FR2848046A1 - Procede et dispositif d'acces pour securiser l'acces aux systemes d'information - Google Patents
Procede et dispositif d'acces pour securiser l'acces aux systemes d'information Download PDFInfo
- Publication number
- FR2848046A1 FR2848046A1 FR0215144A FR0215144A FR2848046A1 FR 2848046 A1 FR2848046 A1 FR 2848046A1 FR 0215144 A FR0215144 A FR 0215144A FR 0215144 A FR0215144 A FR 0215144A FR 2848046 A1 FR2848046 A1 FR 2848046A1
- Authority
- FR
- France
- Prior art keywords
- data
- application protocol
- access device
- computer
- analysis module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
L' invention concerne un procédé et un dispositif d'accès pour sécuriser l'accès logique à des informations (1) et/ou à des ressources informatiques (2) d'un ensemble d'équipements informatiques (3) en ralentissant le moins possible l'accès logique.L'ensemble d'équipements informatiques (3) échange des données (4) avec un réseau de télécommunication informatique (5), via ledit dispositif d'accès (6). Les données (4) comportent des données transportées (7) conformément à au moins un protocole applicatif (8) et des données de transport (9).Le dispositif d'accès (6) comprend :- un système d'exploitation (10) comportant un module d'analyse (14) approprié pour chaque protocole applicatif (8),- des moyens de filtration pour filtrer, dans ledit système d'exploitation (10), lesdites données transportées (7), au moyen desdits modules d'analyse (14).
Description
B10962
PROCEDE ET DISPOSITIF D'ACCES POUR SECURISER L'ACCES AUX SYSTEMES D'INFORMATI ON La présente invention concerne un procédé et un dispositif pour sécuriser l'accès aux systèmes d'information.
Définitions Au sens de la présente invention, on désigne d'une 5 manière générale par "applications" des applications logicielles dans le domaine des communications.
Au sens de la présente invention, on désigne d'une manière générale par protocole "applicatif" un protocole qui régit l'échange d'information entre applications.
Au sens de la présente invention, on désigne d'une manière générale par attaque applicative une attaque qui utilise: * soit les vulnérabilités d'un protocole "applicatif", * soit les vulnérabilités liées à l'implémentation par un développeur d'un protocole "applicatif", * soit les vulnérabilités liées à l'utilisation d'une application, notamment par un administrateur réseau.
Le problème posé Contexte: Sécurité d'accès aux systèmes d'information Tous les experts s'entendent sur le fait que le risque lié à la sécurité informatique est en très forte progression.
Quels sont les facteurs de croissance de ce risque ? Trois facteurs principaux ont été identifiés.
Premier facteur de risque la croissance exponentielle du nombre de pirates.
Le nombre des internautes a été multiplié par deux en trois ans. Ils disposent de boîtes à outils en libre-service sur le net. Les législations internationales visant à réduire les 10 fraudes sont inexistantes; par exemple au Japon il n'y a pas de loi sur la cyber- délinquance. Enfin, on constate un développement d'un nouveau type de pirate dans les lycées et les campus universitaires pour qui le piratage est un jeu et cracker le plus grand nombre de sites un concours. Ces pirates 15 informatiques, communément appelés des "script kiddies" n'ont que peu de connaissances techniques, mais ils utilisent des "boîtes à outils" de programmes, généralement trouvées sur Internet, permettant d'attaquer des systèmes informatiques.
Deuxième facteur de risque la mondialisation des échanges. Dans l'ère de l'entreprise communicante et de la réduction des cots, les entreprises sont tenues d'utiliser des médias de communication efficace du type Internet permettant des échanges de mail, des sites de e-commerce, des edi (échange de 25 documents informatisés).
Les entreprises échangent de plus en plus de documents. Ces documents contiennent de plus en plus informations. Ces informations ont de plus en plus de valeur.
