MXPA06013129A

MXPA06013129A - Contencion automatizada de un invasor en redes.

Info

Publication number: MXPA06013129A
Application number: MXPA06013129A
Authority: MX
Inventors: Vincent Vermeulen; John David Matthews
Original assignee: Cit Alcatel
Priority date: 2004-05-12
Filing date: 2004-12-21
Publication date: 2007-02-28
Also published as: RU2006143768A; US20070192862A1; EP1745631A1; CN101411156B; WO2005112390A1; CN101411156A; US20100223669A1

Abstract

La invencion en la modalidad preferida incluye un sistema (200) y un metodo para agregar automaticamente trafico peligroso de otro trafico de la pluralidad de nodos de red incluyendo conmutadores y encaminadores. En la modalidad preferida, el sistema (200) comprende un sistema de deteccion de invasion (105) para determinar la identidad de un invasor y un servidor (130) adaptado para instalar automaticamente una regla de aislamiento en uno o mas nodos (114, 115, 116) para colocar en cuarentena paquetes del invasor. La regla de aislamiento en la modalidad preferida es una regla de red de area local virtual (VLAN) o regla de lista de control de acceso (ACL) que provoca que el nodo de la red encamine cualquier paquete del invasor hacia una VLAN de cuarentena o aisle en otra forma el trafico del otro trafico de red. En redes grandes, la regla de aislamiento puede instalarse en una pluralidad seleccionada de nodos de red bajo el encaminador de pasarelas (104) asociado con el nodo en el cual el invasor ingreso primero a la red (100).

Description

CONTENCIÓN AUTOMATIZADA DE UN INVASOR EN REDES CAMPO DE LA INVENCIÓN La invención se relaciona con un mecanismo para aislar tráfico de un invasor a través de una red de comunicaciones de datos. En particular, la invención se relaciona con un sistema y método para distribuir reglas de aislamiento entre una pluralidad de nodos de redes para encaminar tráfico del invasor hacia una red de área local virtual (VLAN, por sus siglas en inglés) dedicada o segregar de otra manera el tráfico. ANTECEDENTES DE LA INVENCIÓN En los ambientes actuales de la computación altamente móviles, los dispositivos de clientes móviles pueden migrar con facilidad entre varias redes, por ejemplo incluyendo redes domésticas y empresariales. En el proceso, los dispositivos clientes son más propensos a transportar archivos que introducen problemas en la red empresarial . Los problemas pueden incluir, pero no se limitan a, la introducción de gusanos maliciosos dentro de la red empresarial los cuales pueden dañar computadoras a través de la red y su eliminación puede ser costosa. Un enfogue contemporáneo para limitar el alcance de estos problemas es instalar un Sistema de Detección Invasión (IDS, por sus siglas inglés) o un Sistema de Prevención de Invasión (IPS, por sus siglas en inglés) entre Ref.: 177472 segmentos de redes de la red empresarial para inhibir la distribución de un gusano, o inhabilitar categóricamente porciones completas de la red para evitar la propagación de un gusano fuera del área infectada. Sin embargo, estos enfoques impactan severamente la operación de la red y pueden contener solo temporalmente el dispositivo problema a una sección de la red. Otras máquinas en la red pueden aún infectarse si una computadora portátil o asistente digital personal (PDA, por sus siglas en inglés) , por ejemplo se mueve de una porción inhabilitada de la red a un segmento de la red operativa en donde las máquinas más vulnerables se infectan nuevamente. A pesar de los mejores esfuerzos, toda una red puede aún infectarse. Incluso si se aisla la dispersión de un gusano malicioso en una porción de la red, los operadores de redes necesitarán aún determinar la ubicación de la máquina ofensiva. A pesar de que existen algunos métodos automatizados para localizar estos dispositivos en la red, incluyendo la aplicación de Localizador en ALCATEL OMNIVISTA (TM) 2500, actualmente no existe ningún mecanismo para negar el acceso automáticamente a un dispositivo ofensivo en su punto de entrada, y la red más generalmente, en respuesta a una detección de invasión. Por lo tanto existe una necesidad por un sistema para negar automáticamente el acceso a un invasor a través de la red en