ES2312573T3 - Sistema y procedimiento para interceptar un acceso de red. - Google Patents
Sistema y procedimiento para interceptar un acceso de red. Download PDFInfo
- Publication number
- ES2312573T3 ES2312573T3 ES02730949T ES02730949T ES2312573T3 ES 2312573 T3 ES2312573 T3 ES 2312573T3 ES 02730949 T ES02730949 T ES 02730949T ES 02730949 T ES02730949 T ES 02730949T ES 2312573 T3 ES2312573 T3 ES 2312573T3
- Authority
- ES
- Spain
- Prior art keywords
- access
- interception
- host
- network
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
Sistema (10) para controlar la interceptación del acceso entre una pluralidad de anfitriones primeros (3n) y de anfitriones segundos (4m) a través de una red, que comprende: una base de datos de información de interceptación (11) para almacenar información sobre los anfitriones segundos que son objetivos de la interceptación de acceso, e información sobre la configuración de la interceptación; un monitor de red (12) para monitorizar un estado de generación de paquetes de transmisión del anfitrión primero sobre la red, y recibir los paquetes de transmisión generados; un procesador de acceso (13) para determinar si un destino comprendido en los paquetes de transmisión recibidos es un objetivo de la interceptación de acceso sobre la base de la información almacenada en la base de datos de información de interceptación; y un generador de paquetes (14) para generar un paquete de interceptación de acceso que comprende un código de red inaccesible, y transmitir el mismo al anfitrión primero de forma que el anfitrión primero puede detener el intento de acceso a red, cuando el destino de los paquetes de transmisión es un objetivo de la interceptación de acceso según el resultado determinado, donde el sistema se conecta a un concentrador (50) que se sitúa en una posición que atraviesan los datos entre el anfitrión primero (3n) y el anfitrión segundo (4m), y se encuentra adaptado para transmitir el paquete de transmisión generado por el anfitrión primero al anfitrión segundo, y el monitor de red (12) se encuentra adaptado para monitorizar los paquetes de transmisión generados por los anfitriones primeros utilizando una función de espejo de puerto.
Description
Sistema y procedimiento para interceptar un
acceso de red.
La presente invención se refiere a un sistema y
procedimiento para interceptar el acceso a una red. Más
específicamente, la presente invención se refiere a un sistema y
procedimiento para interceptar selectivamente el acceso a un sitio
predeterminado en una red que comprende Internet.
A través de Internet, una red inmensa, se han
llegado a compartir diferentes tipos de información generada
globalmente, según técnicas recientes de desarrollo de la red, y por
consiguiente han aumentado también los sitios que proporcionan
diferentes servicios a través de Internet.
En esta progresión se han activado también
sitios dañinos que proporcionan información mala. Con relación a
esto, algunas personas han expresado su opinión respecto a la
protección de los menores y, consiguientemente, se han desarrollado
soluciones para evitar su acceso a los sitios dañinos.
Los procedimientos para interceptar el acceso a
sitios predeterminados como los sitios dañinos se clasifican como
procedimientos centrados en el cliente y procedimientos centrados en
el servidor.
El procedimiento centrado en el cliente es un
procedimiento que consiste en instalar programas de interceptación
de pornografía en cada ordenador personal, e interceptar una
solicitud de acceso cuando se produce una solicitud de acceso a un
sitio predeterminado registrado previamente en una base de datos.
Dicho procedimiento se ha utilizado en el pasado.
Sin embargo, el procedimiento arriba descrito no
distribuye los programas de una forma fluida, y es molesto tener
que volver a instalar los programas correspondientes cada vez que se
instala el O/S (sistema operativo).
En el procedimiento centrado en el servidor, al
cual se refiere también como un procedimiento de servidor delegado
(proxy), el servidor delegado intercepta el acceso a un sitio
predeterminado cuando se produce una solicitud de acceso al sitio
predeterminado registrado con anterioridad. En este procedimiento,
no existe la necesidad de instalar programas en el ordenador
cliente, pero se requiere reconfigurar una red de forma que todos
los usuarios de la red deban utilizar el servidor delegado
correspondiente, y además se requiere configurar una red diferente
para cada grupo de usuarios para proporcionar un grado de protección
diferente a cada grupo.
WO 01/98934 describe un programa de filtrado de
contenido de Internet que comprende dos componentes. Un componente
se ejecuta en un servidor de Internet y el otro se ejecuta
localmente en un ordenador de usuario. Los dos componentes cooperan
mútuamente para filtrar el contenido de Internet, donde cada
componente realiza tareas separadas. El componente del servidor de
Internet almacena perfiles de usuario, una lista y/o tabla de URL
prohibidos y permitidos, y recibe solicitudes de URL
redireccionadas. Las solicitudes de URL redireccionadas se
utilizan, junto con un perfil de usuario, para determinar si se
permite o niega el acceso al contenido asociado con el URL. El
componente que se ejecuta localmente sobre un sistema de ordenador
de usuario actúa como un cliente del componente del servidor de
Internet, realizando funciones de identificación y conexión para un
usuario, exploración de contenidos de Internet asociados con URL
permitidos, y actualización del componente del servidor de Internet
con un URL, que indica que el URL se prohibe si se localiza una
palabra o frase predeterminada dentro del contenido de Internet
asociado con el URL.
WO 01/55873 describe un procedimiento y sistema
para proporcionar acceso flexible a sitios de Internet. El sistema
comprende una base de datos de sitios de Internet que se han
clasificado en categorías de forma que el sistema determina la
categoría de la información a la que accede un usuario en Internet.
