EP1723773A2 - Procede de traitement d'un flux de donnees traversant un dispositif place en coupure sur un reseau informatique - Google Patents

Procede de traitement d'un flux de donnees traversant un dispositif place en coupure sur un reseau informatique

Info

Publication number
EP1723773A2
EP1723773A2 EP05739719A EP05739719A EP1723773A2 EP 1723773 A2 EP1723773 A2 EP 1723773A2 EP 05739719 A EP05739719 A EP 05739719A EP 05739719 A EP05739719 A EP 05739719A EP 1723773 A2 EP1723773 A2 EP 1723773A2
Authority
EP
European Patent Office
Prior art keywords
modules
analysis
data flow
data
application layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP05739719A
Other languages
German (de)
English (en)
Inventor
Cécile BUCARI
Rodolphe Hugel
Olivier Schott
Nicolas Stehle
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Everbee Networks SA
Original Assignee
Everbee Networks SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Everbee Networks SA filed Critical Everbee Networks SA
Publication of EP1723773A2 publication Critical patent/EP1723773A2/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Definitions

  • the present invention relates to a method and a system for the processing of a data flow passing through a device placed in interruption on a computer network.
  • PRIOR ART The security of computer networks is becoming increasingly necessary and important both for businesses and for individuals. Indeed, the rapid development of the Internet multiplies the fields of application and use of computer networks, thereby increasing the importance of the data exchanged and stored. Although having many advantages, the massive democratization of the Internet, due to its popularity, inevitably leads to a phenomenon of computer crime, growing like the strategic challenges of the network of networks. Thus the interconnection of corporate networks, home networks and the Internet leads to a growing need for security to protect, not only from all existing attacks but also from future attacks which are developing extremely rapidly.
  • the IP layer makes it possible, among other things, to uniquely identify a computerized system thanks to a "network" address (IP address) and the TCP layer makes it possible, among other things, to identify the recipient or sending application of the data within the computerized system thanks to a “system” address (TCP port).
  • IP address IP address
  • TCP port a “system” address
  • the quadruplet IP address of the sending system, TCP port of the sending application, IP address of the receiving system, TCP port of the receiving application totally defines a network communication link. Therefore, it becomes possible to authorize or prohibit network communications according to certain criteria related to IP addresses and TCP ports.
  • IANA Internet Assigned Nu bers Authority
  • the IANA recommends a given port for each application wishing to provide a particular service ("Web" server or email, for example).
  • Web Web
  • email Electronic messages
  • e-mail Electronic messages
  • These conventions • have made it possible to standardize access to Internet services and therefore to speed up their implementation by developers and their adoption by users.
  • chat software commonly called "chats”
  • chats chat software
  • the invention relates to a method for processing a data flow passing through a device cut off in a computer network.
  • the process includes: - an analysis step, consisting, for the device, of recognizing and analyzing simultaneously, in accordance with a security policy, an application protocol structuring an application layer of the data flow, - a modification step, consisting, for the device to modify, according to the security policy and the results of the analysis step, at least part of the application layer contained in the data flow.
  • the analysis and modification steps include: - the sub-step, for the device to implement software, associated with modules, and applying the security policy, - the sub-step of selecting modules determined among the modules, in accordance with the security policy.
  • the modules carry out at least one of the following actions to decode, code, decrypt, encrypt, decompress, compress, on at least part of the data of the application layer contained in the data stream.
  • the modules carry out the analysis step by means of a verification of compliance of the application layer with at least one grammar.
  • the modules carry out the analysis step and / or the modification step on at least part of the data of the application layer contained in the data flow.
  • the modules carry out the analysis step and / or the modification step on the entirety of the data of the application layer contained in the data flow.
  • the method further comprises: the step for the modules to communicate with each other, - the step for the modules to communicate with the software.
  • the method further comprises: - the step of replacing at least part of the application protocol with another application protocol.
  • the method further comprises: the step of prioritize the modules in order to minimize the IT resources, in particular the memory space and the computation time, necessary for processing the data flow.
  • System The invention also relates to a system for processing a data flow passing through a device cut off in a computer network.
  • the device comprises: analysis means carrying out an analysis making it possible to recognize and analyze simultaneously, in accordance with a security policy, an application protocol structuring an application layer of the data flow, - computer processing means making it possible to carry out at at least one modification as a function of said security policy and of the results of said analysis, of at least part of the application layer contained in the data flow.
  • the analysis means and the computer processing means implementing software, associated with modules, make it possible: - to apply the security policy, - to select determined modules from among the modules , in accordance with the security policy.
  • the modules make it possible to carry out at least one of the following actions: decode, code, decipher, encrypt, decompress, compress, at least part of the data of the application layer contained in the data flow.
  • the modules make it possible to carry out the analysis by means of a verification of compliance of the application layer with at least one grammar.
  • the modules perform the analysis and / or the modification on at least part of the data of the application layer contained in the data flow.
  • the modules perform the analysis and / or the modification on the entirety of the data of the application layer contained in the data flow.
  • the modules have means of communication allowing the modules to communicate with each other and with the software.
  • the computer processing means also make it possible to replace at least part of the application protocol by another application protocol.
  • the computer processing means and / or the analysis means also make it possible to establish a hierarchy of modules in order to minimize the computer resources, in particular the memory space and the computation time, necessary. processing the data flow.
  • the invention relates to a device cut off in a computer network and used to recognize and analyze all of the application data of a network data flow. The cut-off device is intended to process all of the data passing through it.
  • the processing carried out consists in analyzing this data and, according to the results of this analysis, in modifying it, in particular at the application level. These treatments can go as far as a complete modification of the application protocol on the data flow.
  • the system is capable of interpreting a security policy and of organizing all of the research so as to optimize its performance. He can modify the data flow according to this security policy.
  • the device is capable of modifying the content of the application data and, if necessary, of changing the entire application protocol transiting on the flow.