respuesta a una detección de invasión en cualquier punto en la red. BREVE DESCRIPCIÓN DE LA INVENCIÓN La invención en la modalidad preferida incluye un sistema y método para proteger recursos de la red en una red de comunicaciones de datos segregando automáticamente tráfico dañino de otro tráfico en cada uno de la pluralidad de puntos en los que puede ingresar a la red el tráfico dañino, inoculando así toda la red de un invasor. En la modalidad preferida, el sistema comprende uno o más nodos de red; un sistema de detección de invasión para determinar la identidad de un invasor; y un servidor, acoplado de manera operativa al detector de invasión, adaptado para de manera automática: generar una regla de aislamiento asociando al invasor identificado con una acción de aislamiento, e instalar la regla de aislamiento en cada uno del nodo o más nodos, de tal forma que cada uno del nodo o más nodos ejecuta la acción de aislamiento al recibir una unidad de datos de protocolo (PDU, por sus siglas en inglés) del invasor identificado. En la modalidad preferida, los nodos de red pueden incluir encaminadores , puentes, conmutadores de capas múltiples, y puntos de acceso inalámbrico en una red de área local, por ejemplo. Por lo tanto, cuando se detecta un invasor mediante un IDS o IPS y su dirección de control de acceso a medios (MAC) , dirección de Protocolo de Internet (IP, por sus siglas en inglés) , o se determinan ambas, el sistema de la modalidad preferida emite una regla de red de área local virtual (VLAN, por sus siglas en inglés) o una regla de lista de control de acceso (ACL, por sus siglas en inglés), por ejemplo, a la pluralidad de dispositivos conmutadores que instruyen a los dispositivos a encaminar cualquier paquete del invasor hacia una VLAN de cuarentena o aislar en otra forma el tráfico del otro tráfico de la red. En redes grandes, el encaminador de pasarela asociado con el dispositivo conmutador en el cual ingresó por primera vez el invasor, la red puede determinarse consultando la información de ARP a través de la red y se instala entonces la acción de aislamiento en un número selecto de dispositivos conmutadores bajo el encaminador de pasarela. Una persona con experiencia en la técnica reconocerá que con la presente invención, puede negarse el acceso automáticamente a un dispositivo ofensivo a una red en cualquier punto de entrada en la red en cuestión de segundos con participación reducida del administrador de la red y costo reducido. La instalación de una regla de VLAN de cuarentena o regla de ACL en conmutadores empresariales, por ejemplo, puede evitar que se disperse un virus entre clientes que acceden al mismo conmutador así como clientes de diferentes conmutadores sin un cortafuegos intermedio. Es decir, la instalación de una regla de cuarentena puede evitar la dispersión del virus entre (a) clientes acoplados al mismo dispositivo conmutador así como (b) clientes que están remotamente separados ya sea o no que los clientes estén separados por un cortafuegos, por ejemplo. BREVE DESCRIPCIÓN DE LA FIGURAS La presente invención se ilustra a manera de ejemplo y no de limitación en las figuras adjuntas, y en las cuales: La figura 1 es un diagrama de bloques funcional de una red adaptada para contener automáticamente invasores de redes, de conformidad con la modalidad preferida de la presente invención; la figura 2 es un diagrama de bloques funcional de un conmutador adaptado para realizar la respuesta de detección de invasores (IDR, por sus siglas en inglés) , de conformidad con la modalidad preferida de la presente invención; la figura 3 es un diagrama de bloques funcional de un servidor de AQE, de conformidad con la modalidad preferida de la presente invención; la figura 4 es un diagrama de flujo del proceso para distribuir reglas de aislamiento de invasores desde un servidor de AQE, de conformidad con la modalidad preferida de la presente invención; la figura 5 es un diagrama de flujo del proceso para distribuir reglas de aislamiento de invasores a una pluralidad de conmutadores de IDR, de conformidad con la modalidad preferida de la presente invención; y la figura 6 es una diagrama de secuencias de la respuesta de un