ES2556252B1 - Firewall method with dynamic rules using SQL - Google Patents

Firewall method with dynamic rules using SQL Download PDF

Info

Publication number
ES2556252B1
ES2556252B1 ES201431060A ES201431060A ES2556252B1 ES 2556252 B1 ES2556252 B1 ES 2556252B1 ES 201431060 A ES201431060 A ES 201431060A ES 201431060 A ES201431060 A ES 201431060A ES 2556252 B1 ES2556252 B1 ES 2556252B1
Authority
ES
Spain
Prior art keywords
firewall
user
sql
addresses
networks
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES201431060A
Other languages
Spanish (es)
Other versions
ES2556252A1 (en
Inventor
Gabriel NIETO FOMBELLA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to ES201431060A priority Critical patent/ES2556252B1/en
Publication of ES2556252A1 publication Critical patent/ES2556252A1/en
Application granted granted Critical
Publication of ES2556252B1 publication Critical patent/ES2556252B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security

Abstract

Método de un cortafuegos con reglas dinámicas mediante SQL, constituido a partir de un dispositivo cortafuegos localizado entre dos redes: a un lado los usuarios y al otro los equipos o redes a proteger, disponiendo de conectividad a un servidor donde se encuentra alojada la base de datos de inventario de equipos, siendo en este servidor de base de datos relacional donde mediante tablas indexadas y relacionas por datos comunes se obtiene el conjunto de direcciones IP, gracias a un lenguaje estructurado de consultas conocido como SQL, asociando una o varias sentencias SQL al perfil de un usuario y ejecutando estas órdenes cuando el usuario inicie sesión en el cortafuegos, obteniéndose y volcando sobre un fichero el resultado con el conjunto de direcciones IP o redes IP, a las cuales, a ese usuario en concreto, se le permite o deniega el acceso mediante la aplicación de las reglas de filtrado.Method of a firewall with dynamic rules using SQL, constituted from a firewall device located between two networks: on the one hand the users and on the other side the equipment or networks to be protected, having connectivity to a server where the database base is located equipment inventory data, being in this relational database server where by means of indexed tables and relating by common data the set of IP addresses is obtained, thanks to a structured query language known as SQL, associating one or more SQL statements to the profile of a user and executing these orders when the user logs into the firewall, obtaining and dumping on a file the result with the set of IP addresses or IP networks, which, to that particular user, is allowed or denied Access by applying the filtering rules.

Description

METODO DE UN CORTAFUEGOS CON REGLAS DINAMICAS MEDIANTE SQLMETHOD OF A FIRE FIGHTER WITH DYNAMIC RULES THROUGH SQL

El metodo cortafuegos con reglas dinamicas mediante SQL, lenguaje estructurado de consulta, de la presente invencion se refiere a 5 un servidor de seguridad de red informatica para usuarios remotos o internos, con capacidades de cortafuegos de trafico IP de nivel 1,2 y 3 del modelo TCP/IP, protocolo de control de transmision y protocolo de Internet, que se integra como complemento de seguridad y permite o bloquea a un usuario o host, computadora conectada a una red, el 10 acceso a otros equipos o redes, basandose en la identidad del usuario y en consultar en un servidor de bases de datos relacional, los equipos permitido.. Para ello el metodo asocia a cada usuario dado de alta en el cortafuegos unos comandos SQL, con los cuales se extrae en tiempo real un conjunto de direcciones IP de host o direcciones IP de red. Con este 15 conjunto, mas la direccion IP del usuario o su Socket, identificador de conexion entre el usuario y el cortafuegos, se crean las reglas de dinamicas de acceso que filtraran el trafico IP. Esta invencion soluciona el problema, dotando a un servidor de seguridad de red, la flexibilidad y potencia del lenguaje SQL.The firewall method with dynamic rules using SQL, structured query language, of the present invention refers to a computer network security server for remote or internal users, with IP traffic firewall capabilities of level 1,2 and 3 of the TCP / IP model, transmission control protocol and Internet protocol, which is integrated as a security complement and allows or blocks a user or host, computer connected to a network, access to other equipment or networks, based on the Identity of the user and in consulting on a relational database server, the equipment allowed. To do this, the method associates each user registered in the firewall with SQL commands, with which a set of addresses is extracted in real time Host IP or network IP addresses. With this set, plus the user's IP address or their Socket, the connection identifier between the user and the firewall, the dynamic access rules that will filter the IP traffic are created. This invention solves the problem, giving a network firewall the flexibility and power of the SQL language.