  • the system, object of the present invention makes it possible to perfectly realize all the functionalities of the method described above. In order to better understand the invention, various examples will be described.
  • FIG. 1 represents the general diagram of the device as well as its interconnection in a computer network.
  • the device D is placed in the cut-off of any computer R network: it can be the Internet, an Intranet network, a home network or even only two stations linked together. By cutting is meant the physical separation of the network R into two subnetworks linked together using the device D.
  • R network can be the Internet, an Intranet network, a home network or even only two stations linked together.
  • cutting is meant the physical separation of the network R into two subnetworks linked together using the device D.
  • all the data flow FD passing from one subnetwork to the other subnetwork must pass through the device D.
  • the device D makes it possible to analyze in detail the application flow passing over the network.
  • Level 7 Application layer Level 6: Presentation layer Level 5: Session layer Level 4: Transport layer Level 3: Network layer Level 2: Data link layer Level 1: Physical layer
  • Application protocols which allow applications to understand the flow of data.
  • PA application protocols There are many PA application protocols and the challenge for device D is to be able to recognize them.
  • the analysis of the device D is controlled by a security policy PS with which it is in permanent communication through software L implemented by the computer processing means MTI, software L which orchestrates all of the functions of the device .
  • the device D may or may not deepen its analysis depending on what the security policy PS requests.
  • This security policy can either be in the device itself or be remote, this does not limit the scope of our invention.
  • the device makes it possible to apply an extremely fine security policy PS, authorizing or prohibiting for each user of the device D, the use of a defined network application. We can therefore differentiate access to the Internet for simple searches with a web browser and access to the Internet for file sharing, even if the port of the two services is the same.
  • the IT processing means MTI and the analysis means MA implementing the software L, select detection modules M and application protocol analysis.
  • These modules M execute their task inside the device D and are controlled by the device itself by means of the software L.
  • These modules can be an integral part of the device or else be deported outside the device D, in such a In this case, the device D requires access to all of the modules M that it has available in order to be able to download and execute them.
  • the M modules are responsible for recognizing and analyzing the protocol, which operate simultaneously, in order to deduce each of the elements that constitute it.
  • the mechanism for recognizing and analyzing the components of the application protocol can be carried out through a search for compliance with a grammar.
  • the L software can prioritize the different modules selected in order to optimize the processing.
  • the M modules are complementary in the recognition and detection of application protocols because these are very often nested within one another as shown in the following example:
  • HTTP HyperText Transfer Protocol
  • This application protocol makes it possible to request files (texts, images, sounds or HTML documents).
  • the device will analyze the application layer of the data flow to deduce the application protocol (HTTP) and understand all of the application data of the protocol. Thus it will know the address of the requested document and the different options relating to this request (HTTP protocol, RFC 2616).
  • the device may request an additional analysis, but the HTTP protocol detection and analysis module will not be able to continue the analysis of the requested file. According to the file, other specialized modules will have to be called.
  • HTML page a classic page of an Internet site
  • the document is made up of several entities: text formatted using HTML language, the latter language itself calling upon more advanced languages to allow you to create dynamic pages using languages like Java Script or using style sheets.
  • the device will therefore be able to prioritize the “http”, “HTML”, “Java Script” and “Style sheet” modules.
  • the "http” module can call the "HTML” module which can in turn call the "Java Script” and “Style sheet” modules.
  • All the results of the modules M are communicated to the software L which can, depending on the security policy PS, take the actions necessary for securing the flow. Likewise, the modules can communicate with each other, this making it possible to share all of the information relating to the flow, thus facilitating the various searches and analyzes.
  • the ens' emblem dice communications between modules and software L is bidirectional, that is to say, when a command is sent, the response can either be received immediately because the information is already available, is received more late once the necessary action has been taken.
  • communications can be managed by an interrupt system, to allow in critical cases to speed up the transmission of information.
  • the communication system by status, that is to say by requesting the status of the different information (available or not), remains available.
  • the communications can be of different natures, it can be the activation of a module M on a part of the flow, the request for information to one of the modules on the analysis in progress or a request for action on the flux. Indeed, the M modules are capable of acting on the flow and are even the main actors in modifying the flow.
  • the M modules simultaneously record during the recognition and analysis stage, the location of each element of the protocol and are therefore able to access this information very quickly, whether for consultation or for modification.
  • the modules therefore offer the software L, in addition to the detection of the protocols, functions for accessing the information of the recognized protocol, as well as functions for modifying the elements of the protocol.
  • the protocol modification functions are divided into two families; the first allows the modification of the content of each field making up the protocol, for example one can change in an HTTP request for a Web page the address of the desired site and thus change ww. prohibited.corn in ww. authorized.
  • the second family makes it possible to add, modify or delete protocol fields, we can therefore for example delete options that are considered to be dangerous (in the case of http all user data, often given as options, which allow to know the software used by the user as well as all the pages visited!), or add additional options to the protocol to better define the limits of the application that we are trying to protect.
  • the functionality of the M modules is, however, even more extensive. Indeed many protocols are compressed, or coded or even encrypted. There are therefore modules M dedicated to the management of these particular cases which decode, decrypt and decompress the data of the application flow.
  • the ZIP compression / decompression module will call depending on the files present in the archive of analysis modules for executable files, or for Scripts files or image files; when all of the modules called by the compression / decompression module have finished their tasks, the compression / decompression module can recompress the flow taking into account the modifications made to the decompressed flow. All of the treatments described above are performed on the entire flow. However, the security policy can decide to stop processing and protocol recognition on a connection in progress, if it has rules certifying it that the connection does not require additional analysis. The software L can therefore activate or deactivate each of the modules M dynamically throughout the flow.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Abstract

