WO2006136692A1 - Method and system for protecting an information system formed around a local network - Google Patents

Method and system for protecting an information system formed around a local network Download PDF

Info

Publication number
WO2006136692A1
WO2006136692A1 PCT/FR2006/001389 FR2006001389W WO2006136692A1 WO 2006136692 A1 WO2006136692 A1 WO 2006136692A1 FR 2006001389 W FR2006001389 W FR 2006001389W WO 2006136692 A1 WO2006136692 A1 WO 2006136692A1
Authority
WO
WIPO (PCT)
Prior art keywords
flows
workstations
protection
workstation
local network
Prior art date
Application number
PCT/FR2006/001389
Other languages
French (fr)
Inventor
Benoît DOLEZ
Willy Tarreau
Original Assignee
Exosec
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Exosec filed Critical Exosec
Publication of WO2006136692A1 publication Critical patent/WO2006136692A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Definitions

  • the present invention relates to a method for protecting an information system constituted around a local network. It also aims a protection system implementing this method.
  • the field of the invention is that of the protection of information systems and local computer networks particularly exposed to various threats such as the spread of worms and viruses.
  • Firewall Centralized firewall
  • New firewalls with multiple ports are emerging to achieve a compromise between filtering quality and performance, and allow the partitioning of user groups with little degradation in performance. performance while declining sacrificial areas on the network. As a result, the access to the servers remain efficient, but that the appearance of a worm in a zone can still make all the stations connected in the latter out of use. There are thus needs of internal security of the companies, in particular for the following reasons:
  • the user base is very difficult to maintain in a known and homogeneous state of software configuration, especially because of the high volume of weekly updates to be made, the increasing mobility of users, and the rapid obsolescence of the versions of software, the durability of which is far below the depreciation time of the equipment;
  • the object of the present invention is to achieve simultaneously these three objectives by proposing a method for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN).
  • this process comprises:
  • Static routing can be advantageously achieved by providing each workstation with a subnet mask and a routing table specifying for said workstation the equipment that is accessible to it.
  • the protection method according to the invention is preferably implemented within a DHCP server connected to the local network.
  • the subnet mask supplied to each workstation is for example a 32-bit subnet mask (255.255 .255.255).
  • An implementation of this protection method can also advantageously comprise, following an analysis of the information flows, a triggering of LAN protection actions and alerts, which can be initiated, for example, in response to detection of an exceeding of an anomaly threshold.
  • a system for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN), implementing the method according to the invention , characterized in that it comprises: means for at least partially blocking any peer-to-peer communication,
  • means for analyzing information flows within said local network arranged to identify critical flows, in particular flows between workstations and server equipment, said critical flows can then be transmitted without processing, and
  • This system includes for example, as locking means, analysis means and control means, a DHCP server connected to the local network and arranged to provide each workstation a configuration based on a mask subnet and static routes by IP address.
  • It may further comprise, as filtering means, a "firewall” type equipment, preferably disengageable, arranged to perform at least a partial filtering workstations between them.
  • a "firewall” type equipment preferably disengageable, arranged to perform at least a partial filtering workstations between them.
  • the method according to the invention thus implements the following concepts aimed at: • Take advantage of network distribution capabilities of workstations to force them to cross a centralized firewall for any communication requiring analysis, without modification of the network architecture; • exploit these configuration distribution capabilities to enable them to reach high-traffic services directly, without impacting performance;
  • the protection method according to the invention thus rests on the configuration of a more restrictive subnet IP mask than that applied to the local network on the network interfaces of the equipment attached to it, the optimum case being the subnet mask to 32 bits
  • This type of network configuration is never used because it goes against the principle of letting the workstations communicate as they wish on the network.
  • To configure this level of routing granularity on a computer using the MS Windows ® operating system either the configuration must be imposed by a DHCP server or the registry must be modified directly, which remains a delicate operation to be performed manually.
  • a DHCP server can provide workstations with a 32-bit subnet mask (255.255.255.255) so that the machine can not communicate without control over the network and then distribute each of the desired routes with DHCP options adequate.
  • For configurations with a static IP address the possibilities will be the same but the configuration methods will be specific to each system (ex: MS Windows registry, Unix configuration files).
  • the protection method according to the invention can be implemented without any change of architecture.
  • the physical architecture of the network is not modified by the implementation of the protection method according to the invention, all the critical flows can be identified and can be transmitted without processing (and without protocol control), the other flows are controlled and potentially stopped by the "firewall" equipment.
  • FIG. 1 illustrates a first example of implementation of the protection method according to the invention
  • FIG. 2 illustrates a second example of implementation of the protection method according to the invention
  • FIG. 3 illustrates a comparison of the possible communications as a function of the configured subnet mask
  • FIG. 4 illustrates various protection configurations provided by the method according to the invention.
  • a protection system S comprises a DHCP server 1 and a "firewall" type equipment 2 both connected to a local area network LAN of an information system SI comprising for example a plurality of workstations. Pl, ... PN and a file server 3. Direct communication between two workstations is inhibited and the corresponding Fl flows are controlled and filtered by the "firewall" 2.
  • the streams F of the stations P1,..., P N towards the file server 3 are not filtered, as schematically illustrates FIG. 2.
  • subnet mask 255.255.255.255 allows a total control of all the workstations of the information system, giving them a reduced vision of the network, while the mask
  • 255.255.255.0 provides a complete view of the network, as shown schematically in FIG.
  • the protection method according to the invention allows different configurations of protection of an information system, as illustrated in FIG. 4.
  • an information system SI comprising a first LAN LAN connected to the Internet via a firewall 21 and comprising several local subnets connected via a switch 4, and a second local area network LAN '.
  • a first protection server 11 has quarantined a workstation P1 that has been detected as infected and filters a second workstation P2 that communicates with servers S1, S2 via the switch 4.
  • a second protection server 12 blocks any direct communication between two workstations P3, P4.
  • a third protection server 13 blocks the flows between two workstations P5, P6 but allows to communicate the workstation P6 with an S3 file server.
  • the protection servers 11, 12, 13 are DHCP servers capable of providing a client configuration based on a 32-bit subnet mask (255.255.255.255) and local static routes by IP address.
  • Firewalls 21, 22 are firewall type (disengageable).
  • the protection servers 11, 12, 13 implement an analysis engine whose role is to trigger protection actions (against measures) and alerting when anomaly thresholds are exceeded: MAC filtering, IP filtering, service filtering, notification and host identification.
  • the boxes of the protection servers 11, 12, 13 are simply connected to the network with a static IP address. Then simply adapt the static routing configuration as needed:
  • DHCP machines will then be controlled by the integrated firewall for access to unidentified internal services
  • the invention is not limited to the examples that have just been described and many adjustments can be made to these examples without departing from the scope of the invention.
  • the protection system according to the invention can be deployed without difficulty in complex architecture information systems since it is sufficient to install as many protection servers as local subnets.