El sistema se programa también de forma que se permite a los
usuarios acceder solamente un número limitado de veces a los sitios
de una categoría concreta. Además, los usuarios pueden solicitar un
acceso diferido, donde el sitio que se solicita se almacena en un
servidor y se encuentra disponible para el usuario en un momento
posterior. Además si un usuario elige acceder a un sitio que se
encuentra comprendido dentro de ciertas categorías predefinidas, se
presenta al usuario la posibilidad de acceder a la página pero
advirtiéndole de que su acceso quedará registrado en un fichero.
US 6.065.056 describe un sistema para bloquear
actividades no deseadas en la utilización del ordenador. Una
aplicación de monitorización que se titula
"X-Stop" se ejecuta en segundo plano en un
ordenador que tiene acceso a Internet. La aplicación
X-Stop contiene un módulo de teclado, un módulo de
ratón, un módulo de portapapeles y un módulo de conexión a Internet
en Windows (winsock). Cada módulo monitoriza los datos que entran o
salen de la aplicación principal del ordenador y compara los datos
con los almacenados en librerías almacenadas en memoria. Si se
encuentra una correspondencia en una librería, se inicia una rutina
de bloqueo y se muestra una ventana de texto para introducir una
contraseña de desbloqueo por parte de un supervisor.
Pensando en la finalidad anterior, la presente
invención es un sistema para el control de la interceptación del
acceso entre una pluralidad de anfitriones primeros y de anfitriones
segundos a través de una red según la reivindicación 1, y un
procedimiento para el control de la interceptación del acceso entre
una pluralidad de anfitriones primeros y de anfitriones segundos a
través de una red en un sistema según la reivindicación 7.
Otras características de la invención se
encuentran en las reivindicaciones dependientes.
Una ventaja de la presente invención es
proporcionar un servicio de interceptación de acceso a sitios
predeterminados a usuarios que desean la interceptación del
acceso.
En concreto, una ventaja de la presente
invención es interceptar el acceso a sitios predeterminados sin la
instalación de programas adicionales para la interceptación de
acceso a sitios, y sin reconfiguración de la red.
En un aspecto de la presente invención, un
sistema de interceptación de acceso conectado a una pluralidad de
anfitriones primeros y de anfitriones segundos a través de una red
comprende:
una base de datos de información de
interceptación para almacenar información sobre los anfitriones
segundos que son objetivos de la interceptación de acceso, e
información sobre la configuración de la interceptación; un monitor
de red para monitorizar un estado de generación de paquetes de
transmisión procedentes del anfitrión primero de la red, y recibir
los paquetes de transmisión generados; un procesador de acceso para
determinar si un destino incluido dentro de los paquetes de
transmisión recibidos es un objetivo de la interceptación de acceso
sobre la base de la información almacenada dentro de la base de
datos de información de interceptación; y un generador de paquetes
para generar un paquete de interceptación de acceso, y transmitirlo
al anfitrión primero de forma que el anfitrión primero pueda
detener el intento de acceso a la red, cuando el destino de los
paquetes de transmisión es un objetivo de la interceptación de
acceso según el resultado de la determinación.
El paquete de interceptación de acceso comprende
un formato de mensaje IC-MP (protocolo de mensaje
de control de Internet) con un código de "red inaccesible", y
el anfitrión primero determina que la red es inaccesible y detiene
el intento de acceso al anfitrión segundo cuando se recibe el
paquete de interceptación de acceso.
El sistema de interceptación de acceso recibe
direcciones IP de los anfitriones primeros que han solicitado
interceptación de acceso a un ISP (proveedor de acceso a Internet),
y el procesador de acceso determina si el destino de los paquetes
de transmisión es un objetivo de interceptación de acceso y realiza
selectivamente el proceso de la interceptación de acceso cuando la
dirección IP del anfitrión primero que ha generado los paquetes de
transmisión se corresponde con la dirección IP proporcionada por el
ISP.
La información de configuración de
interceptación almacenada en la base de datos de información de
interceptación comprende una fecha u hora para la interceptación del
anfitrión segundo que es un objetivo de la interceptación de
acceso, y el procesador de acceso controla al generador de paquete
para realizar el proceso de la interceptación de acceso cuando se
establece que el objetivo de interceptación de acceso debe ser
interceptado en la fecha u hora actuales en el caso de que el
destino del paquete de transmisión sea un objetivo de la
interceptación de acceso.
La información de configuración de
interceptación comprende la autenticación del usuario que ha
solicitado la interceptación de acceso, y el procesador de acceso
realiza la modificación de la fecha o la hora y la cancelación de
la interceptación según una solicitud por parte del usuario
autenticado.
Los anfitriones primeros se conectan a un
concentrador conmutador, y el sistema de interceptación de acceso
monitoriza los paquetes generados por los anfitriones primeros y
transmite/recibe los paquetes a través de un concentrador virtual
conectado al concentrador conmutador.
En otro aspecto de la presente invención, un
procedimiento para controlar la interceptación del acceso entre una
pluralidad de anfitriones primeros y de anfitriones segundos a
través de una red comprende: (a) monitorizar un estado de
generación de paquetes de transmisión procedentes del anfitrión
primero de la red; (b) recibir los paquetes de transmisión
generados por el anfitrión primero de la red; (c) determinar si el
anfitrión segundo que es un destino comprendido dentro de los
paquetes de transmisión recibidos es un objetivo de la
interceptación de acceso; y (d) generar un paquete de interceptación
de acceso cuando el anfitrión segundo que es el destino de los
paquetes de transmisión es un objetivo de la interceptación de
acceso según el resultado determinado, y transmitir el paquete de
interceptación de acceso al anfitrión primero de forma que el
anfitrión primero puede detener el intento de acceso a red.
