FR2833122A1 - Procede de communication entre un ordinateur associe a un pare feu et un reseau - Google Patents
Procede de communication entre un ordinateur associe a un pare feu et un reseau Download PDFInfo
- Publication number
- FR2833122A1 FR2833122A1 FR0115692A FR0115692A FR2833122A1 FR 2833122 A1 FR2833122 A1 FR 2833122A1 FR 0115692 A FR0115692 A FR 0115692A FR 0115692 A FR0115692 A FR 0115692A FR 2833122 A1 FR2833122 A1 FR 2833122A1
- Authority
- FR
- France
- Prior art keywords
- computer
- data
- port
- network
- authorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
L'invention conceme un procédé de mise en communication d'un ordinateur relié à un réseau, un pare-feu étant associé à l'ordinateur pour interdire la communication de l'ordinateur avec le réseau selon un ou plusieurs port (s) prédéterminé (s) de l'ordinateur, chacun des ports de l'ordinateur qui est interdit par le pare-feu étant individuellement associé à un type de données particulier transitant entre le réseau et l'ordinateur selon un protocole particulier, au moins un port de l'ordinateur demeurant autorisé pour le transfert de données entre le réseau et l'ordinateur selon un protocole autorisé par le pare feu, caractérisé en ce que le procédé comporte :. l'adaptation de données qui transitent normalement entre le réseau et l'ordinateur sur un port interdit par le pare-feu, en données devant être transmises sur un port autorisé selon un protocole autorisé, et . la transmission desdites données adaptées selon ledit protocole autorisé sur le port autorisé associé de l'ordinateur.
Description
<Desc/Clms Page number 1>
La présente invention concerne un procédé de mise en communication d'un ordinateur avec un réseau.
Plus précisément, l'invention concerne un procédé de mise en communication d'un ordinateur relié à un réseau, un pare-feu étant associé à l'ordinateur pour interdire la communication de l'ordinateur avec le réseau selon un ou plusieurs port (s) prédéterminé (s) de l'ordinateur, chacun des ports de l'ordinateur qui est interdit par le pare-feu étant individuellement associé à un type de données particulier transitant entre le réseau et l'ordinateur selon un protocole particulier, au moins un port de l'ordinateur demeurant autorisé pour le transfert de données entre le réseau et l'ordinateur selon un protocole autorisé par le pare-feu.
Et l'invention trouve une application particulièrement avantageuse, bien que non limitative, dans sa mise en oeuvre avec des serveurs du réseau Internet.
Un ordinateur relié à un réseau tel que le réseau Internet peut échanger avec ce réseau différents types de données.
Parmi ces types de données, on trouve en particulier : * des données audio/vidéo, * des données de dialogue écrit électronique interactif en temps réel (données de chat selon la terminologie anglo-saxonne répandue), * des fichiers divers contenant des données dans un format spécifique.
Ces fichiers peuvent être transmis sous forme compressée. Ils peuvent par exemple contenir des documents texte (format Wordo par exemple), des présentations (format Powerpoint), etc...
L'ordinateur est relié au réseau par l'intermédiaire d'un serveur, pour lequel l'ordinateur constitue un système client.
On précise que par ordinateur , on entend dans ce texte tout type de terminal numérique apte à permettre à un utilisateur de recevoir et/ou de transmettre des données numériques.
Cette définition recouvre ainsi les ordinateurs personnels classiques, et également tous les autres types de terminaux tels que les assistants personnels, téléphones portables de nouvelle génération, etc...
<Desc/Clms Page number 2>
Les différents types de données qui transitent entre le réseau et l'ordinateur empruntent normalement des canaux respectifs différents de communication avec le réseau, chaque port de l'ordinateur étant dédié au transfert de données d'un type particulier provenant d'un canal défini, selon un protocole respectif également particulier.
Ainsi, en ce qui concerne les trois types de données principaux évoqués ci-dessus : * les données audio/vidéo peuvent être transmises selon le protocole
MMS (Multimédia Streaming), * les données de chat peuvent être transmises selon le protocole IRC (Internet Related Chat), et les fichiers de données compressés peuvent être transmises selon le protocole FTP (File Transfer Protocol@).