Abstract

The invention relates to a method for protecting an information system comprising a plurality of workstations and servers communicating via a local network (LAN). The inventive method consists in delivering a static routing to each workstation in such a way that any station-to-station communication is at least partially locked, in identifying a critical flux transmitted by said workstations, in particular the flux between the workstations and servers, wherein said critical fluxes are transmissible without processing, and in controlling other fluxes through filtering means.

Description

« Procédé et système pour protéger un système d'information constitué autour d'un réseau local » "Method and system for protecting an information system constituted around a local network"
La présente invention est relative à un procédé pour protéger un système d'information constitué autour d'un réseau local. Elle vise également un système de protection mettant en œuvre ce procédé.The present invention relates to a method for protecting an information system constituted around a local network. It also aims a protection system implementing this method.
Le domaine de l'invention est celui de la protection des systèmes d'information et des réseaux locaux informatiques particulièrement exposés à différentes menaces telles que la propagation de vers et de virus.The field of the invention is that of the protection of information systems and local computer networks particularly exposed to various threats such as the spread of worms and viruses.
Lorsqu'un poste de travail contaminé par un ver est connecté sur le réseau local d'une entreprise, la quasi-totalité des autres postes de travail se trouvent contaminés en l'espace de quelques secondes, et les coûts liés à leur réinstallation et au temps d'indisponibilité sont très élevés. Des solutions de type « pare-feu » (firewalls) pour postes de travail, ayant pour but de protéger contre ce fléau existent, mais sont très mal adaptées aux réseaux d'entreprise à cause de la diversité des flux à prendre en compte, et de la diversité des besoins utilisateurs qui rend la tâche de l'administrateur très compliquée surtout lorsqu'il s'agit de se déplacer sur les postes de travail pour adapter les configurations aux besoins quotidiens.When a worm-infected workstation is connected to a company's local network, almost all other workstations become contaminated within seconds, and the costs associated with their resettlement and Downtime is very high. Firewall solutions for workstations aiming to protect against this scourge exist, but are very poorly adapted to corporate networks because of the diversity of flows to be taken into account, and the diversity of user needs that makes the task of the administrator very complicated especially when it comes to move on the workstations to adapt the configurations to the daily needs.
Des solutions de type « pare-feu » (firewalls) centralisés mettant en oeuvre des la méthode des VLAN et permettent d'isoler chaque poste utilisateur dans un réseau dédié pour confiner les risques, mais la totalité des flux du réseau local de l'entreprise transitent à travers ce firewall qui devient un véritable goulot d'étranglement même sur de petits réseaux de quelques dizaines de postes et de quelques serveurs.Centralized firewall ("firewall") solutions that implement the VLAN method and isolate each user station in a dedicated network to contain the risks, but the entire network of the local network of the company transit through this firewall which becomes a real bottleneck even on small networks of a few dozen posts and some servers.
De nouveaux équipements de type « pare-feu » (firewalls) dotés de nombreux ports font leur apparition dans le but de réaliser un compromis entre la qualité du filtrage et les performances, et permettent de cloisonner des groupes de postes utilisateur avec une faible dégradation des performances tout en déclinant des zones sacrifiables sur le réseau. Il en résulte que les accès aux serveurs restent performants, mais que l'apparition d'un ver dans une zone peut tout de même rendre la totalité des postes connectés dans cette dernière hors d'usage. II existe ainsi des besoins de sécurité interne des entreprises, notamment pour les raisons suivantes :New firewalls with multiple ports are emerging to achieve a compromise between filtering quality and performance, and allow the partitioning of user groups with little degradation in performance. performance while declining sacrificial areas on the network. As a result, the access to the servers remain efficient, but that the appearance of a worm in a zone can still make all the stations connected in the latter out of use. There are thus needs of internal security of the companies, in particular for the following reasons:
- les vers circulent directement de poste à poste sur le réseau local alors que ces postes de travail n'ont jamais besoin de pouvoir communiquer en direct sauf en de très rares exceptions (ex: partages de fichiers, partages d'imprimantes,...) ;- the worms circulate directly from station to station on the local network whereas these workstations never need to be able to communicate directly except in very rare exceptions (ex: file sharing, printer sharing, ... );