Par ailleurs, les entreprises sont tenues d'aller 30 vite. Elles ne prennent pas toujours toutes les précautions qu'elles devraient prendre.
Troisième facteur de risque l'ouverture des entreprises sur le monde implique que les systèmes informatiques soient eux aussi de plus en plus ouverts vers l'extérieur. Les 35 systèmes informatiques sont interconnectés. Le LAN de l'entreprise (Local Area Network. Réseau local de l'entreprise) devient un des postes du réseau mondial.
On constate également que les systèmes informatiques sont de plus en plus complexes. Ils présentent de ce fait des 5 bugs autrement dits trous de sécurité. Par ailleurs des systèmes informatiques complexes sont difficiles à administrer et par conséquent difficiles à sécuriser.
La statistique 2001 du CERT (Computer Emergency Response Team) a répertorié, en 2001, 52658 délits, soit une 10 croissance de 142% par rapport à 2000.
Comment réussit-on à pénétrer un système informatique La quasi-totalité des attaques de vulnérabilité peut être répartie en trois classes: - (a) Les attaques exploitant une faiblesse des protocoles utilisés (par exemple le Sniffing sur IP). Le Sniffing sur IP est une technique qui consiste à intercepter une communication sur un réseau pour obtenir des informations.
- (b) Les attaques exploitant un bug se situant dans 20 la pile TCP/IP du système d'exploitation. Certaines attaques sont connues sous le nom de " Ping de la mort ", " Teardrop ".
On rappelle brièvement qu'au sens de la présente invention les sigles: * TCP: Transmission Control Protocol, désigne un Protocole de transport (niveau OSI/4) utilisé dans la famille de protocoles TCP/IP, * TCP/IP Transmission Control Protocol/Internet Protocol, désigne une famille de protocoles utilisés dans l'interconnexion de réseaux de type IP.
- (c) Les attaques "applicatives" utilisant les données transportées. On peut notamment mentionner des attaques "applicatives" exploitant des bugs dans les applications de communication des systèmes, par exemple des trous de sécurité dans les serveurs DNS bind ou dans les serveurs Web IIS. On rappelle brièvement qu'au sens de la présente invention les sigles: * DNS (Domain Name System) désigne un Protocole "applicatif" permettant la conversion de nom de système (par exemple: www.yahoo.com) en adresse IP (par exemple 123.234.231.135), * IP (Internet Protocol) désigne un protocole de réseau (Niveau OSI/3) utilisé sur le réseau Internet.
Il ressort des statistiques que la grande majorité des 10 vulnérabilités découvertes se trouvent au niveau des attaques "applicatives". Ainsi, la principale menace se situe au niveau des trous de sécurité des applications de communication.
Tel est le problème posé par la présente invention réduire les risques des attaques "applicatives". 15 L'art antérieur On connaît deux technologies pour résoudre le problème posé et assurer la sécurité des réseaux IP: La technologie, ci-après dénommée technologie "Stateful", La technologie, ci-après dénommée technologie "Proxy".