La etapa (a) comprende: recibir direcciones IP
de los anfitriones primeros que han solicitado interceptación de
acceso por parte de un ISP; determinar si la dirección IP del
anfitrión primero que ha generado el paquete de transmisión se
corresponde con la dirección IP proporcionada por el ISP; y
determinar si el anfitrión segundo que es un destino del paquete de
transmisión es un objetivo de la interceptación de acceso cuando la
dirección IP del anfitrión primero que ha generado el paquete de
transmisión se corresponde con la dirección IP proporcionada por el
ISP según el resultado determinado.
El procedimiento comprende además: recibir del
usuario del anfitrión primero una fecha u hora deseada de
cancelación del anfitrión segundo que es un objetivo de la
interceptación de acceso, y establecer la fecha y hora; y modificar
la fecha u hora y realizar la cancelación de la interceptación de
acceso para un usuario autenticado, y la etapa (d) comprende además
generar un paquete de interceptación de acceso y transmitir el
paquete de interceptación de acceso al anfitrión primero cuando el
anfitrión segundo que es un destino del paquete de transmisión es
un objetivo de la interceptación de acceso y el anfitrión segundo se
establece para tener el acceso interceptado en la fecha u hora
actuales.
Las figuras adjuntas, que se incorporan y
constituyen una parte de la especificación, ilustran una
realización de la presente invención y, junto con la descripción,
sirven para explicar los principios de la presente invención:
la figura 1 muestra una arquitectura general de
capa TCP-IP;
la figura 2 muestra una configuración de un
sistema de interceptación de acceso a red según una realización
preferida de la presente invención;
la figura 3 muestra un diagrama de configuración
de un paquete de interceptación de acceso según una realización
preferida de la presente invención; y
la figura 4 muestra un diagrama de flujo de un
procedimiento de interceptación de acceso a red según una
realización preferida de la presente invención.
En la siguiente descripción detallada, solamente
se muestra y describe la realización preferida de la presente
invención, simplemente a modo de ilustración del mejor modo de
realizar la invención contemplado por los inventores. Como se hará
presente, la presente invención se puede modificar en diferentes
aspectos obvios, sin salir de la invención. Por consiguiente, las
figuras y la descripción se deben contemplar como de naturaleza
ilustrativa, y no restrictiva.
En el pasado algunos usuarios crearon redes
independientes y, por consiguiente, los usuarios debían establecer
entornos de hardware de comunicación según sus propias
especificaciones de red. Pero puesto que no existía ninguna red que
soportara todos los tipos de especificaciones de red, era imposible
construir una red amplia utilizando una única especificación de
hardware.
Para solucionar este problema, se desarrolló el
TCP/IP (protocolo de transmisión/protocolo de Internet) para la
comunicación entre diferentes dispositivos, y se convirtió en la
base de la red de conmutación de paquetes, la ARPANET (red de la
agencia de proyectos de investigación avanzados). La técnica TCP/IP
ha formado un fundamento para construir la Internet mundial a la
cual se conectan actualmente hogares, campus, escuelas, empresas
comerciales y centros de investigación gubernamentales.
La figura 1 muestra una arquitectura general de
capa TCP/IP. Como se muestra, TCP/IP comprende una capa de
aplicación, una capa de transporte de anfitrión a anfitrión, una
capa de Internet, y una capa de interficie de red.
La capa de Internet se utiliza para establecer
la ruta de los datos desde un anfitrión de transmisión hasta un
anfitrión receptor que es un destino, y comprende un IP (protocolo
de Internet), un ICMP (protocolo de mensaje de control de
Internet), un IGMP (protocolo de gestión de grupo de Internet) y un
ARP (protocolo de resolución de dirección).
IP es un protocolo para controlar la transmisión
y recepción de paquetes de datos (datagramas) en una red y entre
redes, y se encuentra acoplado con una capa de red en el modelo OSI.
El ICMP es un protocolo para controlar los mensajes entre un
servidor anfitrión y una pasarela de Internet, y para notificar
errores. Los mensajes de control del ICMP se cargan en una unidad
de datos de un datagrama IP, y a continuación se transmiten, y
tienen funciones de control de errores de transmisión, comprobar si
se alcanza el destino final, informar al anfitrión original,
controlar las velocidades de transmisión cuando las velocidades de
transmisión no pueden ser controladas por un anfitrión o una
pasarela, y solicitar la modificación de una ruta de comunicación
desde una pasarela.
En la realización preferida de la presente
invención, el ICMP con las funciones arriba mencionadas se utiliza
para detectar si el estado de la conexión de red se encuentra mal
físicamente, y rechazar la recepción de paquetes transmitidos desde
un anfitrión predeterminado.
La figura 2 muestra un sistema de interceptación
de acceso según una realización preferida de la presente
invención.
El sistema de interceptación de acceso 10 se
conecta a los anfitriones primeros 31 a 3n y a los anfitriones
segundos 41 a 4m a través de Internet 20. En detalle, el sistema de
interceptación de acceso 10 se conecta a un concentrador virtual 60
conectado a un concentrador conmutador 50 para conectarse a los
anfitriones primeros 31 a 3n; y el concentrador virtual 60 se
conecta a Internet a través de un encaminador 70, y los anfitriones
segundos 41 a 4m se conectan a internet 20. Por tanto, el sistema de
interceptación de acceso 10 transmite y recibe paquetes a/desde los
anfitriones primeros 31 a 3n a través del concentrador virtual 60 y
del concentrador conmutador 50, y también transmite y recibe
paquetes a/desde los anfitriones segundos 41 a 4m a través del
concentrador virtual 60, el encaminador 70 e Internet 20.