servidor de AQE y de conmutadores de IDR a un invasor, de conformidad con la modalidad preferida de la presente invención. DESCRIPCIÓN DETALLADA DE LA INVENCIÓN En la figura 1 se ilustra un diagrama de bloques funcional de una red empresarial adaptada para efectuar la Detección y Prevención de Invasores (IDP, por sus siglas en inglés) conteniendo automáticamente a los invasores de redes. La red empresarial 100 incluye una pluralidad de nodos y otras entidades direccionables acopladas en forma operativa a una red de comunicaciones de datos conformada, por ejemplo, en una red de área local (LAN, por sus siglas en inglés) , una red de área amplia (WAN, por sus siglas en inglés) , o una red de área metropolitana (MAN, por sus siglas en inglés) , una red de Protocolo de Internet (IP) , la Internet, o una combinación de las mismas . La red empresarial 100 en la modalidad preferida incluye una pluralidad de dispositivos conmutadores de capas múltiples -incluyendo un primer encaminador 102, un segundo encaminador 104, un primer conmutador 114, un segundo conmutador 115, y un tercer conmutador 116- así como un servidor de autenticación y un servidor de Imposición Automática de Cuarentena (AQE, por sus siglas en inglés) 120. El segundo encaminador 104, que sirve como pasarela a la Internet 118, está acoplado operativamente a un primer dominio de red, un segundo dominio de red 106, y el servidor de AQE 120. El primer encaminador 102 sirve como encaminador predeterminado para el primer dominio de red que comprende los conmutadores de red de área local (LAN) de capas múltiples 114-116. El primer conmutador 114 y el segundo conmutador 115 están acoplados operativamente a clientes 110-112 en una primera red de área local virtual (VLAN) , es decir VLAN_A, mientras que el tercer conmutador 116 está asociado con estaciones terminales (no se muestran) en una segunda VLAN, es decir, VLAN_B. El segundo dominio de red 106 puede incluir además uno o más nodos con la primera VLAN, la segunda red VLAN, o ambas. Los dispositivos conmutadores de capas múltiples de la modalidad preferida pueden ser, por ejemplo, encaminadores , conmutadores, puentes, o puntos de acceso a redes. El primer dominio de red y el segundo dominio de red 106 y la Internet 118 están acoplados operativamente a través del segundo encaminador 104, el cual incluye además un sistema de detección de invasores (IDS) adaptado para monitorear tráfico de datos transmitidos hacia o por medio del segundo encaminador 104 la presencia de tráfico dañino u otro no autorizado. El IDS también puede ser un cortafuegos 105 adaptado para detectar, por ejemplo, gusanos y virus, disponible de Netscreen Technologies, Inc. de Sunnyvale, California, Fortinet de Sunnyvale, California, y Tipping Point de Austin, Texas. De conformidad con la modalidad preferida, la pluralidad de dispositivos conmutadores incluyendo el segundo encaminador 104 pueden adaptarse adicionalmente para confinar o restringir en otra forma la distribución de flujos de tráfico peligroso con una VLAN de cuarentena diferente a la primera y segunda VLAN. Tal como se describe más adelante el tráfico en la VLAN de cuarentena consiste esencialmente de PDU que están asociados con un invasor o un flujo sospechoso identificado por el IDS. De conformidad con la modalidad preferida, la red adicionalmente incluye un servidor de imposición automática de cuarentena (AQE) 120 adaptado para distribuir e instalar reglas de aislamiento entre uno o más nodos de redes en respuesta a una detección de invasión. El servidor de AQE 120 es preferentemente un servidor de administración central acoplado operativamente al cortafuegos 105 vía el segundo encaminador 104, aunque también puede estar integrado al segundo encaminador u otro nodo en la red. En la figura 2 se ilustra un diagrama de bloques funcional de un conmutador adaptado para realizar la respuesta de detección de invasores (IDR) de conformidad con la modalidad preferida. El conmutador 200 de la modalidad preferida comprende uno o más módulos de interfaces de red (NIM) 204, uno o más controladores de conmutación 206, y un módulo de administración 220, todos los cuales cooperan para recibir el tráfico