L'invention concerne un dispositif placé en coupure dans un réseau informatique et destiné à traiter l'ensemble des données qui transitent par lui. Les traitements effectués consistent à analyser ces données et, en fonction des résultats de cette analyse, à les modifier, notamment au niveau applicatif. Ces traitements peuvent aller jusqu'à une modification complète du protocole applicatif sur le flux de données. En outre, le dispositif est capable d'interpréter une politique de sécurité et de modifier le flux de données en fonction de cette politique de sécurité. De plus, il peut organiser l'ensemble des recherches de manière à en optimiser les performances.

Description

PROCEDE DE TRAITEMENT D'UN FLUX DE DONNEES TRAVERSANT UN DISPOSITIF PLACE EN COUPURE SUR UN RESEAU INFORMATIQUE
Préambule de la description Domaine concerné, problème posé La présente invention concerne un procédé et un système pour le traitement d'un flux de données traversant un dispositif placé en coupure sur un réseau informatique. Art antérieur La sécurité des réseaux informatique devient de plus en plus nécessaire et importante aussi bien pour les entreprises que pour les particuliers. En effet, le développement rapide de l'Internet multiplie les champs d'application et d'utilisation des réseaux informatiques, accroissant par là même l'importance des données échangées et stockées. Bien que présentant nombre d'avantages, la démocratisation massive de l'Internet, due à sa popularité, entraîne inévitablement un phénomène de criminalité informatique, grandissant à l'instar des enjeux stratégiques du réseau des réseaux. Ainsi l'interconnexion des réseaux d'entreprises, des réseaux domestiques et de l'Internet conduit à un besoin croissant de sécurité pour se prémunir, non seulement de l'ensemble des attaques existantes mais également des attaques futures qui se développent extrêmement rapidement.
Les menaces pesant aussi bien sur les particuliers que sur les entreprises sont légions, parmi elles citons l'endommagement des systèmes informatisés, le vol d'informations confidentielles ou privées, l'usurpation d'identité à des fins illégales, les attaques visant au déni de services et l'espionnage industriel. Les solutions de sécurité se sont développées autour des problèmes liés aux interconnections de réseaux, essentiellement entre les réseaux d'entreprises et l'Internet. Ces solutions proposent d'autoriser ou d'interdire le cheminement du trafic réseau les traversant en s'appuyant en premier lieu sur des règles de filtrage de ce trafic. Les règles sont basées sur l'architecture des réseaux actuels, qui suivent le modèle OSI (Cpen Systems Interconnection, ISO/IEC 7498-1 : 1994) et plus particulièrement l'une de ses implémeritations : TCP/IP (Transmission Control Protocol/Internet Protocol, RFC 791 et 793) . Ce sont les couches réseau (IP) et transport (TCP) qui sont analysées le plus souvent dans les solutions de sécurité. En effet, dans un réseau suivant l'architecture TCP/IP, la couche IP permet entre autre d' identifier de manière unique un système informatisé grâce à une adresse « réseau » (adresse IP) et la couche TCP permet entre autre d'identifier l'application destinataire ou émettrice des données au sein du système informatisé grâce à une adresse « système » (port TCP) . Ainsi, le quadruplet adresse IP du système émetteur, port TCP de l'application émettrice, adresse IP du système récepteur, port TCP de l'application réceptrice définit totalement un lien de communication réseau. Dès lors, il devient possible d'autoriser ou d'interdire les communications réseau en fonction de certains critères liés aux adresses IP et aux ports TCP. Afin de normaliser l'accès aux services les plus utilisés (comme le service Web ou le service de messagerie électronique), l'autorité officielle nommée IANA (Internet Assigned Nu bers Authority) est chargée de définir et de maintenir une liste des ports connus utilisés pour certains services réseau. Ainsi, l'IANA recommande un port donné pour chaque application désireuse de rendre un service particulier (serveur « Web » ou courriel, par exemple) . Par exemple, la consultation de page Web s'effectue en contactant un serveur Web émettant et recevant ses données sur le « port HTTP 80 ». L'émission de messages électroniques (courriel) s'effectue en contactant un « serveur mail » émettant et recevant ses données sur le « port 25 ». Ces conventions • ont permis de normaliser l'accès aux services Internet et donc d'accélérer leur i plémentation par les développeurs et leur adoption par les utilisateurs. Les systèmes actuels d'écluses (communément appelées "firewall" dans le jargon informaticien : IEEE COMMUNICATIONS MAGAZINE., Vol. 32 N°9 September 1994, page 50 à 57, S.M. BELLOVIN ET AL "NETWORK FIREWALLS') permettent, conformément à une politique de sécurité composée de règles de filtrage, d'autoriser ou non l'accès à certains services réseau en fondant leur décision sur les numéros de port TCP. Cependant même si l'IANA est chargé de l'assignation des ports, les conventions qu'elle fixe ne restent que des recommandations : rien n'empêche les développeurs d'applications d'utiliser des ports référencés par l'IANA pour d'autres applications que celles pour lesquelles elles avaient été référencées. Il apparaît même un phénomène plus frauduleux qui consiste à utiliser les ports de services très utilisés comme le « port HTTP 80 » ou les ports de messagerie électronique. Ces services sont les plus utilisés sur le Web en entreprise, car ils permettent la communication par courriel et la recherche d'informations sur l'ensemble du réseau Internet. Afin d'autoriser l'accès à ces services, l'écluse doit être configurée pour laisser passer tous les flux de communication à destination des ports usuels. Il est alors tentant pour un éditeur de logiciels grand public, désireux d'être adopté par un maximum de personnes, de passer par ces ports usuels ouverts sur presque toutes les écluses du monde, et ce, afin d'être le moins possible limité par les logiciels de