(a) La technologie "Stateful" autrement dit maintien d'une table de connexion active (al) La technologie de "filtrage statique de paquet" (static packet filtering) Les premières fonctionnalités de protection des réseaux IP étaient intégrées dans des routeurs. Les routeurs intègrent un mécanisme de filtrage de paquets IP statiques. En fonction des informations lues dans l'entête des paquets IP, au niveau des entêtes Réseau et Transport, le paquet est accepté ou 30 non grâce à une liste de règles de filtrage définie par un administrateur. L'inconvénient principal de cette technologie est son côté statique. Elle ne peut rattacher un "paquet de réponse" à un "paquet de requête" émis quelques instants plus tôt. Par conséquent, lorsqu'on utilise une technologie de 35 "filtrage statique de paquet", on est obligé d'accepter tous les "paquets de réponse" sans pouvoir les rattacher aux requêtes précédemment émises. Il en résulte un problème en terme de sécurité puisqu'il suffit, par exemple, de positionner le drapeau ACK dans l'entête TCP d'un paquet pour que ce paquet 5 soit accepté par le routeur. On rappelle brièvement qu'au sens de la présente invention le sigle ACK (ACKnowledgement, Accusé de réception) désigne un drapeau utilisé dans une entête de type TCP. (a2) La technologie "Stateful" La technologie "Stateful" surmonte en partie cet inconvénient en gérant une table de connexions actives, qui permet de rattacher les "paquets de réponse" aux "paquets de requête" émis précédemment. De plus, cette technologie implique généralement la lecture d'informations dans les données 15 transportées, par opposition aux informations contenues dans l'en tête du paquet, pour permettre la gestion des connexions secondaires, basées sur des ports dynamiques. Par exemple, tout transfert FTP utilise une connexion secondaire dynamique, dont les ports sont négociés via la connexion de contrôle sur le port 20 tcp/21. On rappelle brièvement qu'au sens de la présente invention le sigle FTP (File Transfer Protocol) désigne un protocole utilisé pour transférer des fichiers sur un réseau de type TCP/IP.
La technologie "Stateful" est généralement implémentée 25 dans le noyau des systèmes, voire embarquée dans un système temps réel, ce qui assure de bonnes performances en termes de débit. En revanche la technologie "Stateful" ne permet pas d'assurer le respect des protocoles "applicatifs" au cours d'un échange de données, puisque la technologie "Stateful" se limite 30 à extraire des données transportées les informations nécessaires à l'établissement et au maintien des connexions secondaires. Or, ainsi que cela a été expliqué, les risques d'attaque se situent principalement au niveau des données transportées.
(b) La technologie "Proxy" Dans le cas de la technologie "Proxy", autrement appelée technologie "Mandataire", le client ne s'adresse pas directement au serveur. Par exemple, le browser appelé aussi navigateur, se connecte au serveur Web également appelé serveur 5 réseau, en passant par un "Proxy" qui va effectuer la requête à sa place et lui renvoyer la réponse.
Cette technologie permet donc de filtrer les données transportées, ce qui a un intérêt évident en terme de sécurité.
Par contre, son implémentation en tant qu'application située 10 "audessus" d'un système d'exploitation, la rend beaucoup moins performante en termes de débit que la technologie "Stateful".
Cet inconvénient majeur de la technologie "Proxy" entraîne des performances insuffisantes par rapport aux débits recherchés sur les réseaux IP.
Conclusion On peut donc résumer de la manière suivante les inconvénients des solutions connues.
La sécurité de la technologie "Stateful" est insuffisante. Le débit de la technologie "Proxy" est insuffisant La solution selon l'invention La technologie proposée par la présente invention sera ci-après désignée par le sigle FAST, ou également en langue anglaise: Fast Applicative Shield Technology. La technologie 25 FAST résout le problème posé en évitant les inconvénients des technologies connues "Stateful" et "Proxy ". La technologie FAST permet de sécuriser l'accès aux systèmes d'information en évitant les risques d'attaques "applicatives" et en limitant les pertes de débit.
Procédé L'invention concerne un procédé pour sécuriser l'accès logique à des informations et/ou à des ressources informatiques d'un ensemble d'équipements informatiques en ralentissant le moins possible l'accès logique. L'ensemble d'équipements 35 informatiques échange des données avec un réseau de télécommunication informatique, via un dispositif d'accès. Les données comportent des données transportées conformément à au moins un protocole applicatif et des données de transport. Le dispositif d'accès comporte un système d'exploitation.
Le procédé selon l'invention comprend les étapes suivantes: - l'étape de définir pour chaque protocole applicatif, un automate à état fini, l'étape de modéliser, sous la forme d'un modèle, 10 chaque automate à état fini, - l'étape de générer au moyen d'un interpréteur, à partir de chaque modèle, un module d'analyse de chaque protocole applicatif, - l'étape de filtrer, dans le système d'exploitation, les données transportées, au moyen des modules d'analyse. De préférence, selon l'invention, le procédé comprend en outre l'étape de vérifier au moyen des modules d'analyse la conformité des données transportées par rapport aux protocoles 20 applicatifs concernés.