de datos de ingreso y transmiten el tráfico de datos de egreso por medio de los puertos externos 102. Para propósitos de la presente modalidad, los datos que fluyen hacia el conmutador 200 desde otro nodo de red se denominan aquí como datos de ingreso, que comprenden unidades de datos de protocolo de ingreso (PDU) . En contraste, los datos que se propagan internamente a un puerto externo 102 para la transmisión a otro nodo de red se denominan datos de egreso, que comprenden PDU de egreso. Cada uno de la pluralidad de los puertos externos 102 es un puerto dúplex adaptado para recibir datos de ingreso y transmitir datos de egreso. Los NIM 204 incluyen preferentemente uno o más puertos 102 con una interfaz de capa física y una interfaz de control de acceso a medios (MAC) adaptadas para intercambiar PDU, por ejemplo, estructuras de Ethernet, con otros nodos vía enlaces de comunicaciones de redes (no se muestran) . Las PDU de ingreso son transmitidas desde la pluralidad de NIM 204 al controlador de conmutación 206 por medio de uno o más buses de datos de ingreso 205A. Similarmente, las PDU de egreso son transmitidas desde el controlador de conmutación 206 a la pluralidad de NIM 204 vía uno o más buses de datos de egreso 205B. El módulo de administración 220 generalmente comprende un administrador de políticas 224 para retener e implementar políticas de tráfico incluyendo reglas de aislamiento discutidas más adelante en mayor detalle. Las políticas implementadas por el administrador de políticas 224 incluye enviar información 256 basada en parte en la Capa 2 (enlaces de datos) dirigiendo información derivada de las operaciones de enseñanza de fuentes y la Capa 3 (red) encamina información recibida de otros dispositivos encaminadores, reglas de asociación de VLAN 258, y reglas de listas de control de acceso 260 que se originan del servidor de AQE 120 ó el administrador de red vía un administrador de configuración 222 por medio de mensajes de protocolos de administración de redes simple (SNMP, por sus siglas en inglés) 226, por ejemplo. Las reglas de envío, reglas de asociación de VLAN, y políticas de control de acceso se hacen disponibles para el motor encaminador 230 y son representadas colectivamente por medio de la tabla de búsqueda 254. El conmutador 200 comprende preferentemente al menos un controlador de conmutación 206 capaz de, pero sin limitarse a, conmutar operaciones de la Capa 2 (Enlace de Datos) y la Capa 3 (Red) tal como se define en el modelo de referencia de Interconexión de Sistemas Abiertos (OSI, por sus siglas en inglés) . El conjunto de protocolos posibles de la Capa 2 para acoplar operativamente los puertos externos 102 a un enlace de comunicaciones alámbrico y/o inalámbrico incluye los estándares del Instituto de Ingenieros Eléctricos y Electrónicos (IEEE, por sus siglas en inglés) 802.3 y IEEE 802.11, mientras que el conjunto de protocolos posibles de la Capa 3 incluye el Protocolo de Internet (IP) versión 4 definida en la Solicitud de Comentario (RFC, por sus siglas en inglés) 791 de la Fuerza de Tareas de Ingeniería de Internet (IETF, por sus siglas en inglés) 791 e IP versión 6 definida en IETF RFC 1883. El controlador de conmutación 206 comprende preferentemente un motor encaminador 230 y un administrador de procesos 240. El motor encaminador 230 comprende un clasificador 232 que recibe PDU de ingreso del bus de datos 205A, inspecciona uno o más campos de las PDU, clasifica las PDU en uno de una pluralidad de flujos usando una memoria direccionable de contenido 233, y recupera información de envío de la tabla de búsqueda 254 y envía las PDU a las VLAN apropiadas si se autoriza el acceso al conmutador 200 y el dominio de red asociado. La información de envío recuperada de la tabla de envío 256 incluye preferentemente, pero no se limita a, un identificador de flujos usado para especificar aquellas operaciones de envío necesarias para preparar la PDU particular para el egreso, por ejemplo. El procesador de envío 234 recibe las PDU de ingreso con la información de envío asociada y ejecuta una o más operaciones de envío antes de la transmisión al puerto o puertos de egreso apropiados . Las operaciones de envío