MMS (Multimédia Streaming), * les données de chat peuvent être transmises selon le protocole IRC (Internet Related Chat), et les fichiers de données compressés peuvent être transmises selon le protocole FTP (File Transfer Protocol@).
Ces protocoles sont en particulier mis en oeuvre lorsque le réseau est le réseau Internet.
Et selon le protocole d'adressage et d'échange de données sur Internet (TCP/IP-Transmission Control/Internet Protocol), les données audio/vidéo transitent ainsi par le port 1755, les données de chat par le port 7000 et les fichiers compressés par le port 21.
Selon le protocole TCP/IP, les ports sont ainsi numérotés de manière standard.
Pour empêcher sélectivement l'ordinateur de recevoir des données du réseau sur certains ports (par exemple pour éviter la réception d'informations indésirables-entre autres en vue de protéger l'ordinateur d'éventuels virus), il est connu de disposer entre l'ordinateur et le réseau (c'est à dire en amont de l'ordinateur) un pare-feu ( firewall selon la terminologie anglo-saxonne répandue).
Un tel pare-feu peut être réalisé sous forme logicielle, et/ou matérielle.
Il peut être associé directement à l'ordinateur (c'est-à-dire dédié individuellement à l'ordinateur), ou être placé en un point de connexion au réseau qui est commun à plusieurs ordinateurs (ceci est le cas en
<Desc/Clms Page number 3>
particulier dans le cas d'une collectivité telle qu'une entreprise dont plusieurs ordinateurs peuvent se connecter à un réseau, en particulier le réseau Internet).
En particulier, dans le cas des entreprises il est courant de n'autoriser l'accès des ordinateurs qu'au port 80, pour le transfert de données selon le protocole HTTP (Hyper Text Transfer Protocol), afin de permettre aux utilisateurs de ces ordinateurs de surfer sur des sites web.
Et dans ce cas, les mêmes utilisateurs ne peuvent pas échanger avec le réseau de données sur des ports différents du port 80, de sorte que les autres possibilités d'Internet leur sont interdites.
Ainsi, de manière générale, il est connu de n'autoriser l'accès des ordinateurs d'une collectivité qu'à certains ports sélectivement.
Les communications sur les ports non autorisés sont dans ce cas interdites par le pare-feu ; en particulier les ordinateurs peuvent alors ne plus pouvoir échanger avec le réseau des données du type mentionnées cidessus (audio/vidéo, chat, fichiers compressés).
Si une telle solution permet effectivement de sécuriser et de contrôler le transfert de données entre le réseau et les ordinateurs placés en aval d'un tel pare-feu, elle comporte cependant l'inconvénient d'interdire de manière absolue le transfert des données qui sont du type transitant normalement par les ports des ordinateurs qui se trouvent ainsi interdits de communication .
Or, il peut être désirable d'autoriser sélectivement l'accès de certains ordinateurs d'une collectivité-dont tous les ordinateurs sont par ailleurs protégés par des pares-feu-à certaines des données du type mentionné cidessus, ou de toutes ces données, tout en maintenant le système de parefeu de manière générale.
Une telle autorisation sélective pourrait concerner seulement certains ordinateurs de la collectivité, et/ou être délivrée seulement pendant certaines périodes.
Par exemple, on peut souhaiter :
<Desc/Clms Page number 4>
* autoriser certains ordinateurs d'une collectivité contrôlée par un pare-feu du type mentionné ci-dessus (et n'autorisant normalement que l'accès au port 80 par exemple) à recevoir des données audio/vidéo, de chat et/ou des fichiers compressés pour des applications spécifiques de téléconférence multimédia en temps réel, * sans pour autant remettre en cause l'architecture générale des pare-feu de l'entité.
Le but de l'invention est de répondre au besoin exprimé ci-dessus.
Afin d'atteindre ce but, l'invention propose un procédé de mise en communication d'un ordinateur relié à un réseau, un pare-feu étant associé à l'ordinateur pour interdire la communication de l'ordinateur avec le réseau selon un ou plusieurs port (s) prédéterminé (s) de l'ordinateur, chacun des ports de l'ordinateur qui est interdit par le pare-feu étant individuellement associé à un type de données particulier transitant entre le réseau et l'ordinateur selon un protocole particulier, au moins un port de l'ordinateur demeurant autorisé pour le transfert de données entre le réseau et l'ordinateur selon un protocole autorisé par le pare-feu, caractérisé en ce que le procédé comporte : * l'adaptation de données qui transitent normalement entre le réseau et l'ordinateur sur un port interdit par le pare-feu, en données devant être transmises sur un port autorisé selon un protocole autorisé, et . la transmission desdites données adaptées selon ledit protocole autorisé sur le port autorisé associé de l'ordinateur.