En este caso, para facilitar la descripción sin
restringirse a la misma, un anfitrión que intenta el acceso, es
decir un ordenador que permite la comunicación bidireccional con
otros ordenadores a través de Internet, es referido como
"anfitrión primero", y un anfitrión al que se accede, como un
sitio, es referido como "anfitrión segundo".
Puesto que los anfitriones primeros 31 a 3n se
conectan a una pluralidad de puertos del concentrador conmutador
50, los datos generados por los anfitriones primeros 31 a 3n
conectados a los puertos respectivos se introducen en el
concentrador conmutador 50 y a continuación se transmiten, y el
concentrador conmutador 50 analiza los datos, selecciona el
destino, y envía los datos al destino o, cuando no se han
establecido puertos en espejo, los transmite el concentrador
conmutador 50. Aquí, el concentrador conmutador se utiliza para
mejorar las velocidades de la red y, además, se puede utilizar
también un concentrador general.
Puesto que el concentrador virtual 60 funciona
solamente en el procedimiento de transmisión, el concentrador
virtual 60 conecta al concentrador conmutador 50 con el sistema de
interceptación de acceso cuando el concentrador conmutador 50 no
soporta puertos en espejo.
El encaminador 70 es un dispositivo para
conectar redes separadas utilizando el mismo protocolo de
transmisión, y conecta las capas de red para transmitir datos. Esto
es, el encaminador 70 determina un nodo de otra red o una red del
encaminador 70 según una tabla de asignación de ruta, y también
selecciona la ruta más efectiva entre muchas rutas y transmite los
datos.
El sistema de interceptación de acceso 10
conectado al concentrador virtual 60, para interceptar el acceso a
sitios predeterminados, comprende una base de datos de información
de interceptación 11, un monitor de red 12, un procesador de acceso
13, y un generador de paquete 14.
La base de datos de información de
interceptación 11 almacena información sobre los anfitriones
segundos que son objetivos de la interceptación de acceso, e
información sobre la configuración de interceptación (es decir, una
fecha, un periodo, una hora para interceptar, e información de
autenticación de un solicitante de interceptación), por ejemplo
información que comprende direcciones IP de los anfitriones segundos
que corresponden a sitios de pornografía, y URL (localizadores
uniformes de recursos). Además, puede almacenar también información
sobre solicitantes de interceptación de acceso (por ejemplo
direcciones IP) proporcionada por los ISP (proveedores de servicios
de Internet) para interceptar el acceso de los anfitriones primeros
que han solicitado la interceptación del acceso.
El monitor de red 12 monitoriza los estados de
la transmisión de paquetes en la red a través del concentrador
virtual 60 para recibir paquetes transmitidos.
El procesador de acceso 13 determina si se
accede al destino correspondiente según si la base de datos de
interceptación 11 almacena una dirección de destino a la cual se
transmiten los paquetes recibidos por el monitor de red 12.
El generador de paquetes 14 genera paquetes de
interceptación de acceso, y los transmite al anfitrión primero que
ha transmitido los paquetes correspondientes (que se referirán de
aquí en adelante como paquetes de transmisión) de forma que el
anfitrión primero puede detectar que la red actual es inaccesible,
cuando el destino al que se van a transmitir los paquetes de
transmisión corresponde a un anfitrión objetivo de la
interceptación de acceso según el resultado determinado procedente
del procesador de acceso 13.
Los paquetes de interceptación de acceso se
generan en el formato de mensajes ICMP. La figura 3 muestra una
configuración resumida del mensaje ICMP.
El paquete de interceptación de acceso es un
mensaje ICMP con una cabecera de 64 bits y, como se muestra en la
figura 3, puede ser uno de una pluralidad de tipos cada uno de los
cuales presenta una pluralidad de códigos. También comprende una
suma de control que representa un número de bits en una unidad de
transmisión de forma que una parte receptora pueda comprobar si ha
llegado la misma cantidad de bits, detectando de esta forma errores
de transmisión.
En este caso un código de "red inaccesible"
se registra en los códigos y se transmite de forma que el anfitrión
primero detecte que la red es inaccesible. Por tanto, el anfitrión
primero detiene el intento de acceso según el estado inaccesible de
la red, y cuando se envía un paquete de respuesta desde el anfitrión
segundo que es el destino del paquete, el anfitrión primero no lo
recibe.
A continuación, se describirá un procedimiento
para la interceptación del acceso a un anfitrión predeterminado
sobre la base del sistema de interceptación de acceso anteriormente
configurado.
La figura 4 muestra un diagrama de flujo para un
procedimiento de interceptación de acceso según una realización
preferida de la presente invención.
El sistema de interceptación de acceso 10
funciona en el modo de monitorización de los estados de generación
de paquetes sobre la red, como en un modo promiscuo.
En este estado, como se muestra en la figura 4,
el anfitrión primero 31 que intenta acceder al anfitrión segundo
que es un sitio predeterminado conectado a Internet 20 genera
paquetes de transmisión que comprenden una dirección del anfitrión
segundo al que desea acceder el destino en la etapa S100.