- le parc de postes utilisateurs est très difficile à maintenir dans un état connu et homogène de configuration logicielle, surtout du fait du fort volume de mises à jour hebdomadaires à effectuer, de la mobilité croissante des utilisateurs, et de la rapide obsolescence des versions de logiciels, dont la pérennité est largement inférieure au temps d'amortissement du matériel ;- the user base is very difficult to maintain in a known and homogeneous state of software configuration, especially because of the high volume of weekly updates to be made, the increasing mobility of users, and the rapid obsolescence of the versions of software, the durability of which is far below the depreciation time of the equipment;
- les accès aux serveurs de fichiers et aux services internes, tels que la messagerie, doivent être les plus rapides et les plus fiables possibles, en particulier lors de l'arrivée massive des utilisateurs le matin.- Access to file servers and internal services, such as e-mail, must be as fast and reliable as possible, especially when the mass arrival of users in the morning.
Le but de la présente invention est d'atteindre simultanément ces trois objectifs en proposant un procédé pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN). Suivant l'invention, ce procédé comprend :The object of the present invention is to achieve simultaneously these three objectives by proposing a method for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN). According to the invention, this process comprises:
- une fourniture d'un routage statique pour chaque poste, de façon à effectuer un blocage partiel ou total de toute communication de poste à poste,a provision of a static routing for each station, so as to effect a partial or total blocking of any peer-to-peer communication,
- une identification, selon des critères prédéterminés, de flux issus desdits postes de travail, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux ainsi identifiés étant transmis sans traitements, etan identification, according to predetermined criteria, of flows originating from said workstations, in particular flows between workstations and server equipment, said flows thus identified being transmitted without processing, and
- un contrôle des autres flux à travers des moyens de filtrage.a control of the other flows through filtering means.
Le routage statique peut être avantageusement réalisé par la fourniture à chaque poste de travail d'un masque de sous-réseau et d'une table de routage spécifiant pour ledit poste de travail les équipements qui lui sont accessibles.Static routing can be advantageously achieved by providing each workstation with a subnet mask and a routing table specifying for said workstation the equipment that is accessible to it.
Le procédé de protection selon l'invention est de préférence implémenté au sein d'un serveur DHCP relié au réseau local. Lorsque le procédé selon l'invention est mis en œuvre dans un réseau local basé sur le protocole IP (Internet Protocol), le masque de sous-réseau fourni à chaque poste de travail est par exemple un masque de sous-réseau 32 bits (255.255.255.255). Une implémentation de ce procédé de protection peut en outre avantageusement comprendre, à la suite d'une analyse des flux d'information, un déclenchement d'actions de protection du réseau local et d'alertes, lesquelles peuvent être par exemple initiées en réponse à une détection d'un dépassement d' un seuil d'anomalie. Suivant un autre aspect de l'invention, il est proposé un système pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN) , mettant en œuvre le procédé selon l'invention, caractérisé en ce qu'il comprend : - des moyens pour bloquer au moins partiellement toute communication de poste à poste,The protection method according to the invention is preferably implemented within a DHCP server connected to the local network. When the method according to the invention is implemented in a local network based on the Internet Protocol (IP), the subnet mask supplied to each workstation is for example a 32-bit subnet mask (255.255 .255.255). An implementation of this protection method can also advantageously comprise, following an analysis of the information flows, a triggering of LAN protection actions and alerts, which can be initiated, for example, in response to detection of an exceeding of an anomaly threshold. According to another aspect of the invention, there is provided a system for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN), implementing the method according to the invention , characterized in that it comprises: means for at least partially blocking any peer-to-peer communication,
- des moyens pour analyser des flux d'information au sein dudit réseau local, agencés pour identifier des flux critiques, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux critiques pouvant ensuite être transmis sans traitements, etmeans for analyzing information flows within said local network, arranged to identify critical flows, in particular flows between workstations and server equipment, said critical flows can then be transmitted without processing, and
- des moyens pour contrôler tous les autres flux à travers des moyens de filtrage.means for controlling all the other flows through filtering means.
