FR2876855A1

FR2876855A1 - DEVICE FOR SECURING A SELF-CONTROLLER

Info

Publication number: FR2876855A1
Application number: FR0452361A
Authority: FR
Inventors: Gerard Kaas
Original assignee: CHECKPHONE SOC PAR ACTIONS SIM
Current assignee: CHECKPHONE SOC PAR ACTIONS SIM
Priority date: 2004-10-19
Filing date: 2004-10-19
Publication date: 2006-04-21
Anticipated expiration: 2024-10-19
Also published as: EP1803279A1; WO2006042973A1; FR2876855B1

Abstract

La présente invention se rapporte au domaine des télécommunications et de la sécurité des réseaux.La présente invention se rapporte à un système pare-feu de sécurisation d'un autocommutateur (200) d'entreprise connecté, d'une part, à au moins un réseau de communication en mode commuté, de type PSTN, et, d'autre part, à un ensemble de périphériques de communications et/ou de serveurs d'application (210), ledit système comprenant un analyseur de communication (100) des couches basses (1 à 3) du modèle OSI de communications numériques en mode circuit et analogiques, un serveur pare-feu (110) connecté audit analyseur (100), caractérisé en ce que ledit système comprend, en outre, un serveur de supervision (120) connecté à la sortie « fil de l'eau » (199) de l'autocommutateur (200) pour l'analyse des tickets de communication et l'application de règles sécuritaires portant sur les couches hautes applicatives (4 à 7) du modèle OSI.The present invention relates to the field of telecommunications and network security. The present invention relates to a firewall system for securing an enterprise PBX (200) connected, on the one hand, to at least one PSTN-type switched mode communication network and, on the other hand, to a set of communication peripherals and / or application servers (210), said system comprising a communication analyzer (100) of the lower layers (1 to 3) of the OSI model of digital circuit mode and analog communications, a firewall server (110) connected to said analyzer (100), characterized in that said system further comprises a supervision server (120) connected to the “live” output (199) of the automatic switch (200) for the analysis of communication tickets and the application of security rules relating to the upper application layers (4 to 7) of the OSI model .

Description

DISPOSITIF DE SÉCURISATION D'UN AUTOCOMMUTATEURDEVICE FOR SECURING A SELF-CONTROLLER

La présente invention se rapporte au domaine des télécommunications et de la sécurité des réseaux. The present invention relates to the field of telecommunications and network security.

La présente invention concerne plus particulièrement un système et un procédé pour sécuriser un autocommutateur d'entreprise par le contrôle des appels. The present invention more particularly relates to a system and method for securing an enterprise switch by call control.

L'autocommutateur d'entreprise const__tue la porte d'entrée dans un réseau d'une entreprise. De ce fait, la sécurité doit y être fortement présente notamment depuis la convergence de la gestion des réseaux en mode circuit et celle des réseaux en mode paquets. The corporate PBX is the gateway to a corporate network. As a result, security must be strongly present, particularly since the convergence of circuit-mode network management and packet mode networks.

De trop nombreux abus ont lieu actuellement sur les autocommutateurs d'entreprise dans lesquels les communications sont détournées par des personnes extérieures pour téléphoner à moindre coût. Too many abuses are currently taking place on branch exchanges where communications are diverted by outsiders to make calls at lower cost.

L'art antérieur connaît déjà, par le brevet américain US 6 687 353 (Securelogix), un système et un procédé pour un système de sécurisation téléphonique. Illustré par la figure 1, l'invention consiste à contrôler et à réaliser l'accès entre des terminaux d'une entreprise à une pluralité de sites et leurs circuits respectifs dans le réseau public commuté. Le système et le procédé peuvent comprendre: un capteur de ligne discret à l'intérieur des sites pour déterminer la nature des appels, le capteur de ligne n'interférant pas avec les communications existantes. The prior art already knows, from US Pat. No. 6,687,353 (Securelogix), a system and method for a telephone security system. Illustrated in FIG. 1, the invention consists in controlling and realizing access between terminals of an enterprise to a plurality of sites and their respective circuits in the public switched network. The system and method may include: a discrete line sensor within the sites to determine the nature of the calls, the line sensor not interfering with existing communications.

Le capteur de ligne peut comprendre: une paire de relais pour router les données à travers le capteur de ligne sans altérer les données, une paire d'émetteurs-récepteurs et une unité de traitement pour router les données à travers le capteur de ligne en stockant et copiant les données et en transmettant les nouvelles données à travers le capteur de ligne. Le système peut également comprendre: un autocommutateur PBX dans les sites et connectés au capteur de ligne; un commutateur central connecté au capteur de ligne et au PBX; et un serveur de gestion de pare-feu. The line sensor may include: a pair of relays for routing the data through the line sensor without altering the data, a pair of transceivers and a processing unit for routing the data through the line sensor by storing and copying the data and transmitting the new data through the line sensor. The system may also include: a PBX in the sites and connected to the line sensor; a central switch connected to the line sensor and the PBX; and a firewall management server.

L'intégralité des systèmes connus pour la sécurisation des réseaux de télécommunications d'entreprise et plus particulièrement des autocommutateurs privés, reproduit une architecture similaire à celle décrite dans la figure 1. A savoir, un analyseur (capteur 13) est placé sur la ligne réseau (11) entre le réseau commuté (10) et l'autocommutateur privé (14). Ce capteur analyse la nature des appels émis depuis/vers les périphériques (16) du réseau privé (15), puis confronte les informations obtenues à des règles sécuritaires contenues dans un serveur (17). The entirety of known systems for securing enterprise telecommunications networks and more particularly private branch exchanges reproduces an architecture similar to that described in FIG. 1. Namely, an analyzer (sensor 13) is placed on the trunk. (11) between the switched network (10) and the private branch exchange (14). This sensor analyzes the nature of the calls sent to / from the peripherals (16) of the private network (15), then confronts the obtained information with security rules contained in a server (17).

Cela est notamment le cas dans le brevet américain US 6 226 372 (Securelogix) qui décrit un système et un procédé pour la mise en oeuvre d'un coupe-feu/scanneur de télécommunications coopérants, totalement intégrés, permettant la mise en oeuvre de fonctions de sécurité améliorées du coupe-feu et du scanneur de télécommunications, et la mise en place d'une structure de sécurité spécialisée demandée par l'entreprise, d'une visibilité événementielle et de la consolidation des rapports, dans une entreprise à répartition globale. Dans la configuration la plus basique, le coupe-feu/scanneur intégré présente des fonctions de contrôle d'accès protégé continu et de commande, des fonctions de contrôle et de commande de mots-clés et de contenu, et assure l'authentification d'accès éloigné, des évaluations de vulnérabilité coordonnées ainsi que des ajustements synchrones automatiques par rapport à la Politique de Sécurité, en réponse aux résultats de l'évaluation de vulnérabilité. De plus, les opérations, les résultats d'évaluation et les réponses du coupe-feu et du scanneur peuvent être consolidés dans des rapports détaillés ou synthétiques à utiliser par les administrateurs de la sécurité, pour l'analyse des tendances et la prise de décision en matière de sécurité. This is particularly the case in US Pat. No. 6,226,372 (Securelogix) which describes a system and a method for implementing a fully integrated cooperating telecommunication firewall / scanner, enabling the implementation of functions enhanced firewall and telecom scanner security, and the implementation of a dedicated enterprise-class security structure, event visibility, and report consolidation in a globally distributed enterprise. In the most basic configuration, the built-in firewall / scanner provides continuous protected access control and control functions, keyword and content control and control functions, and authenticates remote access, coordinated vulnerability assessments as well as automatic synchronous adjustments to the Security Policy, in response to the results of the vulnerability assessment. In addition, operations, assessment results, and firewall and scanner responses can be consolidated into detailed or synthetic reports for use by security administrators for trend analysis and decision-making. in security matters.