incluyen preferentemente pero no se limitan a transformación de encabezados para datos de reencapsulado, insertar etiquetas de VLAN para concatenar una o más etiquetas de VLAN a un PDU usando un generador de etiquetas de VLAN 236, desprendimiento de etiquetas de VLAN para remover una o más etiquetas de VLAN de un PDU, calidad de servicio (QoS, por sus siglas en inglés) para reservar recursos de red, facturación y contabilidad para monitorear tráfico de clientes, administración de Conmutación de Rótulos de Protocolos Múltiples (MPLS, por sus siglas en inglés) , autenticación para filtrar selectivamente PDU, control de acceso, aprendizaje de capas mayores incluyendo control de Protocolo de Resolución de Direcciones (ARP, por sus siglas en inglés), replicación de puertos para reproducir y redirigir PDU para análisis de tráfico, aprendizaje de fuentes, clase de servicio (CoS, por sus siglas en inglés) para determinar la prioridad relativa con la cual se asignan recursos de PDU, y marcación de color usada para política y conformación de tráfico, por ejemplo. Después del procesador de envío 234, las PDU se pasan hacia y son almacenadas en el administrador de colas 240 hasta que el ancho de banda está disponible para transmitir las PDU al puerto o los puertos de egreso apropiados. En particular, las PDU de egreso son almacenadas temporalmente en una o más de una pluralidad de colas de prioridad en la memoria intermedia 242 hasta que son transmitidas por el programador 244 al puerto externo 102 vía el bus de datos de salida 205B.

En la figura 3 se ilustra un diagrama de bloques funcional de un servidor de imposición automática de cuarentena. El servidor de AQE 120 comprende un módulo de respuesta de detección de invasores 310 con un generador de rutinas 312 adaptado para recibir una noticia de detección de invasores del cortafuegos 105 a través de la interfaz de red 320. El módulo de respuesta de detección de invasores 310 también incluye una lista de distribución de rutinas 314 que identifica una pluralidad de encaminadores predeterminados asociados con la pluralidad de dominios de red en la red empresarial 100 a la cual se distribuyen las rutinas generadas . En la figura 4 se ilustra un diagrama de flujo del proceso para distribuir reglas de aislamiento de invasores desde un servidor de AQE. En la modalidad preferida, el cortafuegos 105 u otros IDS de invasores identifica (410) a un invasor y provoca que el servidor de AQE 120 produzca automáticamente uno o más comandos de programación usando un lenguaje de programación/escritura de rutinas denominado Perl. Los comandos son conjuntos de comandos del SNMP producidos por una rutina Perl comunicados a los conmutadores vía el SNMP. En la modalidad preferida, las rutinas Perl se usan para generar una regla de aislamiento de invasores (420) para segregar PDU del tráfico convencional, y distribuir (430) los comandos con la regla de aislamiento para uno o más nodos en la red. Al recibir el comando del SNMP, uno o más nodos ejecuta el comando para instalar/aplicar (440) la regla de aislamiento de invasores, permitiendo con ello que los dispositivos conmutadores establezcan cuarentena (450) a cualquier paquete adicional ajustándose al perfil del invasor detectado. Al instalar la regla de aislamiento, los dispositivos conmutadores son capaces de evitar que otros nodos terminales en el dominio sean expuestos a paquetes sospechosos inclusive si el cliente se reubica en un nuevo punto de entrada en el dominio. En la figura 5 se ilustra un diagrama de flujo del proceso para generar automáticamente y distribuir reglas de aislamiento de invasores a una pluralidad de conmutadores de IDR en una red empresarial. Para estimular el procedimiento para aislar al invasor, el cortafuegos 105 se configura para transmitir la noticia de detección de invasores al servidor de AQE 120. La noticia de detección de invasores puede incluir, por ejemplo, una trampa de protocolo de administración de redes simple (SNMP) o mensaje del Registro del Sistema. En la modalidad preferida, la noticia de detección de invasores incluye un perfil o firma de invasores con un identificador de invasores, por ejemplo la dirección de la