que el terminal de cliente está
configurado para usar un puerto del servidor TCP, específico, y una
dirección IP cuando se conecta al servidor de pasarela VPN (10) a
través de la conexión de túneles y un conjunto específico de
puertos del servidor TCP dentro de la conexión de túneles cuando
accede a la red empresarial (20).
14. Sistema según la reivindicación 13, en el
que el terminal inalámbrico de cliente (40) está configurado para
recibir los puertos del servidor TCP, que se usarán dentro de la
conexión de túneles, desde el servidor de pasarela (10) en
respuesta a un mensaje de autenticación transmitido hacia el
servidor de pasarela (10).
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2003/003606 WO2005022838A1 (en) | 2003-08-29 | 2003-08-29 | Personal remote firewall |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2308048T3 true ES2308048T3 (es) | 2008-12-01 |
Family
ID=34259870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES03818400T Expired - Lifetime ES2308048T3 (es) | 2003-08-29 | 2003-08-29 | Cortafuegos personal remoto. |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7734647B2 (es) |
| EP (1) | EP1658700B1 (es) |
| JP (1) | JP4237754B2 (es) |
| CN (1) | CN100456729C (es) |
| AT (1) | ATE399415T1 (es) |
| AU (1) | AU2003255909A1 (es) |
| BR (1) | BR0318455A (es) |
| DE (1) | DE60321834D1 (es) |
| ES (1) | ES2308048T3 (es) |
| WO (1) | WO2005022838A1 (es) |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2865335A1 (fr) * | 2004-01-16 | 2005-07-22 | France Telecom | Systeme de communication entre reseaux ip prives et publics |
| US8126999B2 (en) | 2004-02-06 | 2012-02-28 | Microsoft Corporation | Network DNA |
| GB2414627A (en) * | 2004-05-27 | 2005-11-30 | Hewlett Packard Development Co | Network administration |
| US20060064397A1 (en) * | 2004-09-17 | 2006-03-23 | Yohko Ohtani | Network device, service using method, service using program product, and computer-readable recording medium recorded with a service using program |
| US20060206922A1 (en) * | 2005-03-08 | 2006-09-14 | Securedatainnovations Ag | Secure Remote Access To Non-Public Private Web Servers |
| US8166538B2 (en) * | 2005-07-08 | 2012-04-24 | Microsoft Corporation | Unified architecture for remote network access |
| US7590761B2 (en) * | 2005-12-06 | 2009-09-15 | Avaya Inc | Secure gateway with alarm manager and support for inbound federated identity |
| JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
| US8023479B2 (en) | 2006-03-02 | 2011-09-20 | Tango Networks, Inc. | Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks |
| US7873032B2 (en) | 2006-03-02 | 2011-01-18 | Tango Networks, Inc. | Call flow system and method use in VoIP telecommunication system |
| US11405846B2 (en) | 2006-03-02 | 2022-08-02 | Tango Networks, Inc. | Call flow system and method for use in a legacy telecommunication system |
| US7873001B2 (en) | 2006-03-02 | 2011-01-18 | Tango Networks, Inc. | System and method for enabling VPN-less session setup for connecting mobile data devices to an enterprise data network |
| US8175053B2 (en) | 2006-03-02 | 2012-05-08 | Tango Networks, Inc. | System and method for enabling VPN-less session setup for connecting mobile data devices to an enterprise data network |
| US7890096B2 (en) | 2006-03-02 | 2011-02-15 | Tango Networks, Inc. | System and method for enabling call originations using SMS and hotline capabilities |
| WO2008010857A2 (en) * | 2006-03-30 | 2008-01-24 | Seamless Skyy-Fi, Inc. | System and method for secure network browsing |
| JP4752063B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP4752064B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP4752062B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置 |
| US8775602B2 (en) * | 2006-06-01 | 2014-07-08 | Avaya Inc. | Alarm-driven access control in an enterprise network |
| US8281387B2 (en) * | 2006-06-30 | 2012-10-02 | Intel Corporation | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
| US8218435B2 (en) * | 2006-09-26 | 2012-07-10 | Avaya Inc. | Resource identifier based access control in an enterprise network |
| US9231911B2 (en) * | 2006-10-16 | 2016-01-05 | Aruba Networks, Inc. | Per-user firewall |
| US20090129301A1 (en) * | 2007-11-15 | 2009-05-21 | Nokia Corporation And Recordation | Configuring a user device to remotely access a private network |
| US8060917B2 (en) * | 2008-04-16 | 2011-11-15 | International Business Machines Corporation | System and method for hosting multiple kerberos service principal names |