Cette solution propose une analyse des vulnérabilités des équipements afin d'adapter la politique de sécurisation en fonction de celles-ci. This solution proposes an analysis of the vulnerabilities of the equipment in order to adapt the security policy according to these.

On connaît également, par le brevet américain US 6 760 421 (Securelogix), un système et un procédé de gestion de ressources et de sécurité téléphoniques qui permettent de surveiller et/ou de commander et d'enregistrer l'accès à un réseau téléphonique public commuté entre des stations d'utilisateurs finaux d'une entreprise et leurs circuits respectifs. Une politique de sécurité, constituée par exemple par un ensemble de règles de sécurité, est définie pour chacun des postes, ces règles spécifian-: des actions à entreprendre sur la base d'au moins un attribut de l'appel sur le poste. Les appels sont détectés sur les postes pour déterminer les attributs associés à chaque appel. Les actions sont ensuite exécutées sur l'appel sélectionné sur la base de leurs attributs en fonction des règles de sécurité définies pour ces postes. Also known from US Pat. No. 6,760,421 (Securelogix) is a telephone resource and security management system and method for monitoring and / or controlling and recording access to a public telephone network. switched between end-user stations of a company and their respective circuits. A security policy, constituted for example by a set of security rules, is defined for each of the items, these specific rules: actions to be taken on the basis of at least one attribute of the call on the item. Calls are detected on extensions to determine the attributes associated with each call. The actions are then executed on the selected call based on their attributes according to the security rules defined for these items.

L'art antérieur connaît également, par la demande de brevet américain US 2004 / 0 161 086 (Securelogix), un système et un procédé de gestion et de sécurisation des ressources téléphoniques pour visualiser et contrôler les appels entrants et sortants entre les terminaux d'une entreprise et un réseau public commuté en mode circuit et/ou un réseau public commuté en mode paquet. Une politique sécuritaire est constituée d'une ou plusieurs règles désignant au moins une action à réaliser sur la base d'au moins un attribut de l'appel entrant cu sortant. Les appels sont détectés, captés sur la ligne et analysés pour déterminer les attributs associés à chacun de ces appels. The prior art also knows, by the US patent application US 2004/0161 086 (Securelogix), a system and a method for managing and securing the telephone resources for viewing and controlling the incoming and outgoing calls between the terminals. an enterprise and public switched network in circuit mode and / or public packet switched network. A security policy consists of one or more rules designating at least one action to be performed on the basis of at least one attribute of the incoming or outgoing call. Calls are detected, picked up on the line and analyzed to determine the attributes associated with each of these calls.

Des actions sont menées sur la base de ces attributs déterminés en accord avec les règles de politique de sécurisation. Actions are conducted based on these attributes determined in accordance with the security policy rules.

Les solutions apportées par ces documents réalisent une analyse des couches basses des protocoles de communication (couches 1/2/3 du modèle OSI) sur un réseau commuté de télécommunications en déterminant la nature des appels (type fax, type voix, numéro appelé, ...). Elles ne permettent pas de protéger le réseau contre d'éventuelles attaques utilisant les fonctionnalités ( couches hautes applicatives, par exemple le renvoi d'appel, la conférence) offertes par l'autocommutateur et leurs failles. The solutions provided by these documents perform an analysis of the low layers of the communication protocols (layers 1/2/3 of the OSI model) on a switched telecommunications network by determining the nature of the calls (fax type, voice type, called number,. ..). They do not protect the network against possible attacks using the features (high application layers, for example call forwarding, conference) offered by the switch and their flaws.

En effet, les analyseurs de communication délivrent les informations suivantes. Indeed, the communication analyzers deliver the following information.

la nature de l'appel: Fax modem ou voix; l'heure de début et de fin de la communication; le numéro de l'appelant et de l'appelé ; la voie et le lien utilisés pour la communication. the nature of the call: fax modem or voice; the start and end time of the communication; the number of the calling and called party; the path and link used for communication.

L'analyseur de communication ne délivre pas l'ensemble des fonctionnalités qui ont été mises en oeuvre ni leur chaînage. Les deux exemples suivants dénotent les limitations d'un tel système quant à la détection d'actions frauduleuses . The communication analyzer does not deliver all the functionalities that have been implemented nor their chaining. The following two examples denote the limitations of such a system in detecting fraudulent actions.

Exemple 1:Example 1

Une communication d'un appel extérieur A vers un poste B de l'entreprise renvoyé immédiatement sans sonnerie vers un poste C extérieur à l'entreprise. A call from an outside call A to a B post of the company sent back immediately without ringing to a C post outside the company.

L'analyseur va observer l'appel de A vers B puis de B vers C sans observer qu'il s'agit de la même communication. Ce n'est qu'avec l'analyse des fonctionnalités mises en ouvre pour cet appel que l'observation pourra être établie The analyzer will observe the call from A to B and B to C without observing that it is the same communication. It is only with the analysis of the functionalities implemented for this call that the observation can be established

Exemple 2:Example 2

Une communication d'un appel extérieur A vers un poste de l'entreprise B peut écouter la conversation avec un interlocuteur C par l'activation de la fonctionnalité entrée en tiers discrète . Là encore l'analyseur de communication ne détectera que deux communications séparées et autorisées. A call from an outside call A to a workstation of the enterprise B can listen to the conversation with a caller C by activating the third-party entry discrete feature. Again the communication analyzer will detect only two separate and authorized communications.

De plus, la convergence des réseaux commutés (RNIS par exemple) et en mode paquets (réseau IP) voit l'apparition des autocommutateurs mixte commuté-IP . Aucune solution n'a encore été apportée pour l'analyse des communications, du type voix sur IP (VoIP), en entrée d'un autocommutateur mixte. In addition, the convergence of switched networks (ISDN for example) and packet mode (IP network) sees the appearance of switch-IP mixed switches. No solution has yet been provided for the analysis of voice-over-IP (VoIP) communications as input to a mixed exchange.