Des aspects préférés, mais non limitatifs du procédé selon l'invention sont les suivants : * le réseau est un réseau public, en particulier le réseau Internet, 'un port autorisé de l'ordinateur est le port 80, dédié normalement au surf sur les sites web, 'te port 1755 de l'ordinateur est interdit, le type de données associé étant un type audio/vidéo,
<Desc/Clms Page number 5>
* l'adaptation des données de type audio/vidéo est réalisée par intégration en pseudo contenu de pages web, en vue de la transmission du pseudo contenu de page web à un serveur communiquant avec le port 80 de l'ordinateur, *) ledit serveur communiquant avec le port 80 de l'ordinateur est un serveur parallèle relié à un serveur audio/vidéo du réseau, * le flux audio/vidéo entrant est reconstitué au niveau dus système client, w le port 7000 de l'ordinateur est interdit, le type de données associé étant un type chat , 'l'adaptation des données de type chat est réalisée par l'une des techniques suivantes : > ouverture d'un canal virtuel HTTP sécurisé, > encodage en nom de pages web fictives, > intégration desdites données dans un en-tête HTTP.
*) le port 21 ; du système client est interdit, le type de données barré associé étant un type fichier pièces jointes , * l'adaptation des données de type fichier pièce jointe est réalisée en convertissant lesdites données en pages web.
D'autres aspects buts et avantages de l'invention apparaîtront mieux à la lecture de la description suivante d'une forme de réalisation de l'invention, faite en référence aux dessins annexés sur lesquels : * la figure 1 illustre schématiquement une situation classique dans laquelle un ordinateur et un réseau peuvent échanger des données de trois types différents selon trois ports différents, * la figure 2 est une représentation similaire d'une situation également connue, dans laquelle un pare-feu a en outre été interposé entre l'ordinateur et le réseau afin d'interdire l'échange de certains types de données, 'ta figure 3 est une représentation similaire à celles des figures 1 et 2, illustrant de manière schématique le principe de l'invention,
<Desc/Clms Page number 6>
les figures 4a à 4d illustrent schématiquement les éléments mis en oeuvre pour permettre la transmission de données de type audio/vidéo d'un ordinateur vers un serveur audio/vidéo d'un réseau.
En référence aux figures 1 et 2, on a représenté schématiquement une situation connue, dans laquelle un ordinateur 10 est connecté à un réseau 20.
Ce réseau peut en particulier être le réseau Internet.
Comme exposé sur la figure 1, l'ordinateur 10 comporte des moyens 11 d'émission/réception de données audio/vidéo, des moyens 12 d'émission/réception de données de communication écrites temps réel de type chat, et des moyens 13 permettant de surfer sur le web en échangeant avec le réseau des données en voie montante et descendante.
Ces moyens peuvent être de tous type connu, les moyens 11 pouvant être tous logiciels d'émulation et de transfert audio/vidéo, les moyens 12 un logiciel de messagerie et les moyens 13 un navigateur Internet, par exemple.
Chacun de ces trois moyens spécifiques peut être connecté à un serveur respectif du réseau 20, pour échanger avec ce serveur des données d'un type spécifique selon un port et un protocole déterminés.
Ainsi : les moyens 11 peuvent échanger avec un serveur audio/vidéo 21 du réseau 20 des données audio/vidéo sur le port 1755, selon le protocole
MMS, . les moyens 12 peuvent échanger avec un serveur 22 du réseau 20 des données de chat sur le port 7000, selon le protocole IRC, * les moyens 13 permettant quant à eux de se connecter à des serveurs web 23 du réseau 20 pour échanger en voie montante et descendante des données sur le port 80 selon le protocole HTTP.
MMS, . les moyens 12 peuvent échanger avec un serveur 22 du réseau 20 des données de chat sur le port 7000, selon le protocole IRC, * les moyens 13 permettant quant à eux de se connecter à des serveurs web 23 du réseau 20 pour échanger en voie montante et descendante des données sur le port 80 selon le protocole HTTP.