Ce système selon l'invention inclut par exemple, au titre des moyens de blocage, des moyens d'analyse et des moyens de contrôle, un serveur DHCP relié au réseau local et agencé pour fournir à chaque poste de travail une configuration reposant sur un masque de sous-réseau et des routes statiques par adresse IP.This system according to the invention includes for example, as locking means, analysis means and control means, a DHCP server connected to the local network and arranged to provide each workstation a configuration based on a mask subnet and static routes by IP address.
Il peut en outre comprendre, au titre des moyens de filtrage, un équipement de type « pare-feu » (firewall), de préférence débrayable, agencé pour effectuer un filtrage au moins partiel des postes de travail entre eux.It may further comprise, as filtering means, a "firewall" type equipment, preferably disengageable, arranged to perform at least a partial filtering workstations between them.
Le procédé selon l'invention met ainsi en œuvre les concepts suivants visant à : • exploiter les possibilités de distribution de configuration réseau des postes de travail pour les forcer à traverser un firewall centralisé pour toute communication nécessitant une analyse, et ceci sans modification de l'architecture réseau ; • exploiter ces possibilités de distribution de configuration pour leur permettre de joindre directement les services à fort trafic, donc sans impacter les performances ;The method according to the invention thus implements the following concepts aimed at: • Take advantage of network distribution capabilities of workstations to force them to cross a centralized firewall for any communication requiring analysis, without modification of the network architecture; • exploit these configuration distribution capabilities to enable them to reach high-traffic services directly, without impacting performance;
• Ne filtrer que le trafic résiduel à travers l'équipement « pare-feu » (firewall) (très faible voire nul), permettant de ne pas impacter les performances des flux soumis à analyse, et fournissant une détection très rapide d'anomalies avec très faible risque de faux positifs. Le procédé selon l'invention répond ainsi au besoin suivant :• Filter only the residual traffic through the "firewall" equipment (very low or zero), so as not to impact the performance of the flows submitted to analysis, and providing a very rapid detection of anomalies with very low risk of false positives. The method according to the invention thus meets the following need:
• confiner tout trafic IP potentiellement dangereux en segmentant le réseau à sa plus faible granularité à savoir, le poste de travail,• confine any potentially dangerous IP traffic by segmenting the network to its lowest granularity ie, the workstation,
• dans le cas d'anomalies détectées, bloquer partiellement ou totalement le poste source du trafic suspect et alerter l'administrateur.• In the case of anomalies detected, partially or totally block the source station of suspicious traffic and alert the administrator.
Le procédé de protection selon l'invention repose ainsi sur la configuration d'un masque IP de sous réseau plus restrictif que celui appliqué au réseau local sur les interfaces réseau des équipements qui lui sont rattachés, le cas optimal étant le masque de sous réseau à 32 bitsThe protection method according to the invention thus rests on the configuration of a more restrictive subnet IP mask than that applied to the local network on the network interfaces of the equipment attached to it, the optimum case being the subnet mask to 32 bits
(255.255.255.255) qui permet de limiter les possibilités de connexion de ces derniers à eux-mêmes. Ensuite, en utilisant la table de routage, il est possible de spécifier avec la précision de l'adresse IP, les différentes machines qui lui seront accessibles sur le réseau, la passerelle par défaut représentant ainsi le premier point de contrôle pour tous les flux routés.(255.255.255.255) which limits the possibilities of connection of the latter to themselves. Then, using the routing table, it is possible to specify with the precision of the IP address, the different machines that will be accessible to it on the network, the default gateway thus representing the first control point for all the routed flows .
Ce type de configuration réseau n'est jamais utilisé car il va à rencontre du principe qui consiste à laisser les postes de travail communiquer comme ils le souhaitent sur le réseau. Pour configurer ce niveau de granularité du routage sur un poste utilisant le système d'exploitation MS Windows®, il faut soit imposer la configuration par un serveur DHCP, soit modifier directement la base de registre ce qui reste une opération délicate à réaliser manuellement. Un serveur DHCP peut fournir aux postes de travail un masque de sous réseau à 32 bits (255.255.255.255) de manière à ne pas permettre à la machine de communiquer sans contrôle sur le réseau et ensuite de distribuer chacune des routes souhaitées avec les options DHCP adéquates. Pour les configurations disposant d'une adresse IP statique, les possibilités seront identiques mais les méthodes de configuration seront propres à