20 Un cortafuegos de red en Informatica o Firewall es un20 A network firewall in Informatica or Firewall is a

sistema o grupo de sistemas que impone una polrtica de seguridad entre unos usuarios y la red de una la organizacion y determina cual de los servicios o equipos de red pueden ser usados dentro de esta, es decir unsystem or group of systems that imposes a security policy between some users and the network of an organization and determines which of the network services or equipment can be used within it, that is a

empleado puede o no puede utilizar dentro de su organizacion ciertos recursos o poseer acceso a cierta informacion. Para que un cortafuegos sea efectivo, todo el trafico debe de pasar a traves de este donde se selecciona el sitio al que puede o no acceder. Siendo este mismo inmune 5 a la penetracion. Actualmente se conocen los cortafuegos aplicados a redes que utilizan reglas que interceptan o no la entrada de usuarios o hosts a zonas o equipos dentro de una misma red. El lenguaje de alto nivel SQL es el estandar para el manejo de bases de datos relacionales y consigue mediante operadores sencillos como SELECT, WHERE, 10 FROM, WHERE, GROUP BY, ORDER BY, extraer o modificar grupos de registros.Employees may or may not use certain resources within their organization or have access to certain information. For a firewall to be effective, all traffic must pass through it where the site that may or may not be accessed is selected. Being this same 5 immune to penetration. Currently, firewalls applied to networks that use rules that intercept or not the entry of users or hosts to areas or equipment within the same network are known. The high-level SQL language is the standard for managing relational databases and achieves through simple operators such as SELECT, WHERE, 10 FROM, WHERE, GROUP BY, ORDER BY, extracting or modifying groups of records.

Cuando en una empresa u organizacion el numero de equipos a proteger supera un cierto valor o cambian su numero frecuentemente, es complicado para los administradores de esa red aplicar polrticas y reglas 15 para que a unos empleados se les permita conectividad a ciertos equipos o servicios y a otros no. Si queremos agrupar los equipos por tener alguna caractenstica comun que se desea que un usuario haga uso, como todos los equipos de un departamento, o de tipo impresora o de la primera planta de un edificio, se acaba teniendo dos tipos de perfiles: los 20 usuarios que se pueden conectar a todos los equipos y los que no. Con los consiguientes problemas de seguridad. Este tipo de agrupaciones se consiguen facilmente mediante el lenguaje de consulta SQL aplicado aWhen in a company or organization the number of equipment to be protected exceeds a certain value or changes its number frequently, it is difficult for the administrators of that network to apply policies and rules 15 so that some employees are allowed connectivity to certain equipment or services already others not. If we want to group the teams by having some common feature that a user wants to make use of, such as all the equipment of an apartment, or of the printer type or of the first floor of a building, it ends up having two types of profiles: the 20 users that can connect to all computers and those that cannot. With the consequent security problems. These types of groupings are easily achieved through the SQL query language applied to

una base de datos de inventario, donde cada equipo tiene asignadas unas caractensticas y una direccion de red conocida como IP.an inventory database, where each device has assigned characteristics and a network address known as IP.

Se encuadra en la industria de la informatica y, dentro de esta, en 5 la de los cortafuegos.It is part of the computer industry and, within this, in 5 of the firewall.

ANTECEDENTES DE LA INVENCION El documento WO03040923 describe un sistema de seguridad que se aplica a una base de datos que se estructura dentro del sistema y no en el servidor de red. El documento US2011231926 propone un 10 aparato conectado a una red interior y/o exterior con objeto de que la barrera que se impone impida la conexion de un usuario de internet a la red interior. El documento ES2292737 describe una comunicacion inalambrica para producir una clave de acceso del usuario a la red configurando una biometrica de entrada que un procesador compara con 15 el certificado de firma guardado en la memoria dejando acceder al usuario si coinciden ambos datos.BACKGROUND OF THE INVENTION Document WO03040923 describes a security system that is applied to a database that is structured within the system and not on the network server. Document US2011231926 proposes an apparatus connected to an internal and / or external network so that the barrier that is imposed prevents the connection of an internet user to the internal network. Document ES2292737 describes a wireless communication to produce a user access key to the network by configuring an input biometrics that a processor compares with the signature certificate stored in the memory allowing the user to access if both data coincide.