La présente invention entend remédier aux inconvénients de l'art antérieur en proposant un système et un procédé de sécurisation d'un autocommutateur, soit en mode commuté, soit mixte commuté-IP , sur la base d'une analyse des couches basses (nature de l'appel) et hautes (fonctionnalités de l'autocommutateur utilisées) mises en oeuvre lors des appels. The present invention intends to overcome the drawbacks of the prior art by proposing a system and a method for securing a switch, either in switched or mixed IP-switched mode, on the basis of a low-level analysis (nature of the call) and high (features of the switch used) implemented during calls.

Le procédé effectue, d'une part, une analyse des appels entrants ou sortants afin de déterminer leur nature, et d'autre part, reçoit des informations émises par l'autocommutateur, informations indiquant, entre autres, les fonctionnalités mises en oeuvre pendant l'appel. Une comparaison est effectuée avec un ensemble de règles de sécurité du réseau (ou scénarii), le procédé permettant alors de donner suite à l'appel ou de le terniner. The method performs, on the one hand, an analysis of incoming or outgoing calls in order to determine their nature, and on the other hand, receives information transmitted by the switch, information indicating, among other things, the functionalities implemented during the operation. 'call. A comparison is made with a set of network security rules (or scenario), the method then allowing to respond to the call or ternine.

Dans ce dessein, le système de l'invention dispose d'un analyseur de communication quelque peu semblable en termes fonctionnels à ceux décrits dans les brevets susmentionnés, et associé à un serveur ainsi qu'un second serveur analysant les informations émises par l'autocommutateur sur les appels en cours. For this purpose, the system of the invention has a communication analyzer somewhat similar in functional terms to those described in the aforementioned patents, and associated with a server as well as a second server analyzing the information transmitted by the switch. on current calls.

Le système propose également un serveur dit d'audit permettant d'établir des règles de sécurité en fonction des spécificités du réseau et de l'autocommutateur. The system also offers a so-called audit server to establish security rules according to the specificities of the network and the switch.

Le procédé et le système selon la présente invention répondent particulièrement bien aux attentes des entreprises dont les réseaux privées sont de trop nombreuses fois piratés par l'utilisation d'une des 400 fonctionnalités ou plus de l'autocommutateur (par exemple, l'appel en conférence ou conference call). The method and the system according to the present invention respond particularly well to the expectations of companies whose private networks are too many times hacked by the use of one of the 400 or more functions of the switch (for example, the call in conference or conference call).

A cet effet, l'invention concerne dans son acception la plus générale un système pare-feu de sécurisation d'un autocommutateur d'entreprise connecté, d'une part, à au moins un réseau de communication en mode commuté, de type PSTN, et, d'autre part, à un ensemble de périphériques de communications et/ou de serveurs d'application, ledit système comprenant un analyseur de communication des couches basses (1 à 3) du modèle OSI de communications numériques en mode circuit et analogiques, un serveur pare-feu connecté au dit analyseur, caractérisé en ce que. For this purpose, the invention relates in its most general sense to a firewall system for securing an enterprise branch exchange connected, on the one hand, to at least one switched mode communication network, of the PSTN type, and, on the other hand, to a set of communication and / or application server devices, said system comprising a communication analyzer of the lower layers (1 to 3) of the OSI model of digital communications in circuit and analog mode, a firewall server connected to said analyzer, characterized in that.

ledit système comprend, en outre, un serveur de supervision connecté à la sortie fil de l'eau de l'autocommutateur pour l'analyse des tickets de communication et l'application de règles sécuritaire portant sur les couches hautes (4 à 7) du modèle OSI. said system further comprises a supervisory server connected to the water line output of the switch for the analysis of the communication tickets and the application of security rules relating to the high layers (4 to 7) of the OSI model.

De préférence, ledit autocommutateur est, en outre, relié à un réseau de communication en mode paquet, de type l'Internet; ledit analyseur de communication est placé en parallèle des lignes entre l'autocommutateur et les réseaux commutés et en mode paquets; ledit analyseur de communication analyse, en outre, les informations des couches basses des communications en mode paquet (entrantes et sortantes) de l'autocommutateur. Preferably, said switch is further connected to a packet mode communication network of the Internet type; said communication analyzer is placed in parallel lines between the switch and the switched networks and in packet mode; said communication analyzer further analyzes the information of the lower layers of the packet mode communications (incoming and outgoing) of the switch.

Avantageusement, ledit analyseur est un DSP permettant la détection des communications numériques circuits, numériques paquets et analogiques. Advantageously, said analyzer is a DSP for detecting digital circuit, digital packet and analog communications.

Selon un mode de réalisation, ledit serveur de supervision comprend un système expert pour l'apprentissage 20 de règles sécuritaires dans le cas d'un scénario inconnu. According to one embodiment, said supervision server comprises an expert system for learning security rules in the case of an unknown scenario.

Selon une mode de mise en oeuvre particulier, ledit serveur de supervision comprend une base de données pour stocker les informations remontées par ledit analyseur de communication et les informations relatives à l'analyse desdits tickets. According to a particular mode of implementation, said supervision server comprises a database for storing the information sent by said communication analyzer and the information relating to the analysis of said tickets.

De préférence, ledit système comprend, en outre, un serveur d'audit connecté au serveur de supervision apte à analyser les fonctionnalités de l'autocommutateur, l'architecture système et à établir un ensemble de scénarii d' appels. Preferably, said system further comprises an audit server connected to the supervision server able to analyze the functionalities of the switch, the system architecture and to establish a set of call scenarios.

Avantageusement, ledit serveur d'audit comprend un système expert pour l'établissement desdits scénarii. Advantageously, said audit server comprises an expert system for establishing said scenarios.

Selon un mode de réalisation, ledit serveur pare-feu est connecté à une pluralité d'analyseurs de communications situés sur divers sites d'entreprise. According to one embodiment, said firewall server is connected to a plurality of communications analyzers located on various enterprise sites.

Selon un mode de réalisation particulier, ledit système comprend, en outre, un serveur de sauvegarde cryptée des configurations de l'autocommutateur. According to a particular embodiment, said system further comprises an encrypted backup server of the configurations of the automatic switch.

Selon une variante, ledit système comprend, en outre, 10 un modem callback connecté au port de télémaintenance dudit autocommutateur. According to a variant, said system further comprises a callback modem connected to the remote maintenance port of said automatic switch.

L'invention concerne également un procédé de sécurisation d'un autocommutateur d'entreprise connecté, d'une part, à au moins un réseau de communication en mode commuté, de type PSTN, et, d'autre part, à un ensemble de périphériques de communications et/ou de serveurs d'application, le procédé comprenant une étape d'analyse des couches basses (couches OSI 1 à 3) des communications par un analyseur de communication et d'application de règles de sécurité pour mettre fin aux appels illicites, caractérisé en ce qu'il comprend, en outre, . une étape de récupération par un serveur de supervision des tickets de communication émis par 25 l'autocommutateur, une étape de confrontation des informations contenues dans lesdits tickets aux règles de sécurité contenant dans le serveur de supervision, une étape d'application des règles de sécurité en 30 fonction de ces informations contenues dans lesdits tickets. The invention also relates to a method for securing an enterprise switch connected, on the one hand, to at least one switched mode communication network, of the PSTN type, and, on the other hand, to a set of peripherals of communications and / or application servers, the method comprising a step of analyzing the low layers (OSI layers 1 to 3) of communications by a communication analyzer and application of security rules to put an end to illegal calls characterized in that it further comprises. a step of recovery by a communication ticket supervision server issued by the switch, a step of confronting the information contained in said tickets to the security rules containing in the supervision server, a security rules enforcement step according to this information contained in said tickets.