Como se ha descrito, los paquetes de transmisión
generados por los anfitriones primeros respectivos se transmiten al
concentrador conmutador 50 a través de los puertos correspondientes,
y el concentrador conmutador 50 emite los paquetes de transmisión
en la etapa S110. Por tanto, los paquetes de transmisión se
transmiten a otro anfitrión primero conectado a una LAN 80, y
también al sistema de interceptación de acceso 10 conectado al
servidor virtual 60. Además se transmiten al anfitrión segundo 41,
que es el destino correspondiente, a través del encaminador 70.
El monitor de red 12 del sistema de
interceptación de acceso 10 funciona en modo promiscuo y utiliza la
función de espejo de puerto para monitorizar la red en la etapa
S120, y cuando se transmiten los paquetes de transmisión desde el
anfitrión primero, el monitor de red 12 recibe los paquetes de
transmisión emitidos y los proporciona al procesador de acceso 13
en la etapa S130.
En primer lugar, el procesador de acceso 13
determina si el anfitrión primero que ha transmitido los paquetes
de transmisión es un usuario que ha solicitado un servicio de
interceptación de acceso en las etapas S140 y S150.
En la realización preferida de la presente
invención, para interceptar a los usuarios que han solicitado del
ISP el servicio de interceptación sin interceptar a todos los
subscriptores del ISP, cuando un subscriptor de ISP solicita acceso
a un sitio predeterminado (un anfitrión segundo), el ISP registra al
subscriptor correspondiente como solicitante de interceptación de
acceso, y proporciona la información correspondiente al sistema de
interceptación de acceso.
En este caso, la base de datos de información de
interceptación 11 almacena información sobre el solicitante de
interceptación de acceso (por ejemplo, una dirección IP), el
procesador de acceso 13 determina si la dirección IP del anfitrión
primero 31 que ha generado los paquetes de transmisión se
corresponde con el solicitante de interceptación de acceso
proporcionado desde el ISP sobre la base de la información
almacenada en la base de datos de información de interceptación 11,
y cuando la dirección IP corresponde al solicitante de
interceptación de acceso, se utiliza la información de la base de
datos de interceptación para determinar si el destino de los
paquetes de transmisión correspondientes es un objetivo de la
interceptación.
Esto es, el procesador de acceso 13 analiza los
paquetes de transmisión proporcionados desde el monitor de red 12
para encontrar una dirección de destino a la cual se transmitirán
los paquetes de transmisión, y determina si la dirección de destino
se encuentra almacenada en la base de datos de información de
interceptación 11 en la etapa S160.
Cuando la dirección de destino de los paquetes
de transmisión se encuentra almacenada en la base de datos de
información de interceptación 11, el procesador de acceso 13
determina que el destino de los paquetes de transmisión es un
objetivo de la interceptación de acceso como un sitio de
pornografía, por tanto controla al generador de paquetes 14 para
generar un paquete de interceptación de acceso que tiene al
anfitrión primero que requiere el acceso como destino con el
formato del mensaje ICMP conteniendo un código de "red
inaccesible", de forma que no se pueda transmitir ni recibir
ningún paquete entre el anfitrión primero que había solicitado el
acceso y el anfitrión segundo que es un objetivo del acceso en las
etapas S170 y S180.
El paquete de interceptación de acceso generado
por el generador de paquetes 14 se transmite al concentrador
conmutador 50 a través del concentrador virtual 60, y el
concentrador conmutador 50 transmite el paquete de interceptación
de acceso al anfitrión primero correspondiente 31 según la dirección
de destino del paquete de interceptación de mensaje en la etapa
S190.
Cuando se transmite el paquete de interceptación
de acceso después de la solicitud de acceso, y el código del
paquete de interceptación de acceso es un código de "red
inaccesible", el anfitrión primero 31 determina que el acceso al
anfitrión segundo es imposible, y detiene el intento de acceso en
las etapas S200 y S210. Esto es lo mismo que en el caso en el que
el acceso a un sitio correspondiente es imposible porque un cable
de LAN se encuentra desconectado o un encaminador presenta algún
problema de funcionamiento.
Por tanto, cuando el anfitrión segundo (por
ejemplo un sitio de pornografía) que ha recibido los paquetes de
transmisión a través del encaminador 70 genera un paquete de
respuesta en el cual se registra el anfitrión primero que ha
transmitido los paquetes de transmisión al destino, y transmite el
paquete de respuesta al anfitrión primero, el anfitrión primero no
recibe el paquete de respuesta puesto que el anfitrión primero ya
ha detenido el intento de acceso según el estado de red
inaccesible.
Como resultado, cuando no se encuentra instalado
en cada anfitrión primero un programa de interceptación de acceso,
y la red no se encuentra configurada de forma que todos los
anfitriones primeros deban utilizar un servidor delegado
predeterminado, se consigue de forma sencilla la interceptación del
acceso a sitios predeterminados.
Cuando la dirección de destino de los paquetes
de transmisión no se encuentra almacenada en la base de datos de
información de interceptación 11, se determina que el destino de los
paquetes de transmisión no es un objetivo de la interceptación de
acceso, y no se realiza la interceptación del acceso. Por tanto, en
este caso, cuando los paquetes de transmisión enviados sobre la red
se transmiten al anfitrión segundo 41 que es el destino
correspondiente a través del encaminador 70, el anfitrión segundo 41
genera un paquete de respuesta acoplado con el paquete de
transmisión, y transmite el mismo al anfitrión primero 31. Por
consiguiente, los paquetes se transmiten y reciben entre el
anfitrión primero 31 y el anfitrión segundo 41, y el anfitrión
primero 31 obtiene la información deseada del anfitrión segundo 41
en la etapa S220.