Esto que se conoce presenta los inconvenientes que a continuacion se indican:This is known to have the drawbacks indicated below:

- Los cortafuegos convencionales estan orientados a proteger 20 a una red de otras redes o a proteger un pequeno grupo de equipos de otros equipos, pero no pueden proteger a un conjunto numeroso de equipos de ataques internos o usuarios negligentes por la imposibilidad de mantener largas listas de acceso aplicando reglas individuales.- Conventional firewalls are aimed at protecting 20 a network from other networks or protecting a small group of equipment from other equipment, but cannot protect a large set of teams from internal attacks or negligent users due to the impossibility of maintaining long lists of access applying individual rules.

55

1010

15fifteen

- No solucionan el problema de actualizar las reglas de acceso cada vez que se incluyen nuevos equipos en el perfil de los usuarios y se dan de baja otros.- They do not solve the problem of updating the access rules every time new equipment is included in the users profile and others are removed.

- El documento WO03040923 se ocupa de proteger informacion almacenada dentro de una base de datos relacional pero no impide la conectividad IP a equipos en una red informatica.- Document WO03040923 is concerned with protecting information stored within a relational database but does not prevent IP connectivity to computers in an information network.

- El documento US2011231926 posee la desventaja de que solo protege al ordenador donde esta instalado y no a los equipos y redes de una organizacion.- Document US2011231926 has the disadvantage that it only protects the computer where it is installed and not the equipment and networks of an organization.

-El documento ES2292737 tiene el inconveniente que se limita a proteger el punto de acceso a la red y no los equipos individuales de esa red .-The document ES2292737 has the disadvantage that is limited to protecting the access point to the network and not the individual equipment of that network.

Frente a estos inconvenientes la invencion propuesta presenta las siguientes ventajas:Faced with these drawbacks, the proposed invention has the following advantages:

- El metodo cortafuegos no depende de conocer previamente las direcciones IP que pueda tener el equipo ordenador del usuario pues estas direcciones IP las extrae automaticamente en la sesion obligatoria de autorizacion que el usuario tiene que establecer con el cortafuego.- The firewall method does not depend on knowing previously the IP addresses that the user's computer equipment may have because these IP addresses are automatically extracted in the mandatory authorization session that the user has to establish with the firewall.

- No necesita conocer los equipos a proteger previamente, con el consiguiente problema si su numero cambiase, pues estos equipos los obtiene automaticamente y en tiempo real en la sesion obligatoria de autorizacion, al ejecutar la consulta que el usuario tiene asignada en su perfil, sobre la base de datos de inventario.- You do not need to know the equipment to be protected beforehand, with the consequent problem if your number changes, because these equipment obtains them automatically and in real time in the mandatory authorization session, when executing the query that the user has assigned in your profile, about The inventory database.

55

1010

15fifteen

- Es una proteccion orientada a usuarios con la ventaja de tener reglas personalizadas por usuario o por grupos de usuarios.- It is a protection oriented to users with the advantage of having personalized rules by user or by groups of users.

- Al conectar con bases de datos relacionales, la sentencias de consulta que un administrador debe crear en el perfil de un usuario son muy sencillas y flexibles.- When connecting to relational databases, the query statements that an administrator must create in a user's profile are very simple and flexible.

-Se pueden crear perfiles con el mismo patron de busqueda.-You can create profiles with the same search pattern.

- Permite la movilidad de los usuarios, pues al validar al usuario valida las direcciones IP de su dispositivo de conexion.- Allows the mobility of users, because when validating the user validates the IP addresses of their connection device.

-Ahorra trabajo de administracion pues no se necesita cambiar las reglas cuando cambia el inventario de equipos.-Save administration work because you do not need to change the rules when the equipment inventory changes.

-Se puede asignar a un usuario una regla que le permite conectar-You can assign a user a rule that allows you to connect

con millones de equipos con una simple consulta SQL.with millions of computers with a simple SQL query.

-Al usar SQL es compatible y adaptable a la mayona de bases de datos relaciones existentes en el mercado.-When using SQL is compatible and adaptable to the majority of databases existing relationships in the market.

-Es seguro pues la conexion desde los cortafuegos a la base de datos, solo necesita permisos de lectura.-It is safe because the connection from the firewalls to the database, you only need read permissions.

- Permite una gran separacion de tareas a los administradores al separar el inventario, propio de residir en un servidor de base de datos, de las reglas de trafico, mas acorde con un cortafuegos.- It allows a great separation of tasks to the administrators when separating the inventory, typical of residing in a database server, of the traffic rules, more in accordance with a firewall.