sécurité réseau tels que les écluses. On peut entre autre citer les logiciels de discussion (communément appelés « chats ») ou autres logiciels de messageries instantanées qui désirent créer une communauté d'utilisateurs de plus en plus large afin de pouvoir faire des bénéfices sur les publicités présentées par ces applications. Ces applications coûtent cher aux entreprises car les employés utilisent de plus en plus les ressources réseau de leur entreprise à' des fins personnelles . En outre, au-delà de ces considérations financières, il existe un nouveau risque de piratage. En effet les pirates utilisent de plus en plus fréquemment les services Web et de messageries pour déployer leurs virus, chevaux de Troie et autres attaques. Il en va de même pour les logiciels de partage de données (appelés couramment logiciels de Peer To Peer) , qui ouvrent la porte aux pirates et mettent en danger une société dans le "cas, par exemple, où un de ces employés utiliserait un tel service pour distribuer des fichiers confidentiels. L' obsolescence des solutions actuelles de sécurité est proche car de plus en plus d'applications passent par les ports autorisés pour un autre service, violant la convention qu'à un port est associé un service. Ainsi, de par les limitations des méthodes proposées, aucune solution actuelle de sécurité réseau n'est capable d'identifier efficacement les services transitant dans les flux réseau, et donc de proposer une sécurisation performante adaptée aux menaces de demain. L'invention, objet du présent brevet, permet de résoudre les problèmes évoqués précédemment sans présenter les inconvénients de l'art antérieur. Elle pallie les problèmes et les limitations des technologies existantes en proposant une solution innovante.
Solution Procédé L'invention concerne un procédé de traitement d'un flux de données traversant un dispositif placé en coupure dans un réseau informatique. Le procédé comprend : - une étape d'analyse, consistant, pour le dispositif, à reconnaître et à analyser simultanément, conformément à une politique de sécurité, un protocole applicatif structurant une couche applicative du flux de données, - une étape de modification, consistant, pour le dispositif à modifier, en fonction de la politique de sécurité et des résultats de l'étape d'analyse, au moins une partie de la couche applicative contenue dans le flux de données . De préférence, selon l'invention les étapes d'analyse et de modification comprennent: - la sous étape, pour le dispositif de mettre en œuvre un logiciel, associé à des modules, et appliquant la politique de sécurité, - la sous étape de sélectionner des modules déterminés parmi les modules, conformément à la politique de sécurité. De préférence, selon l'invention les modules réalisent au moins une des actions suivantes décoder, coder, déchiffrer, chiffrer, décompresser, compresser, sur au moins une partie des données de la couche applicative contenue dans le flux de données . De préférence, selon l'invention les modules effectuent l'étape d'analyse au moyen d'une vérification de conformité de la couche applicative à au moins une grammaire. De préférence, selon l'invention les modules effectuent l'étape d'analyse et/ou l'étape de modification sur au moins une partie des données de la couche applicative contenue dans le flux de données. De préférence, selon l'invention les modules effectuent l'étape d'analyse et/ou l'étape de modification sur l'intégralité des données de la couche applicative contenue dans le flux de données. De préférence, selon l'invention le procédé comprend en outre : - l'étape pour les modules de communiquer entre eux, - l'étape pour les modules de communiquer avec le logiciel. De préférence, selon l'invention le procédé comprend en outre : - l'étape de remplacer au moins une partie du protocole applicatif par un autre protocole applicatif.- De préférence, selon l'invention le procédé comprend en outre : l'étape de hiérarchiser les modules afin de minimiser les ressources informatiques, notamment l'espace mémoire et le temps de calcul, nécessaires au traitement du flux de données . Système L'invention concerne aussi un système de traitement d'un flux de données traversant un dispositif placé en coupure dans un réseau informatique. Le dispositif comprend : des moyens d'analyse réalisant une analyse permettant de reconnaître et d'analyser simultanément, conformément à une politique de sécurité, un protocole applicatif structurant une couche applicative du flux de données, - des moyens de traitement informatique permettant de réaliser au moins une modification en fonction de ladite politique de sécurité et des résultats de ladite analyse, d'au moins une partie de la couche applicative contenue dans le flux de données. De préférence, selon l'invention, les moyens d'analyse et les moyens de traitement informatique mettant en œuvre un logiciel, associé à des modules, permettent : - d'appliquer la politique de sécurité, - de sélectionner des modules déterminés parmi les modules, conformément à la politique de sécurité. De préférence, selon l'invention, les modules permettent de réaliser au moins l'une des actions suivantes : décoder, coder, déchiffrer, chiffrer, décompresser, compresser, au moins une partie des données de la couche applicative contenue dans le flux de données. De préférence, selon l'invention, les modules permettent de réaliser l'analyse au moyen d'une vérification de conformité de la couche applicative à au moins une grammaire. De préférence, selon l'invention, les modules effectuent l'analyse et/ou la modification sur au moins une partie des données de la couche applicative contenue dans le flux de données . De préférence, selon l'invention, les modules effectuent l'analyse et/ou la modification sur l'intégralité des données de la couche applicative contenue dans le flux de données . De préférence, selon l'invention, les modules possèdent des moyens de communication permettant aux modules de communiquer entre eux et avec le logiciel. De préférence, selon l'invention, les