De préférence, selon l'invention, le procédé comprend en outre l'étape de restreindre au moyen du module d'analyse les possibilités offertes par un protocole applicatif.
Grâce à la combinaison de ces deux fonctionnalités 25 (Vérifier et Restreindre), la technologie selon l'invention permet de détecter et de bloquer un nombre important d'attaques "applicatives". Il a pu être établi que ces deux fonctionnalités permettent de détecter et de bloquer 90% des attaques connues sur les serveurs Web Apache et IIS sans qu'il soit nécessaire de 30 leur intégrer une "base de signature d'attaques" comme dans le cas des systèmes de détection d'intrusion.
De préférence, selon l'invention, le procédé comprend en outre l'étape, pour un administrateur réseau, de paramétrer les modules d'analyse en fonction de restrictions 35 prédéterminées.
Dispositif L'invention concerne également un dispositif d'accès pour sécuriser l'accès logique à des informations et/ou à des ressources informatiques d'un ensemble d'équipements informatiques en ralentissant le moins possible l'accès logique.
L'ensemble d'équipements informatiques échange des données avec un réseau de télécommunication informatique, via le dispositif d'accès. Les données comportent des données transportées conformément à au moins un protocole applicatif et des données 10 de transport. Le dispositif d'accès comporte: - un système d'exploitation comportant un module d'analyse approprié pour chaque protocole applicatif, - des moyens de filtration pour filtrer, dans le système d'exploitation, les données transportées, au moyen des 15 modules d'analyse.
De préférence, selon l'invention, chaque module d'analyse implémente un automate à états finis représentatif d'un protocole applicatif déterminé.
De préférence, selon l'invention, les modules 20 d'analyse comportent des premiers moyens de traitement informatique pour vérifier la conformité des données transportées par rapport aux protocoles applicatifs concernés.
De préférence, selon l'invention, les modules d'analyse comportent des seconds moyens de traitement 25 informatique pour restreindre les possibilités offertes par un protocole applicatif.
De préférence, selon l'invention, le dispositif d'accès comprend en outre des moyens de paramétrage permettant à un administrateur réseau de paramétrer les modules d'analyse en 30 fonction de restrictions prédéterminées.
Description détaillée D'autres caractéristiques et avantages de l'invention apparaîtront à la lecture de la description de variantes de réalisation de l'invention données à titre d'exemple indicatif 35 et non limitatif, et de la - figure 1 qui représente de manière schématique un réseau local d'entreprise 3 protégé par un dispositif 6 selon l'invention contre des attaques provenant d'un réseau de communication informatique de type Internet, - figure 2 qui représente la structure des données 4 échangées via un dispositif 6 selon l'invention, - figure 3 qui représente de manière schématique un dispositif 6 selon l'invention, - figure 4 qui représente de manière schématique la 10 méthode de construction d'un module d'analyse 14 à partir d'un automate à états finis.
On va maintenant décrire en se référant aux figures et notamment à la figure 1 un réseau local d'entreprise 3 protégé par un dispositif 6 selon l'invention contre des attaques 15 provenant d'un réseau de communication informatique 5 de type Internet. Le dispositif d'accès 6 a pour objet de sécuriser l'accès logique à des informations 1 et/ou à des ressources informatiques 2 d'un ensemble d'équipements informatiques 3 en 20 ralentissant le moins possible ledit accès logique.