De préférence, ledit procédé comprend, en outre, une étape de remontée des informations d'appels et de décisions prises depuis ledit analyseur de communication vers ledit serveur de supervision. Preferably, said method further comprises a step of reporting call information and decisions taken from said communication analyzer to said supervisory server.

Avantageusement, ledit procédé comprend, en outre, une étape d'autoapprentissage par un système expert dans le serveur de supervision des scénarii non gérés par les règles sécuritaires. Advantageously, said method further comprises a step of self-learning by an expert system in the supervision server scenarios not managed by the security rules.

De préférence, ledit procédé comprend, au préalable, une étape de détermination des scénarii possibles par un serveur d'audit et une étape d'établissement des règles sécuritaires par sélection desdits scénarii. Preferably, said method comprises, beforehand, a step of determining the possible scenarios by an audit server and a step of establishing the security rules by selecting said scenarios.

Selon un mode de réalisation, ladite étape de 15 détermination des scénarii comprend: - une étape de récupération des fichiers de l'architecture circuit par ledit serveur d'audit auprès de l'autocommutateur et des fichiers de l'architecture système; - une étape de détermination des risques et contre- mesures associées à partir desdits fichiers récupérés. According to one embodiment, said scenario determination step comprises: a step of retrieving the circuit architecture files by said auditing server from the automatic switch and the files of the system architecture; a step of determining the risks and countermeasures associated with said recovered files.

L'invention concerne également un élément de programme d'ordinateur comprenant des moyens de code de programme d'ordinateur organisés pour accomplir les étapes du procédé. The invention also relates to a computer program element comprising computer program code means arranged to perform the steps of the method.

On comprendra mieux l'invention à l'aide de la description, faite ciaprès à titre purement explicatif, d'un mode de réalisation de l'invention, en référence aux figures annexées. The invention will be better understood from the following description, given purely for explanatory purposes, of one embodiment of the invention, with reference to the appended figures.

la figure 1 représente l'architecture standard des systèmes de sécurisation d'autocommutateur sur réseau téléphonique commuté (art antérieur) ; la figure 2 illustre l'architecture de la présente invention; - la figure 3 illustre la structure fonctionnelle de l'analyseur de communication; - la figure 4 est un diagramme logique représentant le fonctionnement de l'analyseur de communication; la figure 5 est un diagramme logique illustrant l'établissement des règles sécuritaires selon la présente invention; la figure 6 illustre les différeZtes tables de données initiales récupérées par le système expert d'analyse; - la figure 7 illustre un exemple de matrice de correspondances entre les menaces et les vulnérabilités 15 d'un système de type autocommutateur; - la figure 8 illustre un exemple de matrice de correspondances entre les menaces et les Fonctionnalités fournies par un autocommutateur; - la figure 9 illustre de façon logique le module 20 d'audit et de contre- mesures selon la présente invention; la figure 10 représente schématiquement le moteur d'inférence pour l'audit du système; la figure 11 représente schématiquement le module d'établissement des contre- mesures; la figure 12 représente un diagramme logique du fonctionnement de la sécurité selon l'invention; et la figure 13 illustre un exemple de communication en mode paquets. FIG. 1 represents the standard architecture of PBX security systems on the switched telephone network (prior art); Figure 2 illustrates the architecture of the present invention; FIG. 3 illustrates the functional structure of the communication analyzer; FIG. 4 is a logic diagram showing the operation of the communication analyzer; Fig. 5 is a logic diagram illustrating the establishment of the security rules according to the present invention; FIG. 6 illustrates the different initial data tables retrieved by the expert analysis system; FIG. 7 illustrates an example matrix of correspondence between the threats and the vulnerabilities of a system of the self-switching type; FIG. 8 illustrates an example matrix of correspondences between the threats and the functionalities provided by a switch; FIG. 9 logically illustrates the module 20 for auditing and countermeasures according to the present invention; Figure 10 schematically shows the inference engine for system auditing; FIG. 11 schematically represents the module for establishing countermeasures; FIG. 12 represents a logic diagram of the operation of the security according to the invention; and Figure 13 illustrates an example of packet mode communication.

L'invention va être décrite à l'aide d'exemples de modes de réalisation. Il est entendu que ces exemples ne sont pas limitatifs de l'invention et qu'un homme du métier serait à même de réaliser cette invention sous différentes variantes. The invention will be described using exemplary embodiments. It is understood that these examples are not limiting of the invention and that a person skilled in the art would be able to realize this invention in different variants.

ARCHITECTURE ET DESCRIPTION DES DIFFÉRENTS MODULES ARCHITECTURE AND DESCRIPTION OF DIFFERENT MODULES

La figure 2 représente un exemple de réalisation du système selon la présente invention, comprenant un autocommutateur (200), un analyseur de communication (100) et un ensemble de serveurs (110, 120 et 130) pour la gestion de la politique sécuritaire. FIG. 2 represents an exemplary embodiment of the system according to the present invention, comprising a switch (200), a communication analyzer (100) and a set of servers (110, 120 and 130) for the management of the security policy.

L'autocommutateur (200) d'entreprise est un autocommutateur permettant le traitement et la commutation en temps réel d'appels entre les périphériques (210) privés de l'entreprise et le réseau téléphonique commuté (300) et/ou un réseau en mode paquets, par exemple l'Internet (310). L'autocommutateur (200) fournit, en outre, des fonctionnalités (parfois plus de quatre cents) pouvant être mises en oeuvre lors des appels: par exemple, le double appel, le renvoi d'appel, la conférence, .. . Il présente également deux ports dédiés, d'une part, à la télémaintenance (198) et, d'autre part, à l'envoi (199) de tickets utilisés, entre autres, à la facturation des appels. Ce dernier port (199), aussi appelé port au fil de l'eau est un port série d'émission de données, les tickets. Ceux-ci contiennent de nombreuses informations sur les appels commutés par (200). Une description plus détaillée est fournie ci-après. The enterprise-class switch (200) is a switch for real-time call processing and switching between private corporate (210) devices and the switched telephone network (300) and / or a network in the real-time mode. packets, for example the Internet (310). The switch (200) provides, in addition, features (sometimes more than four hundred) that can be implemented during calls: for example, the double call, call forwarding, conference, ... It also has two ports dedicated, on the one hand, to remote maintenance (198) and, on the other hand, to the sending (199) of tickets used, among others, the billing of calls. The latter port (199), also called port over the water is a serial port of data transmission, tickets. These contain a lot of information about calls dialed by (200). A more detailed description is provided below.