| US9008618B1 (en) * | 2008-06-13 | 2015-04-14 | West Corporation | MRCP gateway for mobile devices |
| US20100107240A1 (en) * | 2008-10-24 | 2010-04-29 | Microsoft Corporation | Network location determination for direct access networks |
| CN101511117B (zh) * | 2009-04-08 | 2010-11-10 | 杭州华三通信技术有限公司 | 一种二层跨网段通信的方法、系统和设备 |
| CN101778045B (zh) | 2010-01-27 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络系统 |
| EP2609517B1 (en) * | 2010-08-24 | 2020-04-01 | BlackBerry Limited | Constant access gateway and de-duplicated data cache server |
| US9294308B2 (en) * | 2011-03-10 | 2016-03-22 | Mimecast North America Inc. | Enhancing communication |
| US8904484B2 (en) | 2011-08-04 | 2014-12-02 | Wyse Technology L.L.C. | System and method for client-server communication facilitating utilization of authentication and network-based procedure call |
| US8862753B2 (en) * | 2011-11-16 | 2014-10-14 | Google Inc. | Distributing overlay network ingress information |
| CN102571817B (zh) * | 2012-02-15 | 2014-12-10 | 华为技术有限公司 | 访问应用服务器的方法及装置 |
| WO2014144808A1 (en) | 2013-03-15 | 2014-09-18 | Netop Solutions A/S | System and method for secure application communication between networked processors |
| KR102482114B1 (ko) | 2015-12-31 | 2022-12-29 | 삼성전자주식회사 | 보안 통신 방법, 이를 수행하는 시스템 온 칩 및 이를 포함하는 모바일 시스템 |
| GB2594827A (en) | 2017-01-24 | 2021-11-10 | Tata Communications Uk Ltd | System and method for accessing a privately hosted application from a device connected to a wireless network |
| US11272366B2 (en) | 2017-02-17 | 2022-03-08 | Tata Communications (Uk) Limited | System and method for accessing a privately hosted application from a device connected to a wireless network |
| CN107465752B (zh) * | 2017-08-22 | 2021-02-05 | 苏州浪潮智能科技有限公司 | 一种连接管理方法及装置 |
| US11635990B2 (en) | 2019-07-01 | 2023-04-25 | Nutanix, Inc. | Scalable centralized manager including examples of data pipeline deployment to an edge system |
| US11501881B2 (en) | 2019-07-03 | 2022-11-15 | Nutanix, Inc. | Apparatus and method for deploying a mobile device as a data source in an IoT system |
| US11652801B2 (en) * | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
| US12519754B2 (en) | 2019-09-24 | 2026-01-06 | Pribit Technology, Inc. | System for controlling network access of node on basis of tunnel and data flow, and method therefor |
| US12166759B2 (en) | 2019-09-24 | 2024-12-10 | Pribit Technology, Inc. | System for remote execution code-based node control flow management, and method therefor |
| WO2021060859A1 (ko) | 2019-09-24 | 2021-04-01 | 프라이빗테크놀로지 주식회사 | 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법 |
| US12381890B2 (en) | 2019-09-24 | 2025-08-05 | Pribit Technology, Inc. | System and method for secure network access of terminal |
| US12348494B2 (en) | 2019-09-24 | 2025-07-01 | Pribit Technology, Inc. | Network access control system and method therefor |
| US12155731B2 (en) | 2019-10-09 | 2024-11-26 | Nutanix, Inc. | Platform-as-a-service deployment including service domains |
| US12306733B2 (en) | 2020-10-21 | 2025-05-20 | Nutanix, Inc. | Key value store in a clustered containerized system |
| US11726764B2 (en) | 2020-11-11 | 2023-08-15 | Nutanix, Inc. | Upgrade systems for service domains |
| US11665221B2 (en) | 2020-11-13 | 2023-05-30 | Nutanix, Inc. | Common services model for multi-cloud platform |
| US11736585B2 (en) | 2021-02-26 | 2023-08-22 | Nutanix, Inc. | Generic proxy endpoints using protocol tunnels including life cycle management and examples for distributed cloud native services and applications |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6553410B2 (en) * | 1996-02-27 | 2003-04-22 | Inpro Licensing Sarl | Tailoring data and transmission protocol for efficient interactive data transactions over wide-area networks |
| US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
| US6396830B2 (en) * | 1998-06-18 | 2002-05-28 | Lucent Technologies Inc. | Implementing network services over the internet through dynamic resolution of personal host names |
| US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
| JP3526435B2 (ja) | 2000-06-08 | 2004-05-17 | 株式会社東芝 | ネットワークシステム |
| AU2002231001A1 (en) * | 2000-12-20 | 2002-07-01 | Pumatech, Inc. | Spontaneous virtual private network between portable device and enterprise network |
| AU2002343424A1 (en) * | 2001-09-28 | 2003-04-14 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| WO2003045034A1 (en) * | 2001-10-12 | 2003-05-30 | Mobiwave Pte, Ltd. | Security of data through wireless access points supporting roaming |