L'ensemble d'équipements informatiques 3 échange des données 4 avec un réseau de télécommunication informatique 5, via ledit dispositif d'accès 6. Dans le cas de la variante de réalisation décrite le réseau de télécommunication informatique 25 5 est du type Internet. Les équipements informatiques 3 peuvent être des serveurs, des postes de travail etc De manière connue en soi, les données 4 comportent des données transportées 7 conformément à au moins un protocole applicatif 8 et des données de transport 9 (voir figure 2).
Le dispositif d'accès 6 selon l'invention comprend un système d'exploitation 10. Le système d'exploitation 10 comporte des modules d'analyse 14 appropriés pour chaque protocole applicatif 8 utilisé. Les modules d'analyse 14 du système d'exploitation 10 filtrent les données transportées 7.
Chaque module d'analyse 14 implémente un automate à états finis 11 représentatif d'un protocole applicatif 8 déterminé. Pour réaliser un module d'analyse 14, on modélise sous la forme d'un modèle 12 chaque automate à états finis 11, 5 notamment en utilisant une matrice de transition des états. Puis on génère au moyen d'un interpréteur 13, à partir de chaque modèle 12, le module d'analyse 14 de chaque protocole applicatif 8 (voir figure 4).
Chaque module d'analyse 14 comporte des premiers 10 moyens de traitement informatique 17 pour vérifier la conformité des données transportées 7 par rapport aux protocoles applicatifs 8 concernés. Chaque module d'analyse 14 comporte en outre des seconds moyens de traitement informatique 18 pour restreindre les possibilités offertes par un protocole 15 applicatif 8.
Le système d'exploitation et les modules d'analyse 14 associés constituent des moyens de filtration des données transportées 7.
Le dispositif d'accès 6 comprend en outre des moyens 20 de paramétrage 19. Ces moyens de paramétrage 19 permettent à un administrateur réseau 15 de paramétrer les modules d'analyse 14 en fonction de restrictions prédéterminées 16, ainsi que cela sera ci-après précisé.
Grâce au dispositif d'accès 6 selon l'invention, il 25 est possible de vérifier le bon respect des protocoles applicatifs, ce qui permet de bloquer un très grand nombre d'attaques "applicatives" sans les connaître, notamment celles violant les RFC ("Normes IP "). On rappelle brièvement qu'au sens de la présente invention le sigle RFC (Request For Comment) 30 désigne différents documents normatifs dans lesquels sont spécifiés les différents protocoles de la famille TCP/IP.
De plus, la technologie selon l'invention permet de restreindre les possibilités offertes par une application. Par exemple, la technologie selon l'invention permet de limiter les il commandes disponibles sur un protocole "applicatif" ou de n'autoriser l'accès qu'à certaines données, etc...
Grâce à la combinaison de ces deux fonctionnalités (Vérifier et Restreindre), la technologie selon l'invention 5 permet de détecter et de bloquer un nombre important d'attaques "applicatives". Il a pu être établi que ces deux fonctionnalités permettent de détecter et de bloquer 90% des attaques connues sur les serveurs Web Apache et IIS sans qu'il soit nécessaire de leur intégrer une "base de signature d'attaques" comme dans le 10 cas des systèmes de détection d'intrusion.
La technologie selon l'invention a été développée sur un système d'exploitation Linux. Il est à la portée de l'homme de métier de la mettre oeuvre sur d'autres systèmes du même type.