Les fonctions essentielles d'un autocommutateur sont: la commutation, les interfaces avec les terminaux, l'application téléphonique. L'autocommutateur (200) peut être de type PBX (Private Branch eXchange) ou PABX (Private Automatic Branch eXchange) dédié uniquement à un réseau commuté, auquel cas l'analyse des communications en mode paquets n'est pas réalisée, ou mixte , par exemple un PABX-IP centralisé dans lequel sont mises en uvre toutes les fonctions exceptée la commutation réalisée par un switch (commutateur) réseau. Dans la suite de la description, nous utiliserons de façon non restrictive le terme de PABX pour l'autocommutateur (200) qu'il soit dédié au réseau commuté ou mixte . The essential functions of a switch are: switching, interfaces with terminals, telephone application. The switch (200) may be of the Private Branch eXchange (PBX) or Private Automatic Branch eXchange (PBX) type dedicated solely to a switched network, in which case the analysis of the packet mode communications is not carried out, or mixed, for example a central IP PBX in which all the functions are implemented except for the switching performed by a network switch. In the remainder of the description, we will use non-restrictively the term PBX for the switch (200) that is dedicated to the switched or mixed network.

Le réseau d'entreprise peut être du type LAN (Local Network Ares) et est composé du PABX (200), des périphériques (210) et des lignes intérieures (220) reliant les périphériques au PABX. The corporate network may be of the LAN (Local Network Ares) type and is composed of the PABX (200), the peripherals (210) and the inner lines (220) connecting the peripherals to the PABX.

Les périphériques sont de type fax (203), modem (202), téléphone (204), téléphone IP (205), -téléphone sans-fil (206), par exemple DECT, serveurs d'applications (208) par exemple serveur boîte vocale, serveur de facturation, 15..., ou serveurs d'administration (209) des autocommutateurs. The peripherals are of the fax type (203), modem (202), telephone (204), IP telephone (205), wireless telephone (206), for example DECT, application servers (208) for example server box voice, billing server, 15 ..., or administration servers (209) of the branch exchanges.

Les serveurs de téléphonie (208) et (209) sont reliés, en outre, au PABX par un réseau IP (230) isolé dédié uniquement à l'échange de données entre ces diverses entités: pilotage du PABX depuis le serveur d'administration, par exemple. The telephony servers (208) and (209) are further connected to the PBX by an isolated IP network (230) dedicated solely to the exchange of data between these various entities: controlling the PABX from the administration server, for example.

Toujours en référence à la figure 2, un analyseur de communication (100) est placé en parallèle des lignes réseaux (320) entre le réseau public commuté/en mode paquets (300, 310) et le PABX (200). Still with reference to FIG. 2, a communication analyzer (100) is placed in parallel with the trunks (320) between the public switched / packet network (300, 310) and the PABX (200).

Un serveur pare-feu (110) est relié à l'analyseur de communication (100) et éventuellement à d'autres analyseurs (100', 100"). Le serveur pare-feu (110) contient l'ensemble des règles ou scénarii à appliquer sur le réseau et les transmets aux analyseurs de communication. Une description plus détaillée d'un tel serveur peut être fournie par l'un des documents US 6 687 353, US 6 226 372, US 6 760 421 et US 204 / 0 161 086 mentionnées précédemment. Le serveur 110 consolide en temps réel l'ensemble des informations de l'ensemble des analyseurs de communication des différents sites et gère les alertes liées aux dysfonctionnements éventuels de ces analyseurs. A firewall server (110) is connected to the communication analyzer (100) and possibly to other analyzers (100 ', 100 ") .The firewall server (110) contains the set of rules or scenarios. The more detailed description of such a server may be provided by one of US 6,687,353, US 6,226,372, US 6,760,421 and US 204/0. 161,086 mentioned previously The server 110 consolidates in real time all the information of all the communication analyzers of the different sites and manages the alerts related to the possible malfunctions of these analyzers.

Un serveur de supervision (120) est relié au port au fil de l'eau (199) du PABX, au serveur pare-feu (110) et à un troisième serveur d'audit (130). Ce serveur (120) assure le management des analyseurs de communication (100) et la gestion des règles de sécurité. Les serveurs 110 et 120 doivent être physiquement différents pour des raisons de traitement temps réel et de sécurité de fonctionnement. A supervisory server (120) is connected to the PABX's overhead port (199), the firewall server (110) and a third audit server (130). This server (120) provides management of communication analyzers (100) and the management of security rules. The servers 110 and 120 must be physically different for reasons of real-time processing and operational safety.

Le serveur d'audit (130) héberge un système expert permettant l'établissement des règles sécuritaires ou scénarii, règles qu'il transmet au serveur de supervision (120) pour application de celles-ci. The audit server (130) hosts an expert system for establishing the security rules or scenarios, which it sends to the supervisory server (120) for application thereof.

Ces différents serveurs sont par exemple des ordinateurs dédiés, comprenant un processeur, une mémoire vive de type RAM, un système d'exploitation, un logiciel pour la mise en oeuvre du procédé de l'invention, logiciel exécuté sur ce système d'exploitation, et des moyens de connexion réseau. These different servers are, for example, dedicated computers, comprising a processor, RAM type RAM, an operating system, software for implementing the method of the invention, software executed on this operating system, and network connection means.

Le système comprend également un dispositif de sauvegarde (112) et un modem de type call-back (114). Le dispositif (112) permet d'effectuer une sauvegarde, de préférence cryptée par clé dynamique, des configurations de l'autocommutateur. Le modem (114) fournit, quant à lui, une protection au niveau de l'accès au port de télémaintenance (198) en mettant en uvre des mécanismes de détection d'appel, d'identification et de rappel en fonction de l'identification obtenue. The system also includes a backup device (112) and a call-back modem (114). The device (112) makes it possible to perform a backup, preferably encrypted by dynamic key, of the configurations of the automatic switch. The modem (114) provides port access port protection (198) by implementing call detection, identification, and callback mechanisms based on identification. obtained.

L'ANALYSEUR DE COMMUNICATION Les fonctionnalités de l'analyseur de communication (100) sont illustrées par la figure 3. COMMUNICATION ANALYZER The functionality of the communication analyzer (100) is illustrated in Figure 3.

Pour des questions de coûts, l'analyseur de communication (100) est réalisé sous forme de DSP (Digital Signal Processing) avec un logiciel adapté. Ceci permet, entre autres, de faire cohabiter aisément un analyseur de réseau en mode circuit (RNIS) et un analyseur de réseau en mode paquets (IP). L'art antérieur connaît ces analyseurs dédiés aux réseaux commutés. Dans un mode de réalisation de l'invention, l'analyse du réseau IP est faite par un filtre récupérant l'en-tête des paquets transmis. For cost reasons, the communication analyzer (100) is implemented as DSP (Digital Signal Processing) with a suitable software. This allows, among other things, to easily coexist a circuit mode network analyzer (ISDN) and a packet network analyzer (IP). The prior art knows these analyzers dedicated to switched networks. In one embodiment of the invention, the analysis of the IP network is done by a filter retrieving the header of the transmitted packets.