chaque système (ex : base de registre de MS Windows, fichiers de configuration sous Unix).This type of network configuration is never used because it goes against the principle of letting the workstations communicate as they wish on the network. To configure this level of routing granularity on a computer using the MS Windows ® operating system, either the configuration must be imposed by a DHCP server or the registry must be modified directly, which remains a delicate operation to be performed manually. A DHCP server can provide workstations with a 32-bit subnet mask (255.255.255.255) so that the machine can not communicate without control over the network and then distribute each of the desired routes with DHCP options adequate. For configurations with a static IP address, the possibilities will be the same but the configuration methods will be specific to each system (ex: MS Windows registry, Unix configuration files).
Le procédé de protection selon l'invention peut être mis en œuvre sans aucun changement d'architecture.The protection method according to the invention can be implemented without any change of architecture.
L'architecture physique du réseau n'est pas modifiée par la mise en œuvre du procédé de protection selon l'invention, tous les flux critiques peuvent être identifiés et peuvent être transmis sans traitements (et sans contrôle protocolaire), les autres flux sont contrôlés et potentiellement stoppés par l'équipement « pare-feu » (firewall).The physical architecture of the network is not modified by the implementation of the protection method according to the invention, all the critical flows can be identified and can be transmitted without processing (and without protocol control), the other flows are controlled and potentially stopped by the "firewall" equipment.
D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en œuvre nullement limitatif, et des dessins annexés sur lesquels :Other advantages and features of the invention will appear on examining the detailed description of a non-limiting embodiment, and the attached drawings in which:
- la figure 1 illustre un premier exemple de mise en œuvre du procédé de protection selon l'invention ;FIG. 1 illustrates a first example of implementation of the protection method according to the invention;
- la figure 2 illustre un second exemple de mise en œuvre du procédé de protection selon l'invention ;FIG. 2 illustrates a second example of implementation of the protection method according to the invention;
- la figure 3 illustre une comparaison des communications possibles en fonction du masque de sous-réseau configuré ; et - la figure 4 illustre différentes configurations de protection procurées par le procédé selon l'invention.FIG. 3 illustrates a comparison of the possible communications as a function of the configured subnet mask; and FIG. 4 illustrates various protection configurations provided by the method according to the invention.
On va maintenant décrire, en référence aux figures précitées, le principe de fonctionnement du procédé de protection selon l'invention, ainsi qu'un exemple de mise en œuvre d'un système de protection selon l'invention, dans un système d'information installé sur deux sites distincts.We will now describe, with reference to the above figures, the operating principle of the protection method according to the invention, as well as an example of implementation of a protection system according to the invention, in an information system. installed on two separate sites.
Un système de protection S selon l'invention comprend un serveur DHCP 1 et un équipement de type « pare-feu » 2 tous deux connectés sur un réseau local LAN d'un système d'information SI comprenant par exemple une pluralité de postes de travail Pl,...PN et un serveur de fichiers 3. Les communications directes entre deux postes de travail sont inhibées et les flux Fl correspondants sont contrôlés et filtrés par le « pare- feu » 2.A protection system S according to the invention comprises a DHCP server 1 and a "firewall" type equipment 2 both connected to a local area network LAN of an information system SI comprising for example a plurality of workstations. Pl, ... PN and a file server 3. Direct communication between two workstations is inhibited and the corresponding Fl flows are controlled and filtered by the "firewall" 2.
En revanche, les flux F des postes Pl,..., PN vers le serveur de fichier 3 ne sont pas filtrés, comme l'illustre schématiquement la figure 2.On the other hand, the streams F of the stations P1,..., P N towards the file server 3 are not filtered, as schematically illustrates FIG. 2.
L'utilisation du masque de sous-réseau 255.255.255.255 permet un contrôle total de l'ensemble des postes de travail du système d'information, en leur procurant qu'une vision réduite du réseau, alors que le masqueThe use of the subnet mask 255.255.255.255 allows a total control of all the workstations of the information system, giving them a reduced vision of the network, while the mask
255.255.255.0 procure au contraire une vision complète du réseau, comme l'illustre schématiquement la figure 3.On the contrary, 255.255.255.0 provides a complete view of the network, as shown schematically in FIG.