La figure 2 représente un système similaire, auquel on a en outre ajouté un pare-feu 30. Un tel système est également connu.
<Desc/Clms Page number 7>
Comme mentionné ci-dessus, le pare-feu interdit les échanges entre l'ordinateur 10 et le réseau 20 sur certains ports : dans l'exemple de la figure 2 seules les communications sur le port 80 sont ainsi autorisées.
Egalement comme mentionné ci-dessus, le pare-feu 30 peut être individuellement associé à l'ordinateur 10, ou encore être situé en un point de connexion commun permettant à plusieurs ordinateurs de se connecter au réseau 20.
Du fait de la présence de ce pare-feu, le ou les ordinateur (s) connecté (s) au réseau 20 ne peu (ven) t que surfer sur les sites web, les échanges des données des autres types étant impossibles.
En référence maintenant à la figure 3, on a représenté schématiquement l'architecture spécifique permettant de mettre en oeuvre l'invention.
Comme on va le décrire en détail ci-dessous, cette architecture permet de contourner la limitation imposée par le pare-feu 30, en faisant transiter par le port 80 des données correspondant aux données de tous types que l'ordinateur 10 souhaite échanger avec le réseau 20.
Ainsi, concernant les données audio/vidéo dont le transfert est normalement interdit car le port 1755 est barré par le pare-feu, l'ordinateur 10 désirant recevoir du réseau 20 des données de ce type va normalement chercher à contacter le serveur audiolvidéo 21 de ce réseau, selon le protocole MMS.
Et du fait de la présence du pare-feu, cette tentative de connexion va échouer.
Pour obtenir un flux audio/vidéo provenant de ce serveur 21, on a prévu d'utiliser un serveur web du réseau 20 (c'est à dire un serveur permettant d'accéder à des pages web selon le protocole http, sur le port 80).
Ce serveur web joue le rôle d'un relais entre l'ordinateur 10 et le serveur audio/vidéo 21 du réseau 20.
Et des moyens spécifiques sont également prévus au niveau du réseau pour traduire les données audio/vidéo issues du serveur 21 en
<Desc/Clms Page number 8>
pseudo-contenu de pages web selon le protocole HTTP, ces données traduites (dont le contenu comporte toute l'information correspondant aux données audio/vidéo originalement issues du serveur 21) étant ensuite acheminées du serveur relais vers l'ordinateur 10 via le port 80 autorisé.
Et on précise que le serveur relais mis en oeuvre pour recevoir du serveur audiolvidéo 21 les pseudos-contenus HTTP, et les acheminer vers l'ordinateur 10, peut être tout serveur web déterminé. On a ainsi représenté sur la figure 3 le lien direct entre les moyens audio/vidéo de l'ordinateur 10, et l'ensemble 23 de serveurs web.
Afin d'obtenir des données audio/vidéo du serveur 21, l'ordinateur entrera donc en contact avec ce serveur relais. Et il est dans ce cas également prévu des moyens complémentaires dans l'ordinateur (non représentés en détail sur la figure 3 mais intégrés sous la référence générale 11), pour reconstituer un flux audio/vidéo classique à partir des données reçues du réseau en mode HTTP.
On précise que pendant une telle importation de données audio/vidéo, l'ordinateur peut également surfer sur d'autres sites web de l'ensemble 23, le serveur relais étant utilisé en parallèle.
Concernant l'émission de données audio/vidéo de l'ordinateur vers le serveur 21 du réseau, on se référera à la description faite en référence aux figures 4a à 4d à la fin de ce texte.
Pour les échanges de données de type chat entre l'ordinateur 10 et le serveur 22, il n'est pas possible de convertir ces données en paquets de format http, car ce protocole est incompatible avec les données de chat et le serveur associé.
Et pour permettre à l'ordinateur et au réseau d'échanger des données de type chat , on prévoit d'associer à l'ordinateur un module d' entrée/sortie de tunnel 121.
Ce module 121 est relié à un autre module d'entrée/sortie de tunnel 221, et qui est un serveur web parallèle du réseau. Les modules 121 et 221 sont ainsi prévus pour échanger des données au format http, sur le port 80.