moyens de traitement informatique permettent en outre de remplacer au moins une partie du protocole applicatif par un autre protocole applicatif. De préférence, selon l'invention, les moyens de traitement informatique et/ou les moyens d'analyse permettent en outre d'établir une hiérarchie des modules afin de minimiser les ressources informatiques, notamment l'espace mémoire et le temps de calcul, nécessaires au traitement du flux de données. Ainsi, l'invention concerne un dispositif placé en coupure dans un réseau informatique et servant à reconnaître et à analyser l'ensemble des données applicatives d'un flux de données réseau. Le dispositif placé en coupure est destiné à traiter l'ensemble des données qui transitent par lui. Les traitements effectués consistent à analyser ces données et, en fonction des résultats de cette analyse, à les modifier, notamment au niveau applicatif. Ces traitements peuvent aller jusqu'à une modification complète du protocole applicatif sur le flux de données. Le dispositif est capable d'interpréter une politique de sécurité et d'organiser l'ensemble des recherches de manière à en optimiser les performances . Il peut modifier le flux de données en fonction de cette politique de sécurité. En plus des capacités de reconnaissance et d'analyse, le dispositif est capable de modifier le contenu des données applicatives et, le cas échéant, de changer l'ensemble du protocole applicatif transitant sur le flux. Description détaillée Le système, objet de la présente invention, permet de réaliser parfaitement toutes les fonctionnalités du procédé décrit précédemment. Afin de mieux faire comprendre l'invention, différents exemples vont être décrits. Ces exemples donnent, à titre purement illustratif, des modes de réalisation possibles, modes auxquels ne se limite pas l'invention. La figure 1 représente le schéma général du dispositif ainsi que son interconnexion dans un réseau informatique. Le dispositif D est placé en coupure d'un réseau R informatique quelconque : il peut s'agir d'Internet, d'un réseau Intranet, d'un réseau domestique ou bien de seulement deux postes reliés entre eux. On entend par coupure la séparation physique du réseau R en deux sous réseaux reliés entre eux à l'aide du dispositif D. Ainsi tout le flux de données FD transitant d'un sous réseau à destination de l'autre sous réseau doit traverser le dispositif D. Le dispositif D permet d'analyser en détails le flux applicatif transitant sur le réseau. Toute communication sur un réseau informatique est structurée suivant le modèle OSI organisé en couches comme suit : Niveau 7 : Couche application Niveau 6 : Couche présentation Niveau 5 : Couche session Niveau 4 : Couche transport Niveau 3 : Couche réseau Niveau 2 : Couche liaison de données Niveau 1 : Couche physique Ainsi on retrouve du niveau 5 au niveau 7 l'ensemble des données de la couche applicative CA. Ces données contiennent l'ensemble des informations nécessaires aux applications communicant sur le réseau pour fonctionner et se comprendre. Les communications au niveau applicatif sont régies par des règles que l'on appelle protocoles applicatifs et qui permettent aux applications de comprendre le flux de données . Les protocoles applicatifs PA sont nombreux et l'enjeu pour le dispositif D est de pouvoir les reconnaître. L'analyse du dispositif D est commandée par une politique de sécurité PS avec laquelle il est en communication permanente au travers d'un logiciel L mis en œuvre par les moyens de traitement informatique MTI, logiciel L qui orchestre l'ensemble des fonctions du dispositif. Ainsi en fonction de l'analyse effectuée, le dispositif D pourra approfondir ou non son analyse suivant ce que lui demande la politique de sécurité PS. Cette politique de sécurité peut être aussi bien dans le dispositif lui-même ou bien être distante, ceci ne restreint pas le cadre de notre invention. Ainsi que décrit ci-après, Le dispositif permet d'appliquer une politique de sécurité PS extrêmement fine, autorisant ou interdisant pour chaque utilisateur du dispositif D, l'utilisation d'une application réseau définie. On peut donc différencier l'accès au réseau Internet pour de simples recherches avec un navigateur Web et l'accès au réseau Internet pour le partage de fichiers et ceci même si le port des deux services est le même. Lors de la mise en route du dispositif D, le logiciel
L analyse la politique de sécurité afin de connaître l'ensemble des protocoles sur lesquels la politique de sécurité PS impose des règles. A l'aide de ces informations, les moyens de traitement informatique MTI et les moyens d'analyse MA, mettant en œuvre le logiciel L, sélectionnent des modules M de détection et d'analyse de protocole applicatif. Ces modules M exécutent leur tâche à l'intérieur du dispositif D et sont commandés par le dispositif lui-même par l'intermédiaire du logiciel L. Ces modules peuvent faire partie intégrante du dispositif ou bien être déportés hors du dispositif D, dans un tel cas le dispositif D nécessite un accès à l'ensemble des modules M qu'il a à disposition pour pouvoir les télécharger et les exécuter. Les modules M se chargent de la reconnaissance et de l'analyse du protocole, qui s'opèrent simultanément, afin d'en déduire chacun des éléments qui le constitue. Le mécanisme de reconnaissance et d'analyse des composants du protocole applicatif peut être effectué au travers d'une recherche de conformité à une grammaire. Une fois la sélection des modules effectuée, le logiciel L peut hiérarchiser les différents modules sélectionnés afin d'optimiser les traitements. En effet les modules M sont complémentaires dans la reconnaissance et la détection des protocoles applicatifs car ceux-ci sont très souvent imbriqués les uns dans les autres comme le montre l'exemple suivant : Lorsqu'on navigue sur des pages Internet, le protocole de communication employé est le « HTTP». Ce protocole applicatif permet de demander des fichiers (textes, images, sons ou documents HTML) . Le dispositif va analyser la couche applicative