Le procédé de protection selon l'invention permet différentes configurations de protection d'un système d'information, comme l'illustre la figure 4. On considère par exemple un système d'information SI comprenant un premier réseau local LAN connecté à Internet via un pare- feu 21 et comprenant plusieurs sous-réseaux locaux reliés via un commutateur 4, et un second réseau local LAN'.The protection method according to the invention allows different configurations of protection of an information system, as illustrated in FIG. 4. For example, an information system SI comprising a first LAN LAN connected to the Internet via a firewall 21 and comprising several local subnets connected via a switch 4, and a second local area network LAN '.
Dans un premier sous-réseau, un premier serveur de protection 11 a mis en quarantaine un poste de travail Pl qui a été détecté comme infecté et filtre un second poste de travail P2 qui communique avec des serveurs Sl, S2 via le commutateur 4.In a first subnet, a first protection server 11 has quarantined a workstation P1 that has been detected as infected and filters a second workstation P2 that communicates with servers S1, S2 via the switch 4.
Dans un second sous-réseau, un second serveur de protection 12 bloque toute communication directe entre deux postes de travail P3, P4.In a second subnet, a second protection server 12 blocks any direct communication between two workstations P3, P4.
Dans le second réseau local LAN' du système d'information SI connecté à Internet via un second pare-feu 22, un troisième serveur de protection 13 bloque les flux entre deux postes de travail P5, P6 mais laisse communiquer le poste de travail P6 avec un serveur de fichier S3.In the second local area network LAN 'of the information system SI connected to the Internet via a second firewall 22, a third protection server 13 blocks the flows between two workstations P5, P6 but allows to communicate the workstation P6 with an S3 file server.
Les serveurs de protection 11, 12, 13 sont des serveurs DHCP capables de fournir une configuration cliente reposant sur un masque de sous-réseau à 32 bits (255.255.255.255) et des routes statiques locales par adresse IP.The protection servers 11, 12, 13 are DHCP servers capable of providing a client configuration based on a 32-bit subnet mask (255.255.255.255) and local static routes by IP address.
Les pare-feu 21, 22 sont de type « firewall » (débrayable).Firewalls 21, 22 are firewall type (disengageable).
Les serveurs de protection 11, 12, 13 implémentent un moteur d'analyse dont le rôle est de déclencher des actions de protection (contre mesures) et d'alerte lors d'un dépassement de seuils d'anomalie : filtrage MAC, filtrage IP, filtrage du service, notification et identification d'hôte.The protection servers 11, 12, 13 implement an analysis engine whose role is to trigger protection actions (against measures) and alerting when anomaly thresholds are exceeded: MAC filtering, IP filtering, service filtering, notification and host identification.
Les boîtiers des serveurs de protection 11, 12, 13 sont simplement connectés sur le réseau avec une adresse IP statique. Il suffit ensuite d'adapter la configuration de routage statique en fonction du besoin :The boxes of the protection servers 11, 12, 13 are simply connected to the network with a static IP address. Then simply adapt the static routing configuration as needed:
- si un serveur DHCP était déjà présent : désactivation de l'ancien serveur, activation du serveur DHCP intégré avec les mêmes paramètres que l'ancien, identification des serveurs principaux accessibles directement, activation de la configuration DHCP en conséquence; les machines en DHCP seront alors contrôlées par le pare-feu (firewall) intégré pour les accès à des services internes encore non identifiés,- if a DHCP server was already present: deactivation of the old server, activation of the integrated DHCP server with the same parameters as the old one, identification of the main servers accessible directly, activation of the DHCP configuration accordingly; the DHCP machines will then be controlled by the integrated firewall for access to unidentified internal services,
- identification des services indirects et création des filtres en conséquence sur le pare-feu (firewall) intégré, mise en place du système de notification, mise en place du système de protection.- identification of indirect services and creation of filters accordingly on the integrated firewall, implementation of the notification system, implementation of the protection system.
Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention. En particulier, le système de protection selon l'invention peut être déployé sans difficulté dans des systèmes d'information d'architecture complexe puisqu'il suffit d'installer autant de serveurs de protection que de sous-réseaux locaux. Of course, the invention is not limited to the examples that have just been described and many adjustments can be made to these examples without departing from the scope of the invention. In particular, the protection system according to the invention can be deployed without difficulty in complex architecture information systems since it is sufficient to install as many protection servers as local subnets.