La interceptación de acceso arriba mencionada se
puede aplicar en redes de tamaño ISP y en redes pequeñas como una
LAN.
Se pueden omitir las etapas S140 y S150 para
determinar si el anfitrión primero es un usuario que solicitó la
interceptación de acceso. Esto es, solamente por medio de comprobar
si el destino del paquete de transmisión corresponde a un objetivo
de la interceptación de acceso sin comprobar si el anfitrión primero
que ha generado el paquete de transmisión es un usuario que ha
solicitado la interceptación de acceso, se puede interceptar el
acceso a un anfitrión predeterminado como se ha descrito
anteriormente.
También, por medio de establecer los anfitriones
segundos para realizar la interceptación de acceso para cada
anfitrión primero, se puede interceptar el acceso a un anfitrión
predeterminado para cada anfitrión primero.
Además, la interceptación de acceso se puede
ejecutar solamente para el solicitante de interceptación de acceso
por separación de mes, fecha y año. Esto es, el solicitante de
interceptación de acceso puede solicitar la interceptación de
acceso de una dirección predeterminada en una fecha u hora
específicas y, por consiguiente, la interceptación de acceso arriba
mencionada se puede realizar cuando la dirección de destino a la que
se van a transmitir los paquetes de transmisión es un objetivo de
interceptación de acceso y la interceptación de acceso se establece
en la fecha y hora actuales. En este caso, se requiere el
almacenamiento de información de autenticación del solicitante en
la base de datos de información de interceptación de forma que
solamente el solicitante correspondiente pueda establecer la
interceptación de acceso o la cancelación, y el sistema de
interceptación de acceso autentica al solicitante sobre la base de
la información de autenticación, y ejecuta la interceptación de
acceso o la cancelación. En este caso, la información de
establecimiento de interceptación almacenada en la base de datos de
información de interceptación comprende una fecha, un periodo, hora,
y la información de autenticación del solicitante para la
interceptación de un anfitrión segundo específico para cada
anfitrión primero.
Como anteriormente se ha descrito, cuando no se
encuentra instalado un programa de interceptación de acceso en
todos los clientes, y la red no se encuentra configurada de forma
que todos los clientes deban utilizar un servidor delegado
específico, se logra fácilmente la interceptación del acceso a un
sitio específico.
También, el acceso a sitios predeterminados se
puede interceptar de forma sencilla sin modificar las
configuraciones de red convencionales.
Además, la interceptación de acceso se puede
realizar para direcciones IP específicas.
Por tanto, se pueden reducir las sobrecargas de
ancho de banda por medio de interceptar en la red solicitudes de
acceso no necesarias.
Mientras que la presente invención se ha
descrito en conexión con lo que se considera actualmente como la
realización más práctica y preferida, debe entenderse que la
presente invención no se encuentra limitada a las realizaciones
descritas sino que, por el contrario, pretende cubrir varias
modificaciones y disposiciones equivalentes comprendidas dentro del
ámbito de las reivindicaciones adjuntas.
\vskip1.000000\baselineskip
Esta lista de referencias citadas por el
solicitante está prevista únicamente para ayudar al lector y no
forma parte del documento de patente europea. Aunque se ha puesto
el máximo cuidado en su realización, no se pueden excluir errores u
omisiones y la OEP declina cualquier responsabilidad en este
respecto.
- \bullet WO 0198934 A [0008]
- \bullet US 6065056 A [0010]
\bullet WO 0155873 A [0009]
Claims (9)
1. Sistema (10) para controlar la interceptación
del acceso entre una pluralidad de anfitriones primeros (3n) y de
anfitriones segundos (4m) a través de una red, que comprende:
una base de datos de información de
interceptación (11) para almacenar información sobre los anfitriones
segundos que son objetivos de la interceptación de acceso, e
información sobre la configuración de la interceptación;
un monitor de red (12) para monitorizar un
estado de generación de paquetes de transmisión del anfitrión
primero sobre la red, y recibir los paquetes de transmisión
generados;
un procesador de acceso (13) para determinar si
un destino comprendido en los paquetes de transmisión recibidos es
un objetivo de la interceptación de acceso sobre la base de la
información almacenada en la base de datos de información de
interceptación; y
un generador de paquetes (14) para generar un
paquete de interceptación de acceso que comprende un código de red
inaccesible, y transmitir el mismo al anfitrión primero de forma que
el anfitrión primero puede detener el intento de acceso a red,
cuando el destino de los paquetes de transmisión es un objetivo de
la interceptación de acceso según el resultado determinado,
donde el sistema se conecta a un concentrador
(50) que se sitúa en una posición que atraviesan los datos entre el
anfitrión primero (3n) y el anfitrión segundo (4m), y se encuentra
adaptado para transmitir el paquete de transmisión generado por el
anfitrión primero al anfitrión segundo, y el monitor de red (12) se
encuentra adaptado para monitorizar los paquetes de transmisión
generados por los anfitriones primeros utilizando una función de
espejo de puerto.
2. Sistema de la reivindicación 1, en el que el
paquete de interceptación de acceso comprende un formato de mensaje
ICMP (protocolo de mensaje de control de Internet) con un código de
"red inaccesible", y el anfitrión primero se encuentra
adaptado para determinar que la red es inaccesible y detener el
intento de acceso al anfitrión segundo cuando recibe el paquete de
interceptación de acceso.