du flux de données pour en déduire le protocole applicatif (HTTP) et comprendre l'ensemble des données applicatives du protocole. Ainsi il connaîtra l'adresse du document demandé et les différentes options relatives à cette demande (protocole HTTP, RFC 2616) . Suivant le document demandé, le dispositif pourra demander une analyse supplémentaire, mais le module de détection et d'analyse du protocole HTTP ne pourra poursuivre l'analyse du fichier demandé. En effet, suivant le fichier, d'autres modules spécialisés devront être appelés. Dans le cas d'une page HTML, page classique d'un site Internet, le document est composé de plusieurs entités : du texte formaté à l'aide du langage HTML, ce dernier langage faisant lui-même appel à des langages plus évolués pour permettre de créer des pages dynamiques à l'aide de langages comme Java Script ou à l'aide de feuilles de style. Le dispositif pourra donc hiérarchiser les modules « http », « HTML », « Java Script », « Feuille de style ». Ainsi le module « http » pourra appeler le module « HTML » qui pourra à son tour appeler les modules « Java Script » et « Feuille de style ». L'ensemble des résultats des modules M est communiqué au logiciel L qui peut en fonction de la politique de sécurité PS prendre les actions nécessaires à la sécurisation du flux. De même les modules peuvent communiquer entre eux, ceci permettant de partager l'ensemble des informations relatives au flux facilitant ainsi les différentes recherches et analyses. L'ens'emble dés communications entre les modules et le logiciel L est bidirectionnel, c'est-à-dire que lorsqu'un ordre est envoyé, la réponse peut être soit reçue immédiatement car l'information est déjà disponible, soit reçue plus tard une fois l'action nécessaire effectuée. Ainsi les communications peuvent être gérées par un système d'interruption, afin de permettre dans les cas critiques d'accélérer la transmission d'informations. Cependant le système de communication par statut, c'est-à-dire par demande du statut des différentes informations (disponible ou non) , reste disponible. Il est donc possible de faire des demandes du type « informer le logiciel L dès qu'un protocole est identifié, ou qu'un composant est reconnu dans le flux » ou bien du type « l'adresse du site demandée est-elle déjà présente dans le flux ? Si oui la donner, sinon continuer l'analyse ». Les communications peuvent être de différentes natures, cela peut être l'activation d'un module M sur une partie du flux, la demande d'une information à un des modules sur l'analyse en cours ou bien une demande d'action sur le flux. En effet les modules M sont capables d'agir sur le flux et sont même les acteurs principaux de la modification du flux. Lors de l'analyse et de la reconnaissance des différents protocoles applicatifs du flux, les modules M enregistrent, simultanément au cours de l'étape de reconnaissance et d'analyse, l'emplacement de chaque élément du protocole et sont donc capables d'accéder à ces informations très rapidement, que ce soit pour consultation ou pour modification. Les modules offrent donc au logiciel L, en plus de la détection des protocoles, des fonctions d'accès aux informations du protocole reconnu, ainsi que des fonctions de modification des éléments du protocole. Les fonctions de modification du protocole sont découpées en deux familles ; la première permet la modification du contenu de chaque champ composant le protocole, par exemple on peut changer dans une requête HTTP pour une page Web l'adresse du site désiré et ainsi changer ww . interdit.corn en ww .autorisé. com; la deuxième famille permet de rajouter, de modifier ou de supprimer des champs protocolaires, on peut donc par exemple supprimer des options que l'on considère comme dangereuses (dans le cas de http l'ensemble des données utilisateurs, souvent données en options, qui permettent de connaître les logiciels utilisés par l'utilisateur ainsi que l'ensemble des pages visitées !), ou bien ajouter des options supplémentaires au protocole pour mieux définir les limites de l'application que l'on essaie de protéger. Les fonctionnalités des modules M sont cependant plus étendues encore. En effet de nombreux protocoles sont compressés, ou codés ou bien même chiffrés. Il existe donc des modules M dédiés à la gestion de ces cas particuliers qui décodent, déchiffrent et décompressent les données du flux applicatif. Dans le cas de ces modules, il est clair que la hiérarchisation et la communication entre modules permettent l'activation de modules M sur un flux « pré traité » (le flux décodé, déchiffré ou décompressé) pour pousser l'analyse encore plus loin. Il est alors possible d'analyser un fichier joint à un courriel qui serait compressé et qui pourrait contenir des fichiers infectés. Lorsque des modifications ont lieu dans le flux « prétraité », le ou les modules de « prétraitement » ont en charge la modification du flux réel pour y inclure les modifications du flux « pré traité ». Ces modules sont informés qu'ils doivent réadapter le flux en cours par la fin de traitement de chacun de leurs sous modules. Par exemple pour un courriel contenant un fichier compressé au format « ZIP », le module de compression/décompression ZIP appellera suivant les fichiers présents dans l'archive des modules d'analyse de fichiers exécutables, ou de fichier de Scripts ou de fichiers images ; lorsque l'ensemble des modules appelés par le module de compression/décompression aura fini ses tâches, le module de compression/décompression pourra recompresser le flux en tenant compte des modifications effectuées sur le flux décompressé. L'ensemble des traitements précédemment décrits est effectué sur l'intégralité du flux. Cependant la politique de sécurité peut décider d'arrêter les traitements et la reconnaissance protocolaire sur une connexion en cours, si elle possède des règles lui certifiant que la connexion ne nécessite pas d'analyse supplémentaire. Le logiciel L peut donc activer ou désactiver dynamiquement chacun des modules M tout au long du flux.