- Permite proteger equipos que no soportan RADIUS, protocolo de autentificacion y autorizacion para aplicaciones de acceso a la red. Y es una primera lmea de defensa para los que sf lo soportan, puesto que se interpone entre estos equipos finales y los usuarios,- It allows to protect equipment that does not support RADIUS, authentication and authorization protocol for network access applications. And it is a first line of defense for those who support it, since it interposes between these end devices and the users,

evitando la conectividad IP directa entre ellos si no esta autorizado por el servidor de seguridad de red.avoiding direct IP connectivity between them if it is not authorized by the network firewall.

Asf la presente invencion se constituye a partir de un cortafuego 5 localizados entre dos redes o segmentos de red, localizandose de la siguiente forma: a un lado los usuarios de una organizacion y al otro los equipos o redes a proteger, disponiendo de conectividad a un servidor donde se encuentra alojada la base de datos de inventario de equipos pudiendo ser este servidor el propio cortafuegos siendo en este servidor 10 de base de datos donde mediante tablas indexadas y relacionas entre sf por datos comunes, una empresa u organizacion administra sus equipos informaticos, registra altas, bajas, modificaciones, y los clasifica segun su criterio, como localizacion geografica, situacion, si esta en avena o no, grupo o usuario que tiene acceso a el, contrato en vigor, tipo. y porThus the present invention is constituted from a firewall 5 located between two networks or network segments, being located as follows: on one side the users of an organization and on the other the equipment or networks to be protected, having connectivity to a server where the equipment inventory database is hosted and this server can be the firewall itself being in this database server 10 where through indexed tables and related to each other by common data, a company or organization manages its computer equipment, It registers high, low, modifications, and classifies them according to their criteria, such as geographical location, situation, whether it is in oats or not, group or user that has access to it, contract in force, type. and by

15 supuesto la red o direccion IP de estos equipos, dato, este ultimo15 of course the network or IP address of these devices, data, the latter

,imprescindible para obtener el conjunto de direcciones IP o redes gracias a un lenguaje estructurado de consultas conocido como SQL que debe soportar este servidor de base de datos y un interfaz ,o programa cliente de ejecucion de estas instrucciones, que se aloja en el cortafuegos 20 asociando una o varias sentencias SQL al perfil de un usuario y, essential to obtain the set of IP addresses or networks thanks to a structured query language known as SQL that must support this database server and an interface, or client program for executing these instructions, which is hosted on the firewall 20 associating one or more SQL statements to a user's profile and

ejecutando estas ordenes cuando el usuario inicie sesion en elexecuting these orders when the user logs into the

cortafuegos, obteniendose y volcando sobre un fichero el resultado con el conjunto de direcciones IP o redes IP, a las cuales, a ese usuario enfirewall, obtaining and dumping on a file the result with the set of IP addresses or IP networks, to which, to that user in

concreto, se le permite o deniega el acceso mediante la aplicacion de las reglas de filtrado.specifically, access is allowed or denied by applying the filtering rules.

El funcionamiento del metodo consta de las siguientes etapas; en una primera etapa, el usuario, con un proceso llamado login, se conecta al 5 cortafuego mediante una sesion SSH, interprete de comandos y protocolo seguro de acceso a maquinas remotas. En una segunda etapa, el cortafuegos valida al usuario con una clave local o consulta la clave en otros servidores externos como es un LDPA corporativo, protocolo ligero de acceso a directorios. En la tercera etapa y si el proceso de login es 10 correcto, el cortafuegos obtiene la direccion IP del host del usuario, su Socket. En una cuarta etapa se obtiene las sentencias SQL del perfil del usuario, ejecuta las ordenes SQL contra la base de datos de inventario, almacena la respuesta del conjunto de direcciones IP en un fichero persona. En una quinta etapa aplica las reglas extrafdas del perfil del 15 usuario sobre estos dos extremos: Las direcciones IP del usuario o su Socket y el fichero de direcciones IP o redes IP. En la sexta etapa el cortafuego informa al usuario que ya puede cursar trafico hacia las direcciones IP permitidas. El usuario en ese momento puede trabajar normalmente como si no existiese el cortafuego y establecer otras 20 sesiones independientes con los equipos permitidos.The operation of the method consists of the following stages; In a first stage, the user, with a process called login, connects to the firewall through an SSH session, interprets commands and secure protocol for access to remote machines. In a second stage, the firewall validates the user with a local key or queries the key in other external servers such as a corporate LDPA, lightweight directory access protocol. In the third stage and if the login process is correct, the firewall obtains the IP address of the user's host, its Socket. In a fourth stage you get the SQL statements from the user's profile, execute the SQL commands against the inventory database, store the response of the set of IP addresses in a person file. In a fifth stage apply the rules extracted from the profile of the user on these two extremes: The IP addresses of the user or his Socket and the file of IP addresses or IP networks. In the sixth stage the firewall informs the user that it can already carry traffic to the allowed IP addresses. The user at that time can work normally as if the firewall did not exist and establish another 20 independent sessions with the allowed equipment.