<Desc/Clms Page number 9>
Le module 121 peut utiliser plusieurs techniques pour incorporer dans des paquets de données obéissant au format http, l'information comprise dans des données originalement au format chat telles que les moyens 12 en reçoivent et émettent.
Selon une première technique, le module 121 procède à l'ouverture d'un canal virtuel http sécurisé, entre l'ordinateur et le réseau.
Un tel canal virtuel sécurisé peut être établi par l'intermédiaire d'une connexion réseau TCP/IP utilisant le protocole standard HTTPs.
Certains pare-feu n'acceptant pas la constitution de tels canaux, en cas d'échec avec cette première technique et selon une deuxième technique le module 121 encode les données de chat à transmettre en noms de pages web fictives à atteindre.
Ainsi, si les moyens 12 de l'ordinateur doivent envoyer un élément de dialogue (par exemple bonjour ), le module 121 transforme cet élément de dialogue en une requête fictive pour accéder à la page web dont l'adresse comprend ledit élément de dialogue, intégré à la requête selon un protocole déterminé.
Une forme de requête élaborée par le module 121 peut ainsi être de tenter d'accéder à la page dont l'adresse est http ://AdresseIP/DONNEES CODEES POUR BONJOUR. htm.
Le pare-feu laissera alors passer une telle requête, qui est dirigée par le module 121 vers le module 221.
Et ce module 221 comprend des moyens pour extraire d'une telle requête fictive l'élément de dialogue, le module 221 disposant également dudit protocole déterminé qui permet d'intégrer à la requête l'élément de dialogue.
En cas maintenant d'échec selon ce deuxième type de technique, il est également possible de faire intégrer, par le module 121, les éléments de dialogue dans un en-tête http.
On rappelle ici qu'un en-tête http est en règle générale utilisé par les serveurs web pour communiquer entre eux : un tel en-tête contient le nom
<Desc/Clms Page number 10>
du serveur web qui répond, ainsi que la version du protocole http (1.0, 1.1 etc).
Dans la mise en oeuvre de l'invention, les informations à transmettre sont tout simplement intégrées dans cet en-tête.
Quel que soit le type de technique retenu, le fonctionnement des modules 121 et 221 est symétrique, chaque module comprenant des moyens pour encoder et décoder de manière correspondante les données de chat à transmettre.
Le module 121 est ainsi apte à recevoir des moyens 12 des données de chat et à les encoder sous une forme transmissible via la liaison du module 121 avec le module 221, en mode http sur le port 80. Le module 121 est également apte à reconvertir au format chat des données reçues encodées du module 221, et à les transmettre aux moyens 12.
Et il en est de même du module 221 pour le serveur 22.
En ce qui concerne maintenant le transfert des données de fichiers compressés, dans le cas où une requête de transfert de telles données, adressée par l'ordinateur au réseau, échoue, les fichiers à transférer seront présentés comme des contenus de pages web et transmis en mode http, sur le port 80.
Des moyens spécifiques du réseau sont alors prévus pour constituer une page web fictive avec chaque fichier à transmettre à l'ordinateur.
Ceci peut se faire par exemple en référençant le fichier à transmettre par une référence interne, ou externe, dans le fichier source de la page web créée.
Et des moyens sont également associés à l'ordinateur, pour : * présenter auprès desdits moyens du réseau (qui sont un serveur web parallèle) une requête fictive de consultation de page web fictive, récupérer sur l'ordinateur la page web fictive par le port 80, * et extraire d'une telle page web fictive le fichier. A cet égard, on précise que le début du fichier à transmettre est matérialisé dans le code source de la page web fictive par un mot clé prédéterminé, et il en est de même
<Desc/Clms Page number 11>
pour la fin de fichier. Ces mots-clés peuvent être par exemple < FICHIER > , et < /FICHIER > respectivement.
On va maintenant décrire les moyens spécifiques permettant à l'ordinateur 10 d'émettre vers le réseau des données de type audio/vidéo, en référence aux figures 4a à 4d.
Partant donc d'une situation dans laquelle les moyens 11 de l'ordinateur 10 encodent des données audio/vidéo devant être transmises au réseau 20, de telles données ne peuvent normalement être transmises au réseau que si les moyens 11 ont reçu une requête de la part du serveur 21 audio/vidéo du réseau.