fuente, del paquete sospechoso . La dirección de la fuente es generalmente una dirección de control de acceso a medios (MAC) o dirección de Protocolo de Internet (IP) . Si el identificador es una dirección de MAC, la etapa de prueba del tipo de ID (504) se contesta afirmativamente y el servidor de AQE 120 procede a determinar (506) la dirección de IP del invasor solicitando una petición de tabla de ARP a través del SNMP para cada una de las pasarelas predeterminadas identificadas en el archivo de configuración denominado en la presente como lista de distribución de rutinas 314. Si el tipo de identificador es una dirección de IP, la etapa de prueba del tipo de ID (504) se contesta negativamente y el servidor de AQE 120 procede a determinar la dirección de MAC del invasor. El servidor de AQE 120 transmite preferentemente (520) una petición de tabla de ARP vía un SNMP a cada una de las pasarelas predeterminadas identificadas en la lista de distribución de rutinas 314. La pasarela predeterminada asociada con el nodo terminal que produjo el paquete sospechoso tendrá un registro del invasor y regresará (522) la dirección del MAC del invasor cuando se solicita la tabla de protocolo de resolución de direcciones (ARP) .

Conociendo el MAC del invasor, el servidor de AQE 120 genera preferentemente (524) un conjunto de comandos de SNMP con una regla de aislamiento que provoca que un dispositivo conmutador segregue todos los paquetes que tienen la dirección del MAC fuente del invasor del tráfico no infectado. La regla de aislamiento en la modalidad preferida es una regla de VLAN para puentear todos los paquetes del invasor hacia una VLAN de cuarentena aunque también pueden emplearse reglas de ACL para segregar paquetes sospechosos. Conociendo la dirección de IP, el servidor de AQE 120 transmite (526) los comandos con la regla de aislamiento de VLAN a cada uno de los conmutadores y encaminadores en el dominio encabezado por la pasarela predeterminada . Al recibirse, la rutina se ejecuta y la regla de aislamiento de VLAN o ACL es incorporada (528) en la tabla de asociación de VLAN 258 ó ACL 260 en donde provoca que cualquier paquete con la dirección del MAC del invasor se segregue si es recibida en cualquier puerto lateral o puente. La regla de aislamiento de VLAN o ACL también puede provocar que el conmutador receptor elimine la dirección de MAC del invasor de su tabla de envío 256. Sin embargo, si se configura para instalar la regla de aislamiento de VLAN en todos los conmutadores en la red, el servidor de AQE 120 no necesita determinar la dirección de IP del invasor o identificar un encaminador predeterminado . En la figura 6 se ilustra un diagrama de secuencias de la respuesta de un servidor de AQE y conmutadores de IDR a un invasor. Las PDU producidas por los nodos terminales tales como el cliente 110 generalmente son transmitidas en una VLAN sin cuarentena, es decir, las PDU son transmitidas sin etiquetas de VLAN o son transmitidas a un puerto lateral asociado con una VLAN convencional tal como VLAN_A 150, por ejemplo. Si, y cuando el cliente 110 introduce un gusano u otro archivo peligroso en la red, la PDU infectada 602 es admitida y se propaga en la VLAN sin cuarentena hasta que es detectado por el cortafuegos 105. Cuando se detecta el paquete sospechoso (650), el cortafuegos 105 transmite una noticia de detección de invasores 604 al servidor de AQE 105. Si la noticia de detección de invasores 604 contiene solo la dirección del MAC del invasor, el servidor de AQE 120, en una red empresarial, por ejemplo, transmite solicitudes de SNMP para las tablas de ARP 606 a una pluralidad de pasarelas predeterminadas. La pasarela consulta (654) sus tablas de ARP y la pasarela apropiada responde con una respuesta a una solicitud 608 con la cual el servidor de AQE 120 puede determinar (656) el dominio al cual son transmitidas las reglas de aislamiento de VLAN. Al recibirse, cada uno de los conmutadores 114-116 en el dominio asociado ejecuta la rutina y la regla de aislamiento aplicable instalada en el mismo. Después de la instalación de la regla de cuarentena en cada uno de los conmutadores 114-116 en el dominio, las PDU recibidas del cliente 