Claims

REVENDICATIONS
1. Procédé de traitement d'un flux de données (FD) traversant un dispositif (D) placé en coupure dans un réseau informatique (R) ; ledit procédé comprenant : une étape d'analyse, consistant, pour ledit dispositif (D) , à reconnaître et à analyser simultanément, conformément à une politique de sécurité (PS) , un protocole applicatif (PA) structurant une couche applicative (CA) dudit flux de données (FD) , - une étape de modification, consistant, pour ledit dispositif à modifier, en fonction de ladite politique de sécurité (PS) et des résultats de ladite étape d'analyse, au moins une partie de ladite couche applicative (CA) contenue dans ledit flux de données (FD) .
2. Procédé selon la revendication 1 ; lesdites étapes d'analyse et de modification comprenant : - la sous étape, pour ledit dispositif (D) de mettre en œuvre un logiciel (L) , associé à des modules (M) , et appliquant ladite politique de sécurité (PS) , - la sous étape de sélectionner des modules (M) déterminés parmi lesdits modules (M) , conformément à la politique de sécurité (PS) .
3. Procédé selon la revendication 2 ; lesdits modules (M) réalisant au moins une des actions suivantes : décoder, coder, déchiffrer, chiffrer, décompresser, compresser, sur au moins une partie des données de ladite couche applicative (CA) contenue dans ledit flux de données (FD) .
4. Procédé selon l'une quelconque des revendications 2 ou 3 ; lesdits modules (M) effectuant ladite étape d'analyse au moyen d'une vérification de conformité de ladite couche applicative (CA) à au moins une grammaire.
5. Procédé selon l'une quelconque des revendications 2 à 4 ; lesdits modules (M) effectuant ladite étape d'analyse et/ou ladite étape de modification sur au moins une partie des données de ladite couche applicative (CA) contenue dans ledit flux de données (FD) .
6. Procédé selon l'une quelconque des revendications 2 à 4 ; lesdits modules (M) effectuant ladite étape d'analyse et/ou ladite étape de modification sur l'intégralité des données de ladite couche applicative (CA) contenue dans ledit flux de données (FD) .
7. Procédé selon l'une quelconque des revendications 2 à 6 ; ledit procédé comprenant en outre : - l'étape pour lesdits modules (M) dé' communiquer entre eux, - l'étape pour lesdits modules (M) de communiquer avec ledit logiciel (L) .
8. Procédé selon l'une quelconque des revendications 2 à 7 ; ledit procédé comprenant en outre : - l'étape de remplacer au moins une partie dudit protocole applicatif (PA) par un autre protocole applicatif.
9. Procédé selon l'une quelconque des revendications 2 à 8 ; ledit procédé comprenant en outre : - l'étape de hiérarchiser lesdits modules (M) afin de minimiser les ressources informatiques, notamment l'espace mémoire et le temps de calcul, nécessaires audit traitement dudit flux de données (FD) .
Système
10. Système de traitement d'un flux de données (FD) traversant un dispositif (D) placé en coupure dans un réseau informatique (R) ; ledit dispositif comprenant : - des moyens d'analyse (MA) réalisant une analyse permettant de reconnaître et d'analyser simultanément, conformément à une politique de sécurité, un protocole applicatif (PA) structurant une couche applicative (CA) dudit flux de données (FD) , des moyens de traitement informatique (MTI) permettant de réaliser au moins une modification, en fonction de ladite politique de sécurité (PS) et des résultats de ladite analyse, d'au moins une partie de ladite couche applicative (CA) contenue dans ledit flux de données (FD) .
11. Système selon la revendication 10 ; lesdits moyens d'analyse (MA) et lesdits moyens de traitement informatique (MTI) mettant en œuvre un logiciel (L) , associé à des modules (M) , permettant : - d'appliquer ladite politique de sécurité (PS), - de sélectionner des modules (M) déterminés parmi lesdits modules (M) , conformément à ladite politique de sécurité (PS).
12. Système selon la revendication 11 ; lesdits modules (M) permettant de réaliser au moins l'une des actions suivantes : décoder, coder, déchiffrer, chiffrer, décompresser, compresser, au moins une partie des données de ladite couche applicative (CA) contenue dans ledit flux de données (FD) .
13. Système selon l'une quelconque des revendications 11 ou 12 ; lesdits modules (M) permettant de réaliser ladite analyse au moyen d'une vérification de conformité de ladite couche applicative (CA) à au moins une grammaire.
14. Système selon l'une quelconque des revendications 11 à 13 ; lesdits modules (M) effectuant ladite analyse et/ou ladite modification sur au moins une partie des données de ladite couche applicative (CA) contenue dans ledit flux de données (FD) .
15. Système selon l'une quelconque des revendications 11 à 13 ; lesdits modules (M) effectuant ladite analyse et/ou ladite modification sur l'intégralité des données de ladite couche applicative (CA) contenue dans ledit flux de données (FD).
16. Système selon l'une quelconque des revendications
11 à 15 ; lesdits modules (M) possédant des moyens de communication permettant auxdits modules (M) de communiquer entre eux et avec ledit logiciel (L) .
17. Système selon l'une quelconque des revendications
11 à 16 ; lesdits moyens de traitement informatique (MTI) permettant en outre de remplacer au moins une partie dudit protocole applicatif (PA) par un autre protocole applicatif.
18. Système selon l'une quelconque des revendications
11 à 17 ; lesdits moyens de traitement informatique (MTI) et/ou lesdits moyens d'analyse (MA) permettant en outre d'établir une hiérarchie desdits modules (M) afin de minimiser les ressources informatiques, notamment l'espace mémoire et le temps de calcul, nécessaires audit traitement dudit flux de données (FD) .
EP05739719A 2004-03-01 2005-03-01 Procede de traitement d'un flux de donnees traversant un dispositif place en coupure sur un reseau informatique Withdrawn EP1723773A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0450403A FR2867003B1 (fr) 2004-03-01 2004-03-01 Procede de traitement d'un flux de donnees traversant un dispositif place en coupure sur un reseau informatique
PCT/FR2005/050136 WO2005083969A2 (fr) 2004-03-01 2005-03-01 Procede de traitement d'un flux de donnees traversant un dispositif place en coupure sur un reseau informatique