Or, une telle demande, étant normalement acheminée jusqu'à l'ordinateur via le port 1755, serait donc bloquée par le pare-feu et n'aboutirait pas aux moyens 11.
Pour contourner cette difficulté, les serveur 21 comporte les éléments suivants connectés en série : Un serveur 210 de type windows Media serveur, qui permet de recevoir les flux audio/vidéo et de les ré-émettre. Ce serveur est configuré pour accepter des données en entrée sur un port spécifique, par exemple le port 1000, * Un ensemble logiciel 212 comprenant deux entrées/sorties 2121 et 2122 montées en série, chacune de ces entrées/sorties étant en écoute sur un port respectif.
Dans l'exemple décrit ici, l'entréelsortie 2121 scrute ainsi l'arrivée de données sur le port de sortie du module de sortie de tunnel (port 9000), et l'entrée/sortie 2122 est apte à transmettre des données sur le port d'entrée du serveur 210 (ici le port 1000). Par ailleurs, ces deux entrées/sorties peuvent échanger entre elles des données, * Un module 211 de sortie de tunnel http, dont l'entrée est apte à scruter l'arrivée de données sur le port 80. Ce module est un serveur web parallèle. Il est capable de mettre en oeuvre chacune des trois techniques décrites plus haut pour faire transiter par le port 80 des données qui ne sont pas originairement au format http. Il restitue en
<Desc/Clms Page number 12>
sortie ces données traduites (comme cela va être expliqué), sur un port dédié (par exemple le port 9000).
Et l'ordinateur comporte, en association avec les moyens 11, les éléments suivants connectés en série : Un encodeur 110, apte à encoder les données audio/vidéo que l'ordinateur désire émettre vers le réseau, sur le port 7007 et selon le protocole MSBD-MSDB est un protocole propriétaire de Microsoft
Corporation, 'Un ensemble logiciel 112 comprenant deux entrées/sorties 1121 et 1122 montées en série, chacune de ces entrées/sorties étant en écoute sur un port respectif.
Corporation, 'Un ensemble logiciel 112 comprenant deux entrées/sorties 1121 et 1122 montées en série, chacune de ces entrées/sorties étant en écoute sur un port respectif.
Dans l'exemple décrit ici, l'entrée/sortie 1122 scrute ainsi l'arrivée de données sur le port de sortie de l'encodeur (port 7007), et l'entrée/sortie
1121 est apte à transmettre des données sur le port d'entrée du module
111 (ici le port 5000). Par ailleurs, ces deux entrées/sorties peuvent échanger entre elles des données, 'Un module 111 d'entrée de tunnel http, qui scrute en entrée sur un port dédié (par exemple sur le port 5000), et qui restitue en sortie les données, sur le port 80 qui est autorisé par le pare-feu, à destination du module de sortie de tunnel 211 auquel il est connecté.
1121 est apte à transmettre des données sur le port d'entrée du module
111 (ici le port 5000). Par ailleurs, ces deux entrées/sorties peuvent échanger entre elles des données, 'Un module 111 d'entrée de tunnel http, qui scrute en entrée sur un port dédié (par exemple sur le port 5000), et qui restitue en sortie les données, sur le port 80 qui est autorisé par le pare-feu, à destination du module de sortie de tunnel 211 auquel il est connecté.
En référence maintenant aux figures 4b à 4d, on va décrire le fonctionnement de ces éléments.
En référence à la figure 4b, t'entrée/sortie 1121 appelle le port 5000, ce qui a pour conséquence d'ouvrir le tunnel http.
Avant cette ouverture, aucune connexion n'était établie entre les moyens 11 et le réseau. Après ouverture de ce tunnel, une connexion est donc établie entre les moyens 11 et le serveur 21.
Par ailleurs, les entrées/sorties sont activées, de sorte que : Toute donnée entrante sur l'entrée/sortie 2121 sera ensuite émise en sortie par l'entrée/sortie 2122, 'Toute donnée entrante sur l'entrée/sortie 2122 sera ensuite émise en sortie par l'entrée/sortie 2121,
<Desc/Clms Page number 13>
e Toute donnée entrante sur l'entrée/sortie 1121 sera ensuite émise en sortie par l'entrée/sortie 1122, e Toute donnée entrante sur l'entrée/sortie 1122 sera ensuite émise en sortie par l'entrée/sortie 1121.