| EP1328102A1 (en) * | 2002-01-14 | 2003-07-16 | Alcatel | Method and system for managing the access to a communication network based on authentication data |
| US6934799B2 (en) * | 2002-01-18 | 2005-08-23 | International Business Machines Corporation | Virtualization of iSCSI storage |
| JP3782981B2 (ja) * | 2002-04-26 | 2006-06-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム |
| US7359933B1 (en) * | 2002-09-26 | 2008-04-15 | Oracle International Corporation | Providing remote access to network applications using a dual proxy |
| US7478427B2 (en) * | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
| JP3922375B2 (ja) * | 2004-01-30 | 2007-05-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出システム及びその方法 |
| JP4652741B2 (ja) * | 2004-08-02 | 2011-03-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出装置、異常検出方法、異常検出プログラム、及び記録媒体 |
-
2003
- 2003-08-29 ES ES03818400T patent/ES2308048T3/es not_active Expired - Lifetime
- 2003-08-29 WO PCT/IB2003/003606 patent/WO2005022838A1/en not_active Ceased
- 2003-08-29 JP JP2005508382A patent/JP4237754B2/ja not_active Expired - Fee Related
- 2003-08-29 AU AU2003255909A patent/AU2003255909A1/en not_active Abandoned
- 2003-08-29 DE DE60321834T patent/DE60321834D1/de not_active Expired - Lifetime
- 2003-08-29 CN CNB038267780A patent/CN100456729C/zh not_active Expired - Fee Related
- 2003-08-29 EP EP03818400A patent/EP1658700B1/en not_active Expired - Lifetime
- 2003-08-29 BR BRPI0318455-2A patent/BR0318455A/pt not_active IP Right Cessation
- 2003-08-29 AT AT03818400T patent/ATE399415T1/de not_active IP Right Cessation
-
2004
- 2004-08-30 US US10/931,262 patent/US7734647B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| HK1093824A1 (zh) | 2007-03-09 |
| JP4237754B2 (ja) | 2009-03-11 |
| DE60321834D1 (de) | 2008-08-07 |
| EP1658700B1 (en) | 2008-06-25 |
| US20050060328A1 (en) | 2005-03-17 |
| WO2005022838A1 (en) | 2005-03-10 |
| US7734647B2 (en) | 2010-06-08 |
| AU2003255909A1 (en) | 2005-03-16 |
| CN1802821A (zh) | 2006-07-12 |
| EP1658700A1 (en) | 2006-05-24 |
| JP2007516625A (ja) | 2007-06-21 |
| ATE399415T1 (de) | 2008-07-15 |
| CN100456729C (zh) | 2009-01-28 |
| BR0318455A (pt) | 2006-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2308048T3 (es) | Cortafuegos personal remoto. | |
| ES2311673T3 (es) | Procedimiento y sistema de encriptacion de correos electronicos. | |
| US8443435B1 (en) | VPN resource connectivity in large-scale enterprise networks | |
| JP4737089B2 (ja) | Vpnゲートウェイ装置およびホスティングシステム | |
| ES2464163T3 (es) | Sistema y procedimiento de comunicación en red segura | |
| US8607301B2 (en) | Deploying group VPNS and security groups over an end-to-end enterprise network | |
| ES2298835T3 (es) | Una sesion persistente y fiable que recorre de manera segura componentes de red utilizando un protocolo de encapsulacion. | |
| ES2336898T3 (es) | Metodo y red para asegurar el envio seguro de mensajes. | |
| ES2379074T3 (es) | Método y sistema para el establecimiento de un canal de comunicaciones de tipo "peer-to-peer". | |
| ES2311176T3 (es) | Procedimiento y dispositivo de acceso a un terminal de servidor movil de una primera red de comunicacion por medio de un terminal de cliente de otra red de comunicacion. | |
| US20150150114A1 (en) | Method and System for Providing Secure Remote External Client Access to Device or Service on a Remote Network | |
| ES2878376T3 (es) | Proceso de activación de tratamientos aplicados a una sesión de datos | |
| CN102316153A (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| Tymoshchuk et al. | USING VPN TECHNOLOGY TO CREATE SECURE CORPORATE NETWORKS | |
| ES2311802T3 (es) | Sistema de comunicaciones que proporciona una interfaz compartida de comunicaciones cliente-servidor y metodos relacionados. | |
| US20050055463A1 (en) | Secure internet functionality | |
| ES2924973T3 (es) | Procedimiento para establecer una conexión encriptada | |
| RU2316126C2 (ru) | Персональный удаленный межсетевой экран | |
| Rajamohan | An overview of remote access VPNs: Architecture and efficient installation | |
| Hughes | SSL and TLS | |
| Murhammer et al. | A Comprehensive Guide to Virtual Private Networks, Volume III: Cross-Platform Key and Policy Management | |
| Hills et al. | IP virtual private networks | |
| KR20060096986A (ko) | 개인 원격 방화벽 | |
| Chandra et al. | VPN for remote digital evidence acquisition |