Le procédé d'analyse des communications est fourni par la figure 4. The communication analysis method is provided by FIG.

(1) : l'analyseur (100) reçoit des appels numériques en mode circuit (a), en mode paquets (b) et des appels analogiques (c). (1): the analyzer (100) receives digital calls in circuit mode (a), packet mode (b) and analog calls (c).

(3) : un premier module (106) identifie le type d'appel (voix, données, .. .). Ce module se base sur la récupération des en-têtes des paquets transmis, sur la signalisation du canal D des communications numériques commutées (RNIS TO et T2) ou sur la valeur des porteuses pour les liens analogiques. (3): a first module (106) identifies the type of call (voice, data, ..). This module is based on the retrieval of transmitted packet headers, D-channel signaling of switched digital communications (ISDN TO and T2), or the carrier value for analogue links.

(4) : dans un second module (105), les caractéristiques de l'appel sont comparées avec les règles de communications transmises par le serveur pare-feu (110) par l'intermédiaire de l'unité centrale (108) de l'analyseur. (4): in a second module (105), the characteristics of the call are compared with the communication rules transmitted by the firewall server (110) via the central unit (108) of the analyzer.

En dehors des règles génériques liées à la sécurité du système (décision d'autoriser ou d'interdire tous les appels en cas de défaillance de l'analyseur de communication 100), les règles dites acquittées sont les règles en provenance uniquement du serveur d'audit (130) qui a en charge le contrôle de cohérence de l'ensemble des règles. Le comportement par défaut autorise les appels qui ne sont pas explicitement interdits et lorsqu'une des règles coïncide avec la communication en cours, la règle s'applique. Apart from the generic rules related to the security of the system (decision to authorize or prohibit all calls in the event of failure of the communication analyzer 100), the so-called acknowledged rules are the rules coming only from the server of audit (130) which is in charge of the consistency check of the set of rules. The default behavior allows calls that are not explicitly prohibited, and when one of the rules coincides with the current call, the rule applies.

L'ensemble des règles qui ne font intervenir que les informations recueillies par l'analyseur de communications (100) est résident dans celui-ci pour le site concerné ; ceci afin d'assurer un traitement en temps réel (suffisamment rapide au regard du temps de connexion des communications). Ces règles y sont stockées soit en mémoire Flash, soit sur disque dur, suivant le nombre de liens à observer. Les règles de sécurité sont envoyées par le serveur de supervision (120) via le serveur (110). Un exemple d'analyseur de communication (100) est un des produits de la gamme Wavetel . Le serveur pare-feu (110) est le garant des règles relatives aux coaches 1-2-3 et contrôle périodiquement l'intégrité des données des analyseurs de communication pour prévenir d'éventuelles modifications malicieuses au niveau de ces derniers. The set of rules that only involve the information collected by the communications analyzer (100) is resident therein for the site concerned; this is to ensure real-time processing (fast enough for the connection time of communications). These rules are stored either in Flash memory or on hard disk, depending on the number of links to be observed. The security rules are sent by the supervision server (120) via the server (110). An example of a communication analyzer (100) is one of the products of the Wavetel range. The firewall server (110) is the guarantor of the rules relating to coaches 1-2-3 and periodically checks the integrity of the data of the communication analyzers to prevent any malicious modifications at the level of the latter.

S'en suit le traitement (104) de l'appel en fonction de ces règles. Soit l'appel est autorisé, soit il est autorisé avec des restrictions de plage horaire, de numéros, de destinations soit il est terminé par une procédure de raccrochage (5). Cette procédure s'effectue, pour les différentes natures de liens de la manière suivante. This follows the processing (104) of the call according to these rules. Either the call is allowed, or it is allowed with time zone, number, destination restrictions or it is ended by a hang-up procedure (5). This procedure is performed for the different types of links in the following manner.

- pour les liens numériques circuits , s'il existe un lien API au niveau du PABX alors est générée une commande de coupure de la communication en cours. Sinon, on réalise un brouillage de la communication par l'entrée en tiers avec annonce du modem de l'analyseur de communication (100) connecté sur un joncteur de poste analogique jusqu'au raccroché par l'utilisateur, - pour les liens numériques paquets , un comportement Firewall data est appliqué par blocage de l'appel après extraction et analyse de l'en- tête IP au niveau RTP ou RTCP dans le cas de figure d'une communication utilisant un protocole de communication H323, au niveau SDP dans le cas d'une communication utilisant le protocole de communication SIP et/ou MGCP, ces couches permettant l'identification des codecs (G711 à G729), du protocole fax (T30, T38) ou du protocole modem (G723.1). L'appel sera bloqué soit par la commande Cancel au niveau de la signalisation pour SIP, soit par la commande Reject du protocole H245 pour H323, soit par la commande DeleteConnection pour MGCP. - for circuits digital links, if there is an API link at the PABX then a command to cut the current call is generated. Otherwise, a jamming of the communication is effected by the entry into thirds with announcement of the modem of the communication analyzer (100) connected to an analogue postal junction until hung up by the user, - for the digital links packets , a Firewall data behavior is applied by blocking the call after extraction and analysis of the IP header at the RTP or RTCP level in the case of a communication using a H323 communication protocol, at the SDP level in the case of a communication using the SIP and / or MGCP communication protocol, these layers allowing identification of the codecs (G711 to G729), the fax protocol (T30, T38) or the modem protocol (G723.1). The call will be blocked either by the Cancel command at the signaling level for SIP, or by the H245 protocol Reject command for H323, or by the DeleteConnection command for MGCP.

- pour les liens analogiques, on réalise une coupure par micro-relais. - for analog links, a micro-relay cut is performed.

L'analyse est réalisée en boucle tant que l'appel n'a pas pris fin. Une fois cet appel terminé, les informations de l'appel sont remontées (6) vers le serveur pare-feu (110), puis envoyées à travers un pipe de communications vers le serveur de supervision (120) en temps réel. The analysis is looped until the call has ended. Once this call is complete, the call information is sent back (6) to the firewall server (110) and sent through a communications pipe to the supervisory server (120) in real time.

L'exemple suivant concerne l'analyse des paquets émis sur le réseau dans le protocole H.323. The following example is for analyzing packets sent over the network in the H.323 protocol.

Exemple 1: Analyse du protocole H.323 La figure 13 illustre d'une part, les couches sur lesquelles repose le protocole H.323 et d'autre part, le format de l'en-tête RTP (Real-time Transfert Protocol) utilisé pour la voix sur IP sur le protocole H.323. L'analyseur de communication analyse l'en-tête RTP contenu dans la trame UDP ou TCP afin de déterminer La nature de la communication en prenant en compte dans cet en-tête, la valeur Payload Type . Dans l'exemple fourni, il s'agit d'une communication G711 encore appelé PCMA. Example 1: Analysis of the H.323 Protocol Figure 13 illustrates, on the one hand, the layers on which the H.323 protocol is based and, on the other hand, the format of the Real-time Transfer Protocol (RTP) header. used for voice over IP on the H.323 protocol. The communication analyzer analyzes the RTP header contained in the UDP or TCP frame to determine the nature of the communication by taking into account in this header, the Payload Type value. In the example provided, it is a G711 communication still called PCMA.