3. Sistema de la reivindicación 1, en el que el
sistema de interceptación de acceso se adapta para recibir
direcciones IP de los anfitriones primeros que han solicitado
interceptación de acceso a un ISP (proveedor de servicio de
Internet), y el procesador de acceso se encuentra adaptado para
determinar si el destino de los paquetes de transmisión es un
objetivo de la interceptación de acceso y realizar selectivamente el
proceso de interceptación de acceso, cuando la dirección IP del
anfitrión primero que ha generado los paquetes de transmisión se
corresponde con la dirección IP proporcionada por el ISP.
4. Sistema de la reivindicación 1, en el que la
información de configuración de interceptación almacenada en la
base de datos de información de interceptación comprende una fecha y
hora para la interceptación del anfitrión segundo que es un
objetivo de la interceptación de acceso, y el procesador se
encuentra adaptado para controlar al generador de paquetes para
realizar el proceso de interceptación de acceso cuando se establece
que el objetivo de interceptación de acceso va a ser interceptado en
la fecha u hora actual en el caso de que el destino de los paquetes
de transmisión es un objetivo de la interceptación de acceso.
5. Sistema de la reivindicación 1, en el que la
información de configuración de interceptación comprende la
autenticación del usuario que ha solicitado la interceptación de
acceso, y el procesador de interceptación se encuentra adaptado
para realizar la modificación de la fecha u hora y la cancelación de
la interceptación según una solicitud por parte del usuario
autenticado.
6. Sistema de la reivindicación 1, en el que los
anfitriones primeros se conectan a un concentrador conmutador, y el
sistema de interceptación de acceso se adapta para monitorizar los
paquetes generados por los anfitriones primeros y para
transmitir/recibir los paquetes a través de un concentrador virtual
conectado al concentrador conmutador.
7. Procedimiento para controlar la
interceptación de acceso entre una pluralidad de anfitriones
primeros (3n) y de anfitriones segundos (4m) a través de una red en
un sistema (10), que comprende:
(a) monitorizar, por parte del sistema (10) un
estado de generación de paquetes de transmisión del anfitrión
primero en la red;
(b) recibir, por parte del sistema (10), los
paquetes de transmisión generados por el anfitrión primero en la
red;
(c) determinar, por parte del sistema (10), si
el anfitrión segundo, que es un destino comprendido en los paquetes
de transmisión recibidos, es un objetivo de la interceptación de
acceso; y
(d) generar, por parte del sistema (10), un
paquete de interceptación de acceso con un código de red inaccesible
cuando el anfitrión segundo que es el destino de los paquetes de
transmisión es un objetivo de la interceptación de acceso según el
resultado determinado, y transmitir el paquete de interceptación de
acceso al anfitrión primero de forma que el anfitrión primero puede
detener el intento de acceso a la red,
donde el sistema (10) se encuentra conectado a
un concentrador (50) que se encuentra situado en una posición que
atraviesan los datos entre el anfitrión primero (3n) y el anfitrión
segundo (4m), y el paquete de transmisión generado por el anfitrión
primero se transmite al anfitrión segundo, y un monitor de red (12),
comprendido en el sistema (10), monitoriza los paquetes de
transmisión generados por el anfitrión primero utilizando una
función de espejo de puerto.
8. Procedimiento de la reivindicación 7, en el
que (a) comprende:
recibir desde un ISP (proveedor de servicio de
Internet) direcciones IP de los anfitriones primeros que han
solicitado la interceptación de acceso;
determinar si la dirección IP del anfitrión
primero que ha generado el paquete de transmisión se corresponde
con la dirección IP proporcionada por el ISP; y
determinar si el anfitrión segundo que es el
destino del paquete de transmisión es un objetivo de la
interceptación de acceso cuando la dirección IP del anfitrión
primero que ha generado el paquete de transmisión se corresponde
con la dirección IP proporcionada por el ISP según el resultado
determinado.