Publications (1)

Publication Number Publication Date
EP1723773A2 true EP1723773A2 (fr) 2006-11-22

Family

ID=34834271

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05739719A Withdrawn EP1723773A2 (fr) 2004-03-01 2005-03-01 Procede de traitement d'un flux de donnees traversant un dispositif place en coupure sur un reseau informatique

Country Status (3)

Country Link
EP (1) EP1723773A2 (fr)
FR (1) FR2867003B1 (fr)
WO (1) WO2005083969A2 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8254381B2 (en) 2008-01-28 2012-08-28 Microsoft Corporation Message processing engine with a virtual network interface

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1750384B1 (fr) * 1997-07-24 2009-09-30 Axway Inc. Pare-feu e-mail
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US20020161848A1 (en) * 2000-03-03 2002-10-31 Willman Charles A. Systems and methods for facilitating memory access in information management environments
WO2002060150A2 (fr) * 2001-01-24 2002-08-01 Broadcom Corporation Procede de traitement de politiques de secutite multiples appliquees a une structure de donnees par paquets
US7284269B2 (en) * 2002-05-29 2007-10-16 Alcatel Canada Inc. High-speed adaptive structure of elementary firewall modules

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None *

Also Published As

Publication number Publication date
WO2005083969A2 (fr) 2005-09-09
FR2867003B1 (fr) 2006-09-08
WO2005083969A3 (fr) 2005-12-15
FR2867003A1 (fr) 2005-09-02

Similar Documents

Publication Publication Date Title
EP2819052B1 (fr) Procédé et serveur de traitement d'une requête d'accès d'un terminal à une ressource informatique
EP2692089B1 (fr) Mécanisme de redirection entrante sur un proxy inverse
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d'un service électronique
IL172178A (en) Application layer security method and system
JP2010536216A (ja) Ipネットワーク内のトラフィックを分類するための方法およびユニット
FR2850503A1 (fr) Procede et systeme dynamique de securisation d'un reseau de communication au moyen d'agents portables
WO2009147163A1 (fr) Procède de traçabilité et de résurgence de flux pseudonymises sur des réseaux de communication, et procède d'émission de flux informatif apte a sécuriser le trafic de données et ses destinataires
FR3028373A1 (fr) Delegation d'intermediation sur un echange de donnees chiffrees.
EP1983722A2 (fr) Procédé et système de sécurisation d'accès internet de téléphone mobile, téléphone mobile et terminal correspondants
WO2004086719A2 (fr) Systeme de transmission de donnees client/serveur securise
EP1723773A2 (fr) Procede de traitement d'un flux de donnees traversant un dispositif place en coupure sur un reseau informatique
CA2357909A1 (fr) Dispositf et procede de traitement d'une sequence de paquets d'information
Parsons Deep packet inspection and its predecessors
FR2940695A1 (fr) Serveur passerelle a micronoyau
FR2865337A1 (fr) Systeme et procede de securite pour coupe-feu et produit associe
FR3076638A1 (fr) Procede de gestion d'un acces a une page web d'authentification
EP1510904B1 (fr) Procédé et système d'évaluation du niveau de sécurité de fonctionnement d'un équipement électronique et d'accès conditionnel à des ressources
CA2357896A1 (fr) Procede de transport de paquets entre une interface d'acces d'une installation d'abonne et un reseau partage, et interface d'acces mettant en oeuvre un tel procede
FR2834407A1 (fr) Procede de securisation deportee d'un telechargement de donnees actives dans un terminal
FR2897965A1 (fr) Procede de filtrage de donnees numeriques et dispositif mettant en oeuvre ce procede
Holtkamp The role of XML firewalls for web services
EP2472818B1 (fr) Procédé de traitement de données pour contrôler l'accès à des contenus sur Internet.
EP1239647A1 (fr) Procédé et dispositifs de sécurisation d'une session de communication
EP1642442A1 (fr) Dispositif de personnalisation du traitement de communications
FR2778290A1 (fr) Procede et dispositif d'interconnexion securisee entre des ordinateurs, organises en reseau, par pilotage d'un module de filtrage residant dans la couche de communication ip

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20061002

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU MC NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20070111

RIN1 Information on inventor provided before grant (corrected)

Inventor name: STEHLE, NICOLAS

Inventor name: HUGEL, RODOLPHE

Inventor name: BUCARI, CECILE

Inventor name: SCHOTT, OLIVIER

DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20070724