LE SERVEUR D'AUDIT Illustré par la figure 5, le serveur d'audit (130) permet la mise en place des scénarii de sécurisation du réseau, scénarii qui seront choisis par un opérateur humain pour l'établissement des règles de sécurité. THE AUDIT SERVER Illustrated in Figure 5, the audit server (130) allows the establishment of network security scenarios, scenarios that will be chosen by a human operator for the establishment of security rules.

ANALYSE FONCTIONNELLEFUNCTIONAL ANALYSIS

Une première étape est réalisée avant l'exploitation du système. Elle vise à déterminer les caractéristiques fonctionnelles du PABX (200) qui changent d'un fabricant à l'autre (1010) et les spécificités de l'architecture réseau en place (1020). Les opérations décrites ci-après sont reproduites après une mise à jour du PABX ou après une modification de l'architecture du réseau (ajout de périphériques par exemple), c'est pourquoi il est préférable que le serveur d'audit (130) ne partage pas les mêmes ressources que le serveur de supervision (120). A first step is performed before operating the system. It aims to determine the functional characteristics of the PABX (200) that change from one manufacturer to another (1010) and the specificities of the network architecture in place (1020). The operations described below are reproduced after an update of the PBX or after a modification of the network architecture (adding peripherals for example), which is why it is preferable for the audit server (130) not to does not share the same resources as the supervisory server (120).

Lors d'une phase préliminaire avant la mise en exploitation du système, le serveur (130) est connecté au port de maintenance V24 (198) du PABX pour obtenir les fichiers d'architecture circuit (1020) contenus dans le PABX ainsi qu'au réseau IP (230) pour obtenir les informations d'architecture système (1010). Une application du type NESSUS permet d'obtenir par le réseau IP (230) l'ensemble des informations IP du réseau: VLAN, adresses IP, nombre de serveurs d'application, Les fichiers architecture circuit mentionnent les configurations des liens internes (annuaire des numéros de téléphone) et des liens externes (T0, T2, voix IP pour la voix). During a preliminary phase before the system is put into operation, the server (130) is connected to the maintenance port V24 (198) of the PABX to obtain the circuit architecture files (1020) contained in the PABX as well as to the IP network (230) to obtain the system architecture information (1010). An application of the NESSUS type makes it possible to obtain all the IP information of the network via the IP network (230): VLANs, IP addresses, number of application servers, circuit architecture files mention the configurations of the internal links (directory of phone numbers) and external links (T0, T2, voice IP for voice).

La figure 6 représente un exemple des bases de données de configurations (1000) obtenues par le serveur d'audit (130) après analyse du système (1010) et des circuits (1020). FIG. 6 represents an example of the configuration databases (1000) obtained by the audit server (130) after analysis of the system (1010) and circuits (1020).

La base de données des liens extérieurs renseigne: la nature des liens (RNIS TO ou T2, analogique IP) ; s'il s'agit d'un Intranet; le type de flux (entrant, sortant, mixte) ; le nombre de voies; le débit effectif. La base de données des liens internes renseigne: le numéro de téléphone; The database of external links informs: the nature of the links (ISDN TO or T2, analogue IP); if it is an Intranet; the type of flow (incoming, outgoing, mixed); the number of lanes; the actual flow. The database of internal links provides: the telephone number;

s'il possède une SDA (sélection directe à l'arrivée) ou non; la nature du liens (analogique, numérique, IP) ; le type de périphérique (téléphone, modem, fax). La base de données système renseigne: les éléments présents (PABX, messagerie vocale, serveur de facturation) ; la version du système d'exploitation; les mises à jour; les mots de passe; les ports de communication; l'adresse logique; l'adresse physique. whether he has an SDA (direct selection on arrival) or not; the nature of the links (analog, digital, IP); the type of device (phone, modem, fax). The system database informs: the present elements (PABX, voicemail, billing server); the version of the operating system; updates; passwords; communication ports; the logical address; the physical address.

La base de données des fonctionnalités du PABX renseigne: les numéros de téléphone; les profils ou classes associés; les fonctionnalités ouvertes sur chacun des numéros 30 de téléphone (renvoi, conférence, groupement) ; les restrictions associées. The PBX features database provides: phone numbers; associated profiles or classes; the features open on each of the telephone numbers 30 (forwarding, conference, grouping); the associated restrictions.

Préalablement, est effectuée une étape de définition des attributs et des valeurs correspondantes mis en uvre par le PABX (200) (en fonction du constructeur), par exemple: Valeurs_ services_ associées: mevo (messagerie vocale), Svi, Acd, taxation... ; Valeurs_ états_ logiciels: mise à jour, mot de passe, ports communication ouverts; Valeurs architecture: Vlan, indépendart, QoS; Valeurs télémaintenance: sda, mot de passe, ip, v24, call back; Valeurs sauvegardes: crypté, périodique; Valeurs mobilité : borne ouverte, Dect, Wifi; Valeurs_ fonctionnalités: opérateur, interphonie, multi Cco, multisociété, Disa, conférence, enregistrement, entrée en tiers, transfert, renvois, écoute, groupement, Sda... ; Valeurs restrictions: horaires, géographique, plage numéros, accès prioritaire, verrouillage logique... 20 Toujours en référence à la figure 5, une analyse des différentes vulnérabilités (1100) du PABX par rapport à ces valeurs permet de distinguer trois principaux types de vulnérabilités: les vulnérabilités d'accès (possibilité d'accès au système et aux données contenues à l'intérieur), celles de création/modification/suppression (cms) (possibilité d'interagir avec le système et les données associées) et celles de récupération (possibilité de récupérer l'action qui se passe). Beforehand, a definition step of the attributes and corresponding values implemented by the PABX (200) (depending on the manufacturer) is carried out, for example: Associated service_values: mevo (voicemail), Svi, Acd, charging. .; Software_status_values: update, password, open communication ports; Architecture values: Vlan, independart, QoS; Remote maintenance values: sda, password, ip, v24, call back; Values saved: encrypted, periodic; Mobility values: open terminal, Dect, Wifi; Values_functions: operator, intercom, multi Cco, multi-company, Disa, conference, recording, third-party entry, transfer, forwarding, listening, grouping, Sda ...; Restricted values: time, geographical, range numbers, priority access, logical locking ... 20 Still referring to FIG. 5, an analysis of the various vulnerabilities (1100) of the PABX with respect to these values makes it possible to distinguish three main types of vulnerabilities. : access vulnerabilities (ability to access the system and the data contained therein), creation / modification / deletion (cms) (ability to interact with the system and associated data) and recovery (possibility of recovering the action that is happening).