NOMENCLATURE
Groupe nominal Réf. Num. informations 1 ressources informatiques 2 ensemble d'équipements informatiques 3 données 4 réseau de télécommunication informatique 5 dispositif d'accès 6 données transportées 7 protocole applicatif 8 données de transport 9 système d'exploitation 10 automate à états finis il modèle 12 interpréteur 13 module d'analyse 14 administrateur réseau 15 restrictions prédéterminées 16 premiers moyens de traitement informatique 17 seconds moyens de traitement informatique 18 moyens de paramétrage 19
Claims (9)
1. Procédé pour sécuriser l'accès logique à des informations (1) et/ou à des ressources informatiques (2) d'un ensemble d'équipements informatiques (3) en ralentissant le moins possible ledit accès logique; ledit ensemble d'équipements informatiques (3) échangeant des données (4) avec un réseau de télécommunication informatique (5), via un dispositif d'accès (6) ; lesdites données (4) comportant des données transportées (7) conformément à au moins un protocole applicatif 10 (8) et des données de transport (9) ; ledit dispositif d'accès (6) comportant un système d'exploitation (10) ; ledit procédé comprenant les étapes suivantes: - l'étape de définir pour chaque protocole 15 applicatif (8), un automate à états finis (11), l'étape de modéliser, sous la forme d'un modèle (12), chaque automate à états finis (11), - l'étape de générer au moyen d'un interpréteur (13), à partir de chaque modèle (12), un module d'analyse (14) 20 de chaque protocole applicatif (8), - l'étape de filtrer, dans ledit système d'exploitation (10), lesdites données transportées (7), au moyen desdits modules d'analyse (14).
2. Procédé selon la revendication 1; ledit procédé 25 comprenant en outre: - l'étape de vérifier au moyen desdits modules d'analyse (14) la conformité desdites données transportées (7) par rapport auxdits protocoles applicatifs (8) concernés.
3. Procédé selon l'une quelconque des revendications 1 30 ou 2; ledit procédé comprenant en outre: - l'étape de restreindre au moyen dudit module d'analyse (14) les possibilités offertes par un protocole applicatif (8).
4. Procédé selon la revendication 3; ledit procédé comprenant en outre: l'étape, pour un administrateur réseau (15), de paramétrer lesdits modules d'analyse (14) en fonction de restrictions prédéterminées (16).
Dispositif
5. Dispositif d'accès (6) pour sécuriser l'accès logique à des informations (1) et/ou à des ressources informatiques (2) d'un ensemble d'équipements informatiques (3) 10 en ralentissant le moins possible ledit accès logique; ledit ensemble d'équipements informatiques (3) échangeant des données (4) avec un réseau de télécommunication informatique (5), via ledit dispositif d'accès (6) ; lesdites données (4) comportant des données 15 transportées (7) conformément à au moins un protocole applicatif (8) et des données de transport (9) ; ledit dispositif d'accès (6) comportant: un système d'exploitation (10) comportant un module d'analyse (14) approprié pour chaque protocole applicatif 20 (8), - des moyens de filtration pour filtrer, dans ledit système d'exploitation (10), lesdites données transportées (7), au moyen desdits modules d'analyse (14).
6. Dispositif d'accès (6) selon la revendication 5; 25 chaque module d'analyse (14) implémentant un automate à états finis (11) représentatif d'un protocole applicatif (8) déterminé.
7. Dispositif d'accès (6) selon l'une quelconque des revendications 5 ou 6; lesdits modules d'analyse (14) 30 comportant: - des premiers moyens de traitement informatique (17) pour vérifier la conformité desdites données transportées (7) par rapport auxdits protocoles applicatifs (8) concernés.
8. Dispositif d'accès (6) selon l'une quelconque des revendications 5 à 7; lesdits modules d'analyse (14) comportant: - des seconds moyens de traitement informatique (18) 5 pour restreindre les possibilités offertes par un protocole applicatif (8).
9. Dispositif d'accès (6) selon la revendication 8; ledit dispositif d'accès (6) comprenant en outre: - des moyens de paramétrage (19) permettant à un administrateur réseau (15) de paramétrer lesdits modules d'analyse (14) en fonction de restrictions prédéterminées (16).