Et les flèches en traits épais symbolisent ainsi les voies de communication qui sont activées, entre les différentes éléments mentionnés ci-dessus.
En référence maintenant à la figure 4c, le serveur 210 émet une requête pour demander à l'ordinateur 10 un flux de données audio/vidéo.
Cette requête est en fait dirigée vers appelle l'entrée/sortie 2122, qui joue le rôle d'un leurre vis-à-vis du serveur 210, qui croit communiquer avec les moyens 11.
L'entrée/sortie 2122 transfère ensuite la requête, qui va parvenir jusqu'à l'encodeur 110, sur le port 7007.
Et dans les moyens 11, t'entrée/sortie 1122 est considérée comme un serveur audio/vidéo par ledit encodeur, jouant également le rôle d'un leurre.
De la sorte, la requête de flux de données audio/vidéo peut parvenir jusqu'aux moyens 11, ce qui va déclencher l'émission d'un flux de données par ces moyens à destination du serveur 21.
En référence maintenant à la figure 4d, l'encodeur 110 émet donc ses données audio/vidéo par paquets.
Les paquets émis sont transférés par les différents éléments décrits ci-dessus et montés en série, jusqu'au serveur 210. Et c'est la déconnexion de ce serveur 210 qui clôt la communication.
Claims (11)
- REVENDICATIONS 1. Procédé de mise en communication d'un ordinateur relié à un réseau, un pare-feu étant associé à l'ordinateur pour interdire la communication de l'ordinateur avec le réseau selon un ou plusieurs port (s) prédéterminé (s) de l'ordinateur, chacun des ports de l'ordinateur qui est interdit par le pare-feu étant individuellement associé à un type de données particulier transitant entre le réseau et l'ordinateur selon un protocole particulier, au moins un port de l'ordinateur demeurant autorisé pour le transfert de données entre le réseau et l'ordinateur selon un protocole autorisé par le pare-feu, caractérisé en ce que le procédé comporte : * l'adaptation de données qui transitent normalement entre le réseau et l'ordinateur sur un port interdit par le pare-feu, en données devant être transmises sur un port autorisé selon un protocole autorisé, et * la transmission desdites données adaptées selon ledit protocole autorisé sur le port autorisé associé de l'ordinateur.
- 2. Procédé selon la revendication 1, caractérisé en ce que le réseau est un réseau public, en particulier le réseau Internet.
- 3. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'un port autorisé de l'ordinateur est le port 80, dédié normalement au surf sur les sites web.
- 4. Procédé selon l'une des revendications précédentes, caractérisé en ce que le port 1755 de l'ordinateur est interdit, le type de données associé étant un type audio/vidéo.
- 5. Procédé selon la revendication précédente, caractérisé en ce que l'adaptation des données de type audio/vidéo est réalisée par intégration<Desc/Clms Page number 15>en pseudo contenu de pages web, en vue de la transmission du pseudo contenu de page web à un serveur communiquant avec le port 80 de l'ordinateur.
- 6. Procédé selon la revendication précédente prise en combinaison avec la revendication 2, caractérisé en ce que ledit serveur communiquant avec le port 80 de l'ordinateur est un serveur parallèle relié à un serveur audio/vidéo du réseau.
- 7. Procédé selon l'une des revendications 4 à 6, caractérisé en ce que le flux audio/vidéo entrant est reconstitué au niveau dus système client.
- 8. Procédé selon l'une des revendications précédentes, caractérisé en ce que le port 7000 de l'ordinateur est interdit, le type de données associé étant un type chat .
- 9. Procédé selon la revendication précédente, caractérisé en ce que l'adaptation des données de type chat est réalisée par l'une des techniques suivantes : * ouverture d'un canal virtuel HTTP sécurisé, . encodage en nom de pages web fictives, intégration desdites données dans un en-tête HTTP.
- 10. Procédé selon l'une des revendications précédentes, caractérisé en ce que le port 21 ; du système client est interdit, le type de données barré associé étant un type fichier pièces jointes .