9. Procedimiento de la reivindicación 7, que
comprende además:
recibir la fecha u hora de interceptación
deseada del anfitrión segundo que es un objetivo de la
interceptación de acceso desde el usuario del anfitrión primero, y
establecer la fecha y hora; y
modificar la fecha u hora y realizar la
cancelación de acceso para un usuario autenticado, y (d) comprende
además generar un paquete de interceptación de acceso y transmitir
el paquete de interceptación de acceso al anfitrión primero cuando
el anfitrión segundo que es un destino del paquete de transmisión es
un objetivo de interceptación de acceso y el anfitrión segundo se
establece para tener el acceso interceptado en la fecha u hora
actual.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2002-0010156A KR100527794B1 (ko) | 2002-02-26 | 2002-02-26 | 네트워크 접속 차단 시스템 및 그 방법 |
KR10-2002-0010156 | 2002-02-26 |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2312573T3 true ES2312573T3 (es) | 2009-03-01 |
Family
ID=27764618
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES02730949T Expired - Lifetime ES2312573T3 (es) | 2002-02-26 | 2002-05-21 | Sistema y procedimiento para interceptar un acceso de red. |
Country Status (9)
Country | Link |
---|---|
EP (1) | EP1479191B1 (es) |
JP (1) | JP2005518762A (es) |
KR (1) | KR100527794B1 (es) |
CN (1) | CN100481771C (es) |
AT (1) | ATE404927T1 (es) |
AU (1) | AU2002304185A1 (es) |
DE (1) | DE60228331D1 (es) |
ES (1) | ES2312573T3 (es) |
WO (1) | WO2003073696A1 (es) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4628204B2 (ja) * | 2005-07-05 | 2011-02-09 | シャープ株式会社 | 画像形成装置 |
KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
KR100725910B1 (ko) * | 2005-12-08 | 2007-06-11 | 홍상선 | 네트워크 안전접속방법 |
KR100882339B1 (ko) * | 2007-01-19 | 2009-02-17 | 주식회사 플랜티넷 | Isp 망에서 유해정보 접속 차단 시스템 및 차단 방법 |
KR100986729B1 (ko) * | 2008-03-18 | 2010-10-08 | 김만규 | 강관말뚝의 두부 보강장치 |
KR101065800B1 (ko) * | 2008-10-30 | 2011-09-19 | 주식회사 케이티 | 네트워크 관리 장치 및 그 방법과 이를 위한 사용자 단말기및 그의 기록 매체 |
CN104702424A (zh) * | 2013-12-05 | 2015-06-10 | 中国联合网络通信集团有限公司 | 一种网络行为监控的方法及装置 |
JP2019201364A (ja) * | 2018-05-17 | 2019-11-21 | 日本電信電話株式会社 | 通信装置及び通信方法 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5835722A (en) * | 1996-06-27 | 1998-11-10 | Logon Data Corporation | System to control content and prohibit certain interactive attempts by a person using a personal computer |
US5835727A (en) * | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
KR20010002535A (ko) * | 1999-06-15 | 2001-01-15 | 홍창표 | 인터넷 유해 사이트 접속방지 시스템 및 그 방법 |
EP1256064B1 (en) * | 2000-01-28 | 2008-10-15 | Websense Inc. | System and method for controlling access to internet sites |
KR100329545B1 (ko) * | 2000-04-21 | 2002-04-01 | 김태주 | 유해사이트의 접속차단 서비스 제공장치 및 방법 |
KR20010105960A (ko) * | 2000-05-19 | 2001-11-29 | 이동진 | 인터넷 유해정보 차단시스템 |
US20020069356A1 (en) * | 2000-06-12 | 2002-06-06 | Kwang Tae Kim | Integrated security gateway apparatus |
WO2001098934A2 (en) * | 2000-06-20 | 2001-12-27 | Privo, Inc. | Method and apparatus for granting access to internet content |
KR20020027702A (ko) * | 2000-10-04 | 2002-04-15 | 김형준 | 인터넷상에서 유해 사이트 접속을 차단하는 방법 |
KR20020074334A (ko) * | 2001-03-20 | 2002-09-30 | 송두환 | 조립식 수장구 |
KR20010103131A (ko) * | 2001-10-29 | 2001-11-23 | 이돈원 | 유해 사이트 차단 방법 |
KR20030061143A (ko) * | 2002-01-10 | 2003-07-18 | (주)퀴스코 | 컨텐츠 필터링 기법 및 시스템 |
-
2002
- 2002-02-26 KR KR10-2002-0010156A patent/KR100527794B1/ko not_active IP Right Cessation
- 2002-05-21 WO PCT/KR2002/000955 patent/WO2003073696A1/en active Application Filing
- 2002-05-21 EP EP02730949A patent/EP1479191B1/en not_active Expired - Lifetime
- 2002-05-21 JP JP2003572248A patent/JP2005518762A/ja active Pending
- 2002-05-21 AT AT02730949T patent/ATE404927T1/de not_active IP Right Cessation
- 2002-05-21 DE DE60228331T patent/DE60228331D1/de not_active Expired - Lifetime
- 2002-05-21 AU AU2002304185A patent/AU2002304185A1/en not_active Abandoned
- 2002-05-21 CN CNB028260481A patent/CN100481771C/zh not_active Expired - Fee Related
- 2002-05-21 ES ES02730949T patent/ES2312573T3/es not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
KR100527794B1 (ko) | 2005-11-09 |
KR20030070669A (ko) | 2003-09-02 |
JP2005518762A (ja) | 2005-06-23 |
ATE404927T1 (de) | 2008-08-15 |
DE60228331D1 (de) | 2008-09-25 |
CN100481771C (zh) | 2009-04-22 |
AU2002304185A1 (en) | 2003-09-09 |
EP1479191A1 (en) | 2004-11-24 |
EP1479191A4 (en) | 2006-09-20 |
EP1479191B1 (en) | 2008-08-13 |
CN1608363A (zh) | 2005-04-20 |
WO2003073696A1 (en) | 2003-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Greenwald et al. | Designing an academic firewall: Policy, practice, and experience with surf | |
US9037738B2 (en) | Web-based security and filtering system for inbound/outbound communications with proxy chaining | |
US7533409B2 (en) | Methods and systems for firewalling virtual private networks | |
US6219786B1 (en) | Method and system for monitoring and controlling network access | |
US7047424B2 (en) | Methods and systems for hairpins in virtual networks | |
US7181766B2 (en) | Methods and system for providing network services using at least one processor interfacing a base network | |
US20050204050A1 (en) | Method and system for controlling network access | |
US20060150243A1 (en) | Management of network security domains | |
US20080104233A1 (en) | Network communication method and apparatus | |
ES2312573T3 (es) | Sistema y procedimiento para interceptar un acceso de red. | |
ES2595927T3 (es) | Sistema de notificación de dispositivos de abonados en redes de ISP | |
CN108156092A (zh) | 报文传输控制方法和装置 | |
US8166141B1 (en) | Method and apparatus for emulating web browser proxies | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference | |
Cisco | Command Reference |