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0215144A FR2848046B1 (fr) | 2002-12-02 | 2002-12-02 | Procede et dispositif d'acces pour securiser l'acces aux systemes d'information |
| PCT/FR2003/050132 WO2004054198A2 (fr) | 2002-12-02 | 2003-11-25 | Procede et dispositif d'acces pour securiser l'acces aux systemes d'information |
| AU2003295070A AU2003295070A1 (en) | 2002-12-02 | 2003-11-25 | Access method and device for securing access to information systems |
| US10/537,310 US20050289651A1 (en) | 2002-12-02 | 2003-11-25 | Access method and device for securing access to information system |
| EP03786068A EP1570624A2 (fr) | 2002-12-02 | 2003-11-25 | Procede et dispositif d'acces pour securiser l acces aux systemes d'information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0215144A FR2848046B1 (fr) | 2002-12-02 | 2002-12-02 | Procede et dispositif d'acces pour securiser l'acces aux systemes d'information |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2848046A1 true FR2848046A1 (fr) | 2004-06-04 |
| FR2848046B1 FR2848046B1 (fr) | 2005-02-18 |
Family
ID=32309909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0215144A Expired - Lifetime FR2848046B1 (fr) | 2002-12-02 | 2002-12-02 | Procede et dispositif d'acces pour securiser l'acces aux systemes d'information |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20050289651A1 (fr) |
| EP (1) | EP1570624A2 (fr) |
| AU (1) | AU2003295070A1 (fr) |
| FR (1) | FR2848046B1 (fr) |
| WO (1) | WO2004054198A2 (fr) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080155239A1 (en) * | 2006-10-10 | 2008-06-26 | Honeywell International Inc. | Automata based storage and execution of application logic in smart card like devices |
| US8166532B2 (en) * | 2006-10-10 | 2012-04-24 | Honeywell International Inc. | Decentralized access control framework |
| US7853987B2 (en) * | 2006-10-10 | 2010-12-14 | Honeywell International Inc. | Policy language and state machine model for dynamic authorization in physical access control |
| US20100205014A1 (en) * | 2009-02-06 | 2010-08-12 | Cary Sholer | Method and system for providing response services |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6349405B1 (en) * | 1999-05-18 | 2002-02-19 | Solidum Systems Corp. | Packet classification state machine |
| US20020083331A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| US6453419B1 (en) * | 1998-03-18 | 2002-09-17 | Secure Computing Corporation | System and method for implementing a security policy |
| US20020010800A1 (en) * | 2000-05-18 | 2002-01-24 | Riley Richard T. | Network access control system and method |
| US7013482B1 (en) * | 2000-07-07 | 2006-03-14 | 802 Systems Llc | Methods for packet filtering including packet invalidation if packet validity determination not timely made |
| AU2002322109A1 (en) * | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
| US7107609B2 (en) * | 2001-07-20 | 2006-09-12 | Hewlett-Packard Development Company, L.P. | Stateful packet forwarding in a firewall cluster |
| US7207061B2 (en) * | 2001-08-31 | 2007-04-17 | International Business Machines Corporation | State machine for accessing a stealth firewall |
| US7237258B1 (en) * | 2002-02-08 | 2007-06-26 | Mcafee, Inc. | System, method and computer program product for a firewall summary interface |
-
2002
- 2002-12-02 FR FR0215144A patent/FR2848046B1/fr not_active Expired - Lifetime
-
2003
- 2003-11-25 WO PCT/FR2003/050132 patent/WO2004054198A2/fr not_active Application Discontinuation
- 2003-11-25 US US10/537,310 patent/US20050289651A1/en not_active Abandoned
- 2003-11-25 EP EP03786068A patent/EP1570624A2/fr not_active Ceased
- 2003-11-25 AU AU2003295070A patent/AU2003295070A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6349405B1 (en) * | 1999-05-18 | 2002-02-19 | Solidum Systems Corp. | Packet classification state machine |
| US20020083331A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