Cuando el usuario cierra la sesion SSH con el cortafuego todas las reglas personalizadas sobre sus direcciones IP o sobre su Socket desaparecen.When the user closes the SSH session with the firewall, all the custom rules about their IP addresses or their Socket disappear.

En una realizacion diferente los ficheros de comandos SQL y los ficheros de reglas personalizadas ubicados en el cortafuegos, se extraen igualmente mediante SQL, de la base de datos de inventario.In a different embodiment, the SQL command files and the custom rule files located in the firewall are also extracted by means of SQL from the inventory database.

En otra realizacion distinta es factible que el dispositivo sea 5 virtualizado dentro de otro servidor.In another different embodiment it is feasible for the device to be virtualized within another server.

En otra realizacion distinta es factible que la sesion obligatoria de login se use otro programa distinto a SSH como HTTPS, protocolo seguro de transferencia de hipertexto.In another different embodiment, it is feasible that the mandatory login session uses another program other than SSH such as HTTPS, a secure hypertext transfer protocol.

Para una mejor comprension de cuanto se expresa en esta 10 memoria descriptiva se acompana a continuacion un dibujo que a modo de ejemplo no limitativo representa un modo de realizacion preferida y su funcionamientoFor a better understanding of how much is expressed in this description, a drawing is attached below, which by way of non-limiting example represents a preferred embodiment and its operation

15fifteen

Figura 1.- Esquema del funcionamiento del metodoFigure 1.- Scheme of the operation of the method

1) Cortafuegos1) Firewall

2) Usuarios2) Users

3) Equipos o redes3) Equipment or networks

4) Servidor de base de datos de inventario4) Inventory database server

5) Tablas indexadas5) Indexed tables

6) Conjunto de direcciones IP6) Set of IP addresses

7) Interfaz7) Interface

8) Sentencias SQL8) SQL statements

9) Fichero9) File

10)Reglas de filtrado10) Filtering rules

11) Protocolo ligero de acceso a directorios.11) Lightweight directory access protocol.

12) Host del usuario12) User host

DESCRIPCION DE UNA REALIZACION PREFERIDA 5 As^ la presente invencion se constituye a partir de un cortafuego (1)DESCRIPTION OF A PREFERRED EMBODIMENT 5 Thus ^ the present invention is constituted from a firewall (1)

localizado entre dos redes o segmentos de red, localizandose de la siguiente forma: a un lado los usuarios (2) de una organizacion y al otro los equipos o redes a proteger (3), disponiendo de conectividad a un servidor (4) donde se encuentra alojada la base de datos de inventario de 10 equipos pudiendo ser este servidor (4) el propio cortafuegos (1) siendo en este servidor (4) de base de datos donde mediante tablas indexadas (5) y relacionas entre sf por datos comunes, una empresa u organizacion administra sus equipos informaticos, registra altas, bajas, modificaciones, y los clasifica segun su criterio, como localizacion geografica, situacion, si 15 esta en avena o no, grupo o usuario que tiene acceso a el, contrato en vigor, tipo. y por supuesto la red o direccion IP (12) de estos equipos, dato, este ultimo ,imprescindible para obtener el conjunto de direcciones IP o redes (6) gracias a un lenguaje estructurado de consultas conocido como SQL que debe soportar este servidor (4) de base de datos y un 20 interfaz (7) ,o programa cliente de ejecucion de estas instrucciones, que se aloja en el cortafuegos asociando una o varias sentencias SQL (8) al perfil de un usuario (8) y ejecutando estas ordenes cuando el usuario (2) inicie sesion en el cortafuegos (1), obteniendose y volcando sobre unlocated between two networks or network segments, located as follows: on one side the users (2) of an organization and on the other the equipment or networks to be protected (3), having connectivity to a server (4) where The inventory database of 10 computers is hosted and this server (4) can be the firewall itself (1) being in this database server (4) where through indexed tables (5) and you relate to each other by common data, a company or organization manages its computer equipment, registers high, low, modifications, and classifies them according to its criteria, such as geographical location, situation, whether it is in oats or not, group or user that has access to it, contract in force, kind. and of course the network or IP address (12) of these devices, data, the latter, essential to obtain the set of IP addresses or networks (6) thanks to a structured query language known as SQL that this server must support (4 ) of database and an interface (7), or client program of execution of these instructions, that lodges in the firewall associating one or several SQL sentences (8) to the profile of a user (8) and executing these orders when the user (2) log in to the firewall (1), obtaining and turning over a