Claims

REVENDICATIONS
1. Procédé pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN) , caractérisé en ce qu'il comprend : une fourniture d'un routage statique pour chaque poste, de façon à effectuer un blocage au moins partiel de toute communication de poste à poste, une identification, selon des critères prédéterminés, de flux issus desdits postes de travail, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux pouvant être transmis sans traitements, et un contrôle des autres flux à travers des moyens de filtrage.A method for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN), characterized in that it comprises: providing a static routing for each station, so as to block at least part of any peer-to-peer communication, an identification, according to predetermined criteria, of flows from said workstations, including flows between workstations and server equipment, said flows can be transmitted without treatments, and control of other flows through filtering means.
2. Procédé selon la revendication 1, caractérisé en ce que le routage statique est réalisé par la fourniture à chaque poste de travail d'un masque de sous-réseau et d'une table de routage spécifiant pour ledit poste de travail les équipements qui lui sont accessibles.2. Method according to claim 1, characterized in that the static routing is achieved by providing each workstation with a subnet mask and a routing table specifying for said workstation the equipment that it are accessible.
3. Procédé selon la revendication 2, caractérisé en ce qu'il est implémenté au sein d'un serveur DHCP relié au réseau local.3. Method according to claim 2, characterized in that it is implemented within a DHCP server connected to the local network.
4. Procédé selon la revendication 3, mis en œuvre dans un réseau local dont les postes de travail communiquent grâce au protocole IP, caractérisé en ce que le masque de sous-réseau fourni à chaque poste de travail est un masque de sous-réseau 32 bits (255.255.255.255).4. Method according to claim 3, implemented in a local area network whose workstations communicate using the IP protocol, characterized in that the subnet mask provided to each workstation is a subnet mask 32. bits (255.255.255.255).
5. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comprend en outre, à la suite d'une analyse des flux d'information, un déclenchement d'actions de protection du réseau local et d'alerte.5. Method according to one of the preceding claims, characterized in that it further comprises, following an analysis of information flows, a trigger actions of protection of the local network and alert.
6. Procédé selon la revendication 5, caractérisé en ce que les actions de protection et d'alerte sont initiées en réponse à une détection d'un dépassement d'au moins un seuil d'anomalie. 6. Method according to claim 5, characterized in that the protection and alert actions are initiated in response to a detection of an exceeding of at least one anomaly threshold.
7. Procédé selon l'une des revendications 5 ou 6, caractérisé en ce qu'il comprend en outre, au titre des actions de protection, une mise en quarantaine d'un poste de travail par envoi d'une configuration de blocage via le masque de sous-réseau,7. Method according to one of claims 5 or 6, characterized in that it further comprises, as protection actions, a quarantine of a workstation by sending a blocking configuration via the subnet mask,
8. Système pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN) , mettant en œuvre le procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend :8. System for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN), implementing the method according to any one of the preceding claims, characterized in that includes:
- des moyens pour bloquer tout ou partie des communications de poste à poste,means for blocking all or part of the peer-to-peer communications,
- des moyens pour analyser des flux d'information au sein dudit réseau local, agencés pour identifier des flux critiques, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux critiques pouvant être ensuite transmis sans traitements, etmeans for analyzing information flows within said local network, arranged to identify critical flows, in particular flows between workstations and server equipments, said critical flows can then be transmitted without processing, and
- des moyens pour contrôler tous les autres flux à travers des moyens de filtrage.means for controlling all the other flows through filtering means.
9. Système de protection selon la revendication 8, caractérisé en ce qu'il inclut, au titre des moyens de blocage, des moyens d'analyse et des moyens de contrôle, un serveur DHCP relié au réseau local et agencé pour fournir à chaque poste de travail une configuration reposant sur un masque de sous-réseau et des routes statiques par adresse IP.9. Protection system according to claim 8, characterized in that it includes, as locking means, analysis means and control means, a DHCP server connected to the local network and arranged to provide each station a configuration based on a subnet mask and static routes by IP address.
10. Système de protection selon l'une des revendications 8 ou 9, caractérisé en ce qu'il comprend en outre, au titre des moyens de filtrage, un équipement de type « pare-feu » (firewall), agencé pour effectuer un filtrage au moins partiel des postes de travail entre eux.10. Protection system according to one of claims 8 or 9, characterized in that it further comprises, under the filtering means, a type of equipment "firewall" (firewall), arranged to perform a filtering at least some of the workstations between them.
11. Système de protection selon la revendication 10, caractérisé en ce que l'équipement pare-feu est de type débrayable. 11. Protection system according to claim 10, characterized in that the fireproof equipment is of the type disengageable.
PCT/FR2006/001389 2005-06-21 2006-06-20 Method and system for protecting an information system formed around a local network WO2006136692A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0506259A FR2887384B1 (en) 2005-06-21 2005-06-21 "METHOD AND SYSTEM FOR PROTECTING AN INFORMATION SYSTEM CONSISTING OF A LOCAL NETWORK"
FR0506259 2005-06-21