Non-Patent Citations (3)
| Title |
|---|
| JOU Y F ET AL: "Design and implementation of a scalable intrusion detection system for the protection of network infrastructure", DARPA INFORMATION SURVIVABILITY CONFERENCE AND EXPOSITION, 2000. DISCEX '00. PROCEEDINGS HILTON HEAD, SC, USA 25-27 JAN. 2000, LAS ALAMITOS, CA, USA,IEEE COMPUT. SOC, US, 25 January 2000 (2000-01-25), pages 69 - 83, XP010371109, ISBN: 0-7695-0490-6 * |
| OSKAR ANDREASSON: "Iptables Tutorial 1.1.11", INTERNET PUBLICATION, 27 May 2002 (2002-05-27), pages 1 - 134, XP002244741, Retrieved from the Internet <URL:http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.html> [retrieved on 20030618] * |
| OSKAR ANDREASSON: "Iptables Tutorial Changelog", INTERNET PUBLICATION, 21 May 2003 (2003-05-21), XP002244742, Retrieved from the Internet <URL:http://iptables-tutorial.frozentux.net/ChangeLog> [retrieved on 20030618] * |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2003295070A1 (en) | 2004-06-30 |
| WO2004054198A2 (fr) | 2004-06-24 |
| WO2004054198A3 (fr) | 2004-07-22 |
| EP1570624A2 (fr) | 2005-09-07 |
| FR2848046B1 (fr) | 2005-02-18 |
| US20050289651A1 (en) | 2005-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| De Donno et al. | DDoS‐capable IoT malwares: comparative analysis and Mirai investigation | |
| US9634943B2 (en) | Transparent provisioning of services over a network | |
| US9537824B2 (en) | Transparent provisioning of network access to an application | |
| EP3008872B1 (fr) | Procédé d'authentification d'un terminal par une passerelle d'un réseau interne protégé par une entité de sécurisation des accès | |
| US7774832B2 (en) | Systems and methods for implementing protocol enforcement rules | |
| EP2215801A2 (fr) | Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede. | |
| Rash et al. | Intrusion prevention and active response: deploying network and host IPS | |
| Nife et al. | Application-aware firewall mechanism for software defined networks | |
| FR2850503A1 (fr) | Procede et systeme dynamique de securisation d'un reseau de communication au moyen d'agents portables | |
| EP1758338B1 (fr) | Procédé et équipement de communication sécurisé pour le traitement des paquets de données selon le mécanisme SEND | |
| FR2737372A1 (fr) | Dispositif et procede d'interconnexion de reseaux, routeur ip comprenant un tel dispositif | |
| FR2848046A1 (fr) | Procede et dispositif d'acces pour securiser l'acces aux systemes d'information | |
| WO2004086719A2 (fr) | Systeme de transmission de donnees client/serveur securise | |
| EP1142182A2 (fr) | Dispositf et procede de traitement d'une sequence de paquets d'information | |
| EP2640004B1 (fr) | Procede de gestion des echanges de flux de donnees dans un reseau de telecommunication autonomique | |
| Cameron et al. | Configuring Juniper Networks NetScreen and SSG Firewalls | |
| Tam et al. | UTM Security with Fortinet: Mastering FortiOS | |
| WO2020020911A1 (fr) | Procede de traitement d'un paquet de donnees, dispositif, equipement de commutation et programme d'ordinateur associes | |
| EP3070911A1 (fr) | Procédé de contrôle d'accès à un réseau privé | |
| Sahay | Policy-driven autonomic cyberdefense using software-defined networking | |
| Hutchins et al. | Enhanced Internet firewall design using stateful filters final report | |
| Fischbach | Router forensics DDoS/worms update | |
| Hallingstad et al. | Firewall technology | |
| Hutchinson | Study of Denial of Service | |
| Blaich et al. | Lockdown: Simplifying enterprise network management with local context |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 14 |
|
| PLFP | Fee payment |
Year of fee payment: 15 |
|
| PLFP | Fee payment |
Year of fee payment: 16 |
|
| PLFP | Fee payment |
Year of fee payment: 18 |
|
| PLFP | Fee payment |
Year of fee payment: 19 |
|
| PLFP | Fee payment |
Year of fee payment: 20 |