fichero (9) el resultado con el conjunto de direcciones IP o redes IP (6), a las cuales, a ese usuario en concreto, se le permite o deniega el acceso mediante la aplicacion de las reglas de filtrado (10).file (9) the result with the set of IP addresses or IP networks (6), which, in that particular user, is allowed or denied access by applying the filtering rules (10).

El funcionamiento del metodo consta de las siguientes etapas; en 5 una primera etapa, el usuario (2), con un proceso llamado login, se conecta al cortafuego (1) mediante una sesion SSH, interprete de comandos y protocolo seguro de acceso a maquinas remotas. En una segunda etapa, el cortafuegos valida al usuario con una clave local o consulta la clave en otros servidores externos como es un LDPA (11) 10 corporativo, protocolo ligero de acceso a directorios. En la tercera etapa y si el proceso de login es correcto, el cortafuegos obtiene la direccion IP del host (12) del usuario, su Socket. En una cuarta etapa se obtiene las sentencias SQL (8) del perfil del usuario, ejecuta las ordenes SQL contra la base de datos de inventario, almacena la respuesta del conjunto de 15 direcciones IP en un fichero (9) personal. En una quinta etapa aplica las reglas extrafdas del perfil del usuario (8) sobre estos dos extremos: las direcciones IP del usuario o su Socket y el fichero de direcciones IP o redes IP (6). En la sexta etapa el cortafuego informa al usuario que ya puede cursar trafico hacia las direcciones IP permitidas. El usuario en ese 20 momento puede trabajar normalmente como si no existiese el cortafuego y establecer otras sesiones independientes con los equipos permitidos (6).The operation of the method consists of the following stages; In 5 a first stage, the user (2), with a process called login, connects to the firewall (1) through an SSH session, interpreter of commands and secure protocol of access to remote machines. In a second stage, the firewall validates the user with a local key or queries the key in other external servers such as a corporate LDPA (11) 10, lightweight directory access protocol. In the third stage and if the login process is correct, the firewall obtains the IP address of the user's host (12), its Socket. In a fourth stage, the SQL statements (8) of the user profile are obtained, execute the SQL commands against the inventory database, store the response of the set of 15 IP addresses in a personal file (9). In a fifth stage, the rules extracted from the user's profile (8) apply to these two extremes: the user's IP addresses or their Socket and the IP address file or IP networks (6). In the sixth stage the firewall informs the user that it can already carry traffic to the allowed IP addresses. The user at that time can work normally as if the firewall did not exist and establish other independent sessions with the allowed equipment (6).

Cuando el usuario cierra la sesion SSH con el cortafuego (1) todas las reglas personalizadas sobre sus direcciones IP o sobre su Socket (12) desaparecen.When the user closes the SSH session with the firewall (1) all the custom rules on their IP addresses or on their Socket (12) disappear.

55

1010

15fifteen

Claims (4)