Publications (1)

Publication Number Publication Date
WO2006136692A1 true WO2006136692A1 (en) 2006-12-28

Family

ID=35645745

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/001389 WO2006136692A1 (en) 2005-06-21 2006-06-20 Method and system for protecting an information system formed around a local network

Country Status (2)

Country Link
FR (1) FR2887384B1 (en)
WO (1) WO2006136692A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107961A1 (en) * 2001-02-07 2002-08-08 Naoya Kinoshita Secure internet communication system
US20040039827A1 (en) * 2001-11-02 2004-02-26 Neoteris, Inc. Method and system for providing secure access to private networks with client redirection
US20050071493A1 (en) * 2003-09-30 2005-03-31 Sheng Lee SNMP packet filtering for printing devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107961A1 (en) * 2001-02-07 2002-08-08 Naoya Kinoshita Secure internet communication system
US20040039827A1 (en) * 2001-11-02 2004-02-26 Neoteris, Inc. Method and system for providing secure access to private networks with client redirection
US20050071493A1 (en) * 2003-09-30 2005-03-31 Sheng Lee SNMP packet filtering for printing devices

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HUNT R: "Internet/Intranet firewall security-policy, architecture and transaction services", COMPUTER COMMUNICATIONS, BUTTERWORTHS & CO. PUBLISHERS LTD, GB, vol. 21, no. 13, 1 September 1998 (1998-09-01), pages 1107 - 1123, XP004146571, ISSN: 0140-3664 *

Also Published As

Publication number Publication date
FR2887384B1 (en) 2007-08-31
FR2887384A1 (en) 2006-12-22

Similar Documents

Publication Publication Date Title
US7730536B2 (en) Security perimeters
US9282111B1 (en) Application-based network traffic redirection for cloud security service
EP1817685B1 (en) Intrusion detection in a data center environment
US7359962B2 (en) Network security system integration
WO2019090153A1 (en) Cloud-based multi-function firewall and zero trust private virtual network
WO2006010866A1 (en) System and method for securing computer stations and/or communication networks
Nam et al. {BASTION}: A security enforcement network stack for container networks
CA2511997A1 (en) Mitigating denial of service attacks
US20210014198A1 (en) Network security system and method with multilayer filtering
CN111385326B (en) Rail transit communication system
FR2852754A1 (en) Data transmission system, has fire wall, router and probe detecting abnormal operating conditions based on pre-set system operation, and sending messages to network security manager to activate filtering actions on message reception
WO2003050644A2 (en) Protecting against malicious traffic
EP3533202B1 (en) Dynamic and interactive control of a residential gateway connected to a communication network
EP1461704B1 (en) Protecting against malicious traffic
WO2020183100A1 (en) Mitigating computer attacks
WO2006136692A1 (en) Method and system for protecting an information system formed around a local network
Renals et al. Blocking skype through deep packet inspection
JP2006067078A (en) Network system and attack defense method
EP1672849A1 (en) Method for using a LAN connected to a remote private network via an IPsec tunnel
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system
Fleck et al. Wireless access points and arp poisoning
Bossardt et al. Enhanced Internet security by a distributed traffic control service based on traffic ownership
Kabila Network Based Intrusion Detection and Prevention Systems in IP-Level Security Protocols
McPherson BGP Security Techniques
FR3135335A1 (en) METHOD FOR ANALYZING THE IT RISK OF A NETWORK OF INTEREST LINKED TO EXCHANGES WITH AT LEAST ONE THIRD PARTY NETWORK

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06778620

Country of ref document: EP

Kind code of ref document: A1