110 son segregadas automáticamente en la VLAN de cuarentena independientemente de en qué lugar del primer dominio el cliente intenta obtener acceso e independientemente del contenido de la PDU. Si el cliente infectado 110 transmite un paquete al primer conmutador 114, por ejemplo, el conmutador 114 aplica (660) la regla de aislamiento de VLAN y puentea el paquete recibido a la VLAN de cuarentena. Similarmente, si el cliente 110 se mueve (670) dentro del primer dominio y reestablece el acceso al segundo conmutador 115, el paquete 630 transmitido al segundo conmutador 115 se puentea automáticamente a la VLAN de cuarentena de conformidad con la regla de aislamiento de VLAN, evitando con ello que el cliente infectado se mueva alrededor de la red y extienda el alcance de la infección. Tal como se ilustra, los paquetes 620, 630 del cliente infectado 110 pueden distribuirse al tercer conmutador 116 para una inspección adicional, al cortafuegos 105, o a ambos. Alguien con experiencia normal en la técnica apreciará que las PDU del cliente infectado 110 también pueden someterse a una regla de ACL adaptada para segregar el tráfico sospechoso y evitar que el cliente 110 obtenga acceso a cualquiera de los puntos de acceso en el primer dominio. En algunas modalidades, se informa al usuario de la red que el dispositivo ofensivo ha sido aislado y ofrece entonces descargas de software u otras soluciones para reparar el dispositivo antes de dejar que el dispositivo regrese a la red. El AQE 120 de la modalidad preferida también está adaptado para generar rutinas, para revertir o en otra forma repeler las reglas de aislamiento en el dominio una vez que es seguro hacerlo. Las rutinas de reversión pueden distribuirse, por ejemplo, al iniciar sesión el administrador de la red o automáticamente después de transcurrido un periodo de tiempo predeterminado. En algunas modalidades, la información acerca de las direcciones de MAC y de IP de los dispositivos ofensivos es almacenada de tal manera que el operador puede remover después la regla de MAC y restaurar el servicio al dispositivo puesto en cuarentena. A pesar de que la descripción anterior contiene muchas especificaciones, estas no deberán considerarse como limitantes del alcance de la invención sino simplemente como proporcionando ilustraciones de algunas de las actuales modalidades preferidas de la presente invención. Por lo tanto, la invención se ha descrito a manera de ejemplo y no de limitación, y deberá hacerse referencia a las siguientes reivindicaciones para determinar el alcance de la presente invención. Se hace constar que con relación a esta fecha, el mejor método conocido por la solicitante para llevar a la práctica la citada invención, es el que resulta claro de la presente descripción de la invención.

Claims

REIVINDICACIONES
Habiéndose descrito la invención como antecede, se reclama como propiedad lo contenido en las siguientes reivindicaciones : 1. Un sistema para contener tráfico en una red de comunicaciones de datos, caracterizado porque el sistema comprende: uno o más dispositivos conmutadores; un sistema de detección de invasión para determinar la identidad de un invasor; y un servidor, acoplado operativamente al detector de invasores, adaptado para automáticamente: generar una regla de aislamiento que asocia al invasor identificado con una acción de aislamiento; e instalar la regla de aislamiento en cada uno de uno o más dispositivos conmutadores; en donde cada uno de uno o mas dispositivos conmutadores ejecuta la acción de aislamiento al recibir una unidad de datos de protocolo, del invasor identificado. 2. El sistema de conformidad con la reivindicación 1, caracterizado porgue la identidad del invasor es una dirección de control de acceso a medios .
3. El sistema de conformidad con la reivindicación 1, caracterizado porque la identidad del invasor es una dirección de Protocolo de Internet .
4. El sistema de conformidad con la reivindicación 1, caracterizado porque la regla de aislamiento es una regla de red de área local virtual adaptada para colocar una o más unidades de datos de protocolo asociadas con el invasor identificado en una red de área local virtual de cuarentena.