REIVINDICACIONES 1. Metodo de un cortafuegos con reglas dinamicas mediante SQL constituido a partir de un cortafuego de trafico IP de los niveles 2 y 3 del modelo TCP/IP (1) localizado entre dos redes o segmentos de red, focalizandose de la siguiente forma: a un lado los 5 usuarios (2) de una organizacion y al otro los equipos o redes a proteger (3), disponiendo de conectividad a un servidor (4) donde se encuentra alojada la base de datos de inventario de equipos pudiendo ser este servidor (4) el propio cortafuegos (1) siendo en este servidor (4) de base de datos donde mediante tablas indexadas (5) y relacionas entre sf por 10 datos comunes, una empresa u organizacion administra sus equipos informaticos, registra altas, bajas, modificaciones, y los clasifica segun su criterio, como localizacion geografica, situacion, si esta en avena o no, grupo o usuario que tiene acceso a el, contrato en vigor, tipo. y por supuesto la red o direccion IP (12) de estos equipos, dato, este ultimo 15 ,imprescindible para obtener el conjunto de direcciones IP o redes (6) gracias a un lenguaje estructurado de consultas conocido como SQL que debe soportar este servidor (4) de base de datos y un interfaz (7) ,o programa cliente de ejecucion de estas instrucciones, que se aloja en el cortafuegos asociando una o varias sentencias SQL (8) al perfil de un 20 usuario (8) y ejecutando estas ordenes cuando el usuario (2) inicie sesion en el cortafuegos (1), obteniendose y volcando sobre un fichero (9) el resultado con el conjunto de direcciones IP o redes IP (6), a las cuales, a1. Method of a firewall with dynamic rules by means of SQL constituted from an IP traffic firewall of levels 2 and 3 of the TCP / IP model (1) located between two networks or network segments, focusing as follows: a on the one hand the 5 users (2) of an organization and on the other the equipment or networks to be protected (3), having connectivity to a server (4) where the equipment inventory database is housed, this server can be ( 4) the firewall itself (1) being in this database server (4) where through indexed tables (5) and you relate to each other for 10 common data, a company or organization manages its computer equipment, registers high, low, modifications , and classifies them according to their criteria, such as geographic location, situation, whether it is in oats or not, group or user that has access to it, contract in force, type. and of course the network or IP address (12) of these devices, data, the latter 15, essential to obtain the set of IP addresses or networks (6) thanks to a structured query language known as SQL that this server must support ( 4) database and an interface (7), or client execution program of these instructions, which is hosted in the firewall associating one or more SQL statements (8) to the profile of a user (8) and executing these orders when the user (2) logs into the firewall (1), obtaining and dumping on a file (9) the result with the set of IP addresses or IP networks (6), to which, a ese usuario en concreto, se le permite o deniega el acceso mediante la aplicacion de las reglas de filtrado (10).that particular user is allowed or denied access by applying the filtering rules (10). El funcionamiento del metodo consta de las siguientes etapas; en una primera etapa, el usuario (2), con un proceso llamado login, se 5 conecta al cortafuego (1) mediante una sesion SSH, interprete de comandos y protocolo seguro de acceso a maquinas remotas. En una segunda etapa, el cortafuegos valida al usuario con una clave local o consulta la clave en otros servidores externos como es un LDPA (11) corporativo, protocolo ligero de acceso a directorios. En la tercera etapa y 10 si el proceso de login es correcto, el cortafuegos obtiene la direccion IP del host (12) del usuario, su Socket. En una cuarta etapa se obtiene las sentencias SQL (8) del perfil del usuario, ejecuta las ordenes SQL contra la base de datos de inventario, almacena la respuesta del conjunto de direcciones IP en un fichero (9) personal. En una quinta etapa aplica las 15 reglas extrafdas del perfil del usuario (8) sobre estos dos extremos: las direcciones IP del usuario o su Socket y el fichero de direcciones IP o redes IP (6). En la sexta etapa el cortafuego informa al usuario que ya puede cursar trafico hacia las direcciones IP permitidas. El usuario en ese momento puede trabajar normalmente como si no existiese el cortafuego 20 y establecer otras sesiones independientes con los equipos permitidos (6).The operation of the method consists of the following stages; In a first stage, the user (2), with a process called login, connects to the firewall (1) through an SSH session, interpreter of commands and secure protocol for access to remote machines. In a second stage, the firewall validates the user with a local key or queries the key in other external servers such as a corporate LDPA (11), lightweight directory access protocol. In the third stage and 10 if the login process is correct, the firewall obtains the IP address of the user's host (12), its Socket. In a fourth stage, the SQL statements (8) of the user profile are obtained, execute the SQL commands against the inventory database, store the response of the set of IP addresses in a personal file (9). In a fifth stage apply the 15 rules extracted from the user's profile (8) on these two extremes: the user's IP addresses or their Socket and the IP address file or IP networks (6). In the sixth stage the firewall informs the user that it can already carry traffic to the allowed IP addresses. The user at that time can work normally as if there is no firewall 20 and establish other independent sessions with the allowed equipment (6). 2.- Metodo de un cortafuegos con reglas dinamicas mediante SQL, segun reivindicacion 1, caracterizado porque cuando el usuario cierra la2.- Method of a firewall with dynamic rules using SQL, according to claim 1, characterized in that when the user closes the sesion SSH con el cortafuego (1) todas las reglas personalizadas sobre sus direcciones IP o sobre su Socket (12) desaparecen.SSH session with the firewall (1) all custom rules about your IP addresses or your Socket (12) disappear. 3. - Metodo de un cortafuegos con reglas dinamicas mediante SQL, segun reivindicacion 1, caracterizado porque los ficheros de comandos3. - Method of a firewall with dynamic rules using SQL, according to claim 1, characterized in that the command files 5 SQL y los ficheros de reglas personalizadas ubicados en el cortafuegos, se extraen igualmente mediante SQL, de la base de datos de inventario.5 SQL and the custom rules files located in the firewall are also extracted using SQL from the inventory database. 4. - Metodo de un cortafuegos con reglas dinamicas mediante SQL, segun reivindicacion 1, caracterizado porque el dispositivo se virtualiza dentro de otro servidor.4. - Method of a firewall with dynamic rules using SQL, according to claim 1, characterized in that the device is virtualized within another server. 10 5.- Metodo de un cortafuegos con reglas dinamicas mediante SQL,10 5.- Method of a firewall with dynamic rules using SQL, segun reivindicacion 1, caracterizado porque en la sesion obligatoria de login se usa otro programa distinto a SSH como HTTPS, protocolo seguro de transferencia de hipertexto.according to claim 1, characterized in that in the mandatory login session another program other than SSH is used as HTTPS, a secure hypertext transfer protocol. 15fifteen
ES201431060A 2014-07-14 2014-07-14 Firewall method with dynamic rules using SQL Active ES2556252B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
ES201431060A ES2556252B1 (en) 2014-07-14 2014-07-14 Firewall method with dynamic rules using SQL