- 11. Procédé selon la revendication précédente, caractérisé en ce que l'adaptation des données de type fichier pièce jointe est réalisée en convertissant lesdites données en pages web.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0115692A FR2833122B1 (fr) | 2001-12-05 | 2001-12-05 | Procede de communication entre un ordinateur associe a un pare feu et un reseau |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0115692A FR2833122B1 (fr) | 2001-12-05 | 2001-12-05 | Procede de communication entre un ordinateur associe a un pare feu et un reseau |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2833122A1 true FR2833122A1 (fr) | 2003-06-06 |
| FR2833122B1 FR2833122B1 (fr) | 2004-04-02 |
Family
ID=8870116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0115692A Expired - Fee Related FR2833122B1 (fr) | 2001-12-05 | 2001-12-05 | Procede de communication entre un ordinateur associe a un pare feu et un reseau |
Country Status (1)
| Country | Link |
|---|---|
| FR (1) | FR2833122B1 (fr) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
-
2001
- 2001-12-05 FR FR0115692A patent/FR2833122B1/fr not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
Non-Patent Citations (4)
| Title |
|---|
| "Behavior of and Requirements for Internet Firewalls", RFC2979, 2000, pages 1 - 5, XP002200715 * |
| JABBER: "Jabber WebClient", JABBER, 2001, Internet, pages 1 - 2, XP002200713 * |
| LINKTIVITY: "WebDemo Technology Overview", LINKTIVITY, 2001, Internet, pages 5, XP002200714 * |
| POLYCOM: "Firewall Management: Hosting Internet Accessible Streaming Media Content", POLYCOM, 1999, Internet, pages 1 - 3, XP002200712 * |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2833122B1 (fr) | 2004-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7941841B2 (en) | Firewall-tolerant voice-over-internet-protocol (VoIP) emulating SSL or HTTP sessions embedding voice data in cookies | |
| EP1672874B1 (fr) | Procédé de transmission securisée, système, pare-feu et routeur le mettant en oeuvre | |
| FR2925247A1 (fr) | Controle de l'interfac d'emission d'un message de reponse sip | |
| EP2084879B1 (fr) | Systeme securise pour transferer des donnees entre deux equipements | |
| CA2703298A1 (fr) | Bidirectional gateway with enhanced security level | |
| FR2858896A1 (fr) | Procede de masquage des traitements applicatifs d'une requete d'acces a un serveur et systeme de masquage correspondant | |
| EP2023533A1 (fr) | Procédé et installation de classification de trafics dans les réseaux IP | |
| EP2215801A2 (fr) | Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede. | |
| FR2973626A1 (fr) | Mecanisme de redirection entrante sur un proxy inverse | |
| WO2006108989A2 (fr) | Procede de lutte contre l'envoi d'information vocale non sollicitee | |
| EP1758337A1 (fr) | Procédé de transmission securisée de données, via des reseaux, par échange d'informations d'encryptage, et dispositif d'encryptage/decryptage correspondant | |
| EP1758338B1 (fr) | Procédé et équipement de communication sécurisé pour le traitement des paquets de données selon le mécanisme SEND | |
| EP2347555A1 (fr) | Procédé d'établissement d'une liaison entre les applications d'une carte d'authentification d'un abonné et un réseau ims | |
| EP1964363B1 (fr) | Procédé de transfert de flux de communication | |
| EP3370363A1 (fr) | Solution de transport de donnees hybride notamment pour liaisons par satellite | |
| EP0676881B1 (fr) | Vérification d'intégrité de données échangées entre deux stations de réseau de télécommunications | |
| WO2004086719A2 (fr) | Systeme de transmission de donnees client/serveur securise | |
| FR2833122A1 (fr) | Procede de communication entre un ordinateur associe a un pare feu et un reseau | |
| EP2604013B1 (fr) | Procede et architecture de systeme d'ouverture de canaux sur etablissement de communication voip en mode clair p bgan, swiftbroadband et fleetbroadband | |
| Simon et al. | Voice over IP: Forensic computing implications | |
| WO2008145901A1 (fr) | Procede et dispositif d'interface entre les protocoles udp ou tcp et sctp | |
| WO2005079014A1 (fr) | Systeme de communication entre reseaux ip prives et publcs | |
| EP2171966B1 (fr) | Gestion de sessions multi-flux entre un terminal et un serveur | |
| EP1239647A1 (fr) | Procédé et dispositifs de sécurisation d'une session de communication | |
| Tinglev | Visions and delimitations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20070831 |