5. El sistema de conformidad con la reivindicación 1, caracterizado porque la regla de aislamiento es una regla de lista de control de acceso adaptada para segregar una o más unidades de datos de protocolo asociadas con el invasor identificado de las unidades de datos de protocolos de una o más estaciones terminales soportadas por uno o más dispositivos conmutadores.
6. El sistema de conformidad con la reivindicación 1, caracterizado porque el dispositivo o más dispositivos conmutadores están asociados con una pasarela predeterminada, y el servidor está adaptado además para: identificar la pasarela predeterminada; e identificar uno o más de los dispositivos conmutadores en los cuales se instale la regla de aislamiento.
7. El sistema de conformidad con la reivindicación 6, caracterizado porque la pasarela predeterminada es una de una pluralidad de encaminadores, y en donde el servidor está adaptado para identificar la pasarela predeterminada emitiendo una solicitud para información de protocolo de resolución de direcciones a cada uno de uno o más de la pluralidad de encaminadores .
8. El sistema de conformidad con la reivindicación 1, caracterizado porque el sistema de detección de invasiones se selecciona del grupo que consiste de: un cortafuegos y un sistema de prevención de invasión.
9. El sistema de conformidad con la reivindicación 1, caracterizado porque la regla de aislamiento es transmitida a uno o más de uno o más dispositivos conmutadores en una rutina de lectura por computadora.
10. Un sistema para contener un dispositivo cliente en una red que comprende uno o más encaminadores incluyendo un primer encaminador asociado con un segmento de red incluyendo el dispositivo cliente, caracterizado porque el sistema comprende: uno o más conmutadores conectados operativamente al segmento de red asociado con el primer encaminador; y un nodo de administración central adaptado para: recibir una detección de invasión con una dirección fuente de una entidad de detección de invasión, estando asociada la dirección fuente con el dispositivo cliente; identificar el primer encaminador de entre uno o más encaminadores ; generar una regla para representar las unidades de datos de protocolo que tienen la dirección fuente asociada con el dispositivo cliente a una red de área local virtual de penalización separada de otro tráfico de red; y transmitir la regla a cada uno de uno o más conmutadores ; en donde cada uno de uno o más conmutadores provoca que las unidades de datos de protocolo tengan la dirección fuente asociada con el dispositivo cliente a la red de área local virtual de penalización.
11. Un método para contener tráfico en una red de comunicaciones de datos que tiene uno o más dispositivos conmutadores, caracterizado porque el método comprende las etapas de: identificar un invasor en la red; generar automáticamente una regla de aislamiento que asocia al invasor identificado con una acción de aislamiento; e instalar la regla de aislamiento en cada uno de uno o más dispositivos conmutadores; en donde cada uno de uno o mas dispositivos conmutadores ejecuta la acción de aislamiento al recibir una unidad de datos de protocolo, del invasor identificado.
12. El método de conformidad con la reivindicación 11, caracterizado porque el invasor es identificado mediante una dirección de control de acceso a medios.
13. El método de conformidad con la reivindicación 11, caracterizado porque el invasor es identificado mediante una dirección de Protocolo de Internet.
14. El método de conformidad con la reivindicación 11, caracterizado porque la regla de aislamiento es una regla de red de área local virtual adaptada para colocar una o más unidades de datos de protocolo asociadas con el invasor identificado en una red de área local virtual de cuarentena.
15. El método de conformidad con la reivindicación 11, caracterizado porque la regla de aislamiento es una regla de lista de control de acceso adaptada para segregar una o más unidades de datos de protocolo asociadas con el invasor identificado de las unidades de datos de protocolos de una o más estaciones terminales soportadas por uno o más dispositivos conmutadores.
16. El método de conformidad con la reivindicación 11, caracterizado porque uno o más dispositivos conmutadores están asociados con una pasarela predeterminada, y en donde el método comprende adicionalmente las etapas de: identificar la pasarela predeterminada; e identificar uno o más de los dispositivos conmutadores en los cuales se instale la regla de aislamiento.