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES201431060A ES2556252B1 (en) 2014-07-14 2014-07-14 Firewall method with dynamic rules using SQL

Publications (2)

Publication Number Publication Date
ES2556252A1 ES2556252A1 (en) 2016-01-14
ES2556252B1 true ES2556252B1 (en) 2016-12-28

Family

ID=55068698

Family Applications (1)

Application Number Title Priority Date Filing Date
ES201431060A Active ES2556252B1 (en) 2014-07-14 2014-07-14 Firewall method with dynamic rules using SQL

Country Status (1)

Country Link
ES (1) ES2556252B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112311741B (en) * 2019-07-31 2023-04-21 贵州白山云科技股份有限公司 Firewall rule management method, device, medium and equipment

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7380008B2 (en) * 2000-12-22 2008-05-27 Oracle International Corporation Proxy system
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US9461996B2 (en) * 2010-05-07 2016-10-04 Citrix Systems, Inc. Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application

Also Published As

Publication number Publication date
ES2556252A1 (en) 2016-01-14

Similar Documents

Publication Publication Date Title
US9553886B2 (en) Managing dynamic deceptive environments
US9998457B1 (en) Network authentication of a geo-fenced volume
US9680799B2 (en) Masking and unmasking data over a network
US11303667B2 (en) Organization attack surface management
ES2639135T3 (en) Asynchronous secondary fund authorization (SABA)
ES2768049T3 (en) Procedures and systems to secure and protect repositories and directories
RU2017115774A (en) SYSTEMS AND METHODS FOR PROTECTING NETWORK DEVICES
CN105991595A (en) Network security protection method and device
CN106131074B (en) Local area network resource access method and system
US20140208406A1 (en) Two-factor authentication
US20140122716A1 (en) Virtual private network access control
CN110968848B (en) User-based rights management method and device and computing equipment
Konieczny et al. SEADE: Countering the futility of network security
EP3472719B1 (en) Method and apparatus of implementing a vpn tunnel
ES2556252B1 (en) Firewall method with dynamic rules using SQL
Blue et al. A novel approach for secure identity authentication in legacy database systems
US10382483B1 (en) User-customized deceptions and their deployment in networks
Blue et al. A novel approach for protecting legacy authentication databases in consideration of GDPR
US20210099288A1 (en) Key-based security for cloud services
Zegeye et al. Telemetry Networks Cyber Security Architecture
JP2017085273A (en) Control system, control device, control method and program
Crowley et al. Outsmarting the Smart city
Gordon A matter of trust
KR102576357B1 (en) Zero Trust Security Authentication System
US11743264B2 (en) Method of protecting mobile devices from vulnerabilities like malware, enabling content filtering, screen time restrictions and other parental control rules while on public network by forwarding the internet traffic to a smart, secured home router

Legal Events

Date Code Title Description
FG2A Definitive protection

Ref document number: 2556252

Country of ref document: ES

Kind code of ref document: B1

Effective date: 20161228