La base de données des règles (1110) contient, quant à elle, l'ensemble des règles de sécurité appliquées par le système. Cette base est généralement vide à l'installation du système et s'enrichit à l'issue de cette phase d'audit du système. Les règles sont sous la forme: Si (nom unité opérateur valeur) et... et (nom _de plusieurs mots opérateur valeur) Alors (nom = valeur) et.. et (nom = formule) Voici deux exemples de règles: The rules database (1110) contains, for its part, all the security rules applied by the system. This database is usually empty when the system is installed and is enriched at the end of this system audit phase. The rules are in the form: If (name operator unit value) and ... and (name _of several words operator value) Then (name = value) and .. and (name = formula) Here are two examples of rules:

Exemple 2Example 2

Si Valeurs services associés = (messagerie vocale, mot de passe 1 o standard, sda) et Valeurs fonctionnalités = (rappel automatique après dépôt de message, numéro extérieur) et Valeur architecture = (liens extérieurs, pas de restriction) Alors risque = (écoute) Cet exemple illustre le risque de subir une écoute téléphonique mise en oeuvre en utilisant les faiblesses du système en matière de rappel automatique d'un numéro extérieur après le dépôt de message dans une messagerie vocale. If associated services = (voicemail, password 1 o standard, sda) and Values features = (automatic callback after message deposit, external number) and value architecture = (external links, no restriction) Then risk = (listening This example illustrates the risk of being wiretapped using the system's weaknesses in automatic callback of an external number after the voicemail message is dropped.

Exemple 3Example 3

Si valeur télémaintenance = (mot de passe constructeur, numéro sda, pas de restriction) et valeur fonctionnalités = (renvoi extérieur) et valeur architecture = (liens extérieurs, pas de restriction) Alors risque = (détournement de trafic) Cet exemple illustre le détournement de trafic de communication en utilisant le renvoi extérieur d'une communication rendu possible par l'obtention du mot de passe constructeur... If remote maintenance value = (manufacturer's password, sda number, no restriction) and value of functionalities = (external reference) and architecture value = (external links, no restriction) Then risk = (hijacking of traffic) This example illustrates the diversion of communication traffic using the external reference of a communication made possible by obtaining the manufacturer's password ...

Egalement, la méthode EBIOS permet d'établir, indépendamment de l'architecture du réseau d'entreprise, une matrice caractérisant les dépendances entre menaces et vulnérabilités du PABX (200), et une matrice caractérisant les dépendances entre les menaces et les fonctionnalités offertes par le PABX. Also, the EBIOS method makes it possible to establish, independently of the enterprise network architecture, a matrix characterizing the dependencies between threats and vulnerabilities of the PABX (200), and a matrix characterizing the dependencies between the threats and the functionalities offered by the network. the PABX.

La figure 7 représente un exemple de matrice menaces / vulnérabilités où les menaces sont du type espionnage industriel ou détournement de trafic, et les vulnérabilités peuvent être la possibilité d'accéder directement à un poste ou la possibilité d'effacer ou modifier des programmes. Figure 7 shows an example of a threat / vulnerability matrix where the threats are of the industrial espionage or traffic diversion type, and the vulnerabilities may be the possibility to directly access a station or the possibility of erasing or modifying programs.

La figure 8 représente un exemple de matrice menaces / fonctionnalités où les fonctionnalités fournies par le PABX (200) peuvent être la numérotation abrégée commune, le renvoi ou encore le groupement. FIG. 8 represents an example of a threat / function matrix where the functionalities provided by the PABX (200) can be common abbreviated dialing, forwarding or grouping.

Ces matrices peuvent être remplies manuellement, c'est-à-dire que les dépendances sont établies en fonction de la connaissance du matériel et de la sécurité du réseau. These matrices can be filled manually, that is, dependencies are established based on hardware knowledge and network security.

MOTEUR EXPERT - INFERENCE ET CONTRE-MESURES ENGINE EXPERT - INFERENCE AND COUNTERMEASURES

Chacune des configurations système/circuit (1000) définies précédemment est confrontée aux informations de menaces, vulnérabilités et règles établies pour évaluer les risques de cette configuration et les contremesures adéquates contre cette situation. Une représentation schématique de ce système expert est fournie en figure 9 dont les modules SCN1 (1120) et SCN2 sont illustrés par les figures 10 et 11. Each of the system / circuit configurations (1000) defined above is confronted with the information of threats, vulnerabilities and rules established to evaluate the risks of this configuration and the appropriate countermeasures against this situation. A schematic representation of this expert system is provided in FIG. 9, of which the SCN1 (1120) and SCN2 modules are illustrated by FIGS. 10 and 11.

Ce système expert est contenu dans le serveur (130). This expert system is contained in the server (130).

Un chaînage avant et arrière est réalisé entre les menaces et les vulnérabilités du système (selon la matrice définie précédemment) par le module SCN1 (1120). On entend par chaînage avant et arrière l'analyse consistant à partir d'une part de chacune des menaces (rôle symétrique des vulnérabilités) pour lui associer les vulnérabilités dépendantes et de boucler cette analyse par =_a vérification à partir des vulnérabilités déterminées de la menace originelle. Une analyse successive des vulnérabilités d'accès, des vulnérabilités de création/modification/suppression et des vulnérabilités de récupération, permet d'établir les risques éventuels encourus par le système face à cette menace. Ces risques sont stockés dans une base de données. Forward and backward chaining is performed between the threats and vulnerabilities of the system (according to the previously defined matrix) by the SCN1 module (1120). Forward and backward chaining refers to the analysis of each of the threats (symmetric role of the vulnerabilities) to associate the dependent vulnerabilities and to complete this analysis by = _a verification from the identified vulnerabilities of the threat original. A sequential analysis of access vulnerabilities, creation / modification / deletion vulnerabilities, and recovery vulnerabilities helps identify potential risks to the system from this threat. These risks are stored in a database.

Ces risques ont la forme suivante: vulnérabilités(accès) et vulnérabilités(Mcs) et vulnérabilités (Récup) alors Menace (xx) , et permettent d'établir des contre-mesures. Ces nouvelles contre-mesures ou scénarii tiennent compte de ceux déjà existants (base de données des contre-mesures 1210) et sont réalisés par le module SCN2 illustré par la figure 11. These risks have the following form: vulnerabilities (access) and vulnerabilities (Mcs) and vulnerabilities (Recover) then Threat (xx), and make it possible to establish countermeasures. These new countermeasures or scenarios take into account those already existing (countermeasures database 1210) and are made by the SCN2 module illustrated in FIG. 11.

Un classement des risques permet de déterminer les cas à autoriser, ceux à interdire et enfin ceux à autoriser avec restriction (plage horaire, géographique, ...) : ce sont les scénarii. Les risques sont classés suivant deux critères. A ranking of the risks makes it possible to determine the cases to be authorized, those to prohibit and finally those to authorize with restriction (time slot, geographical, ...): these are the scenarios. The risks are classified according to two criteria.

Un classement selon les quatre grandes familles de 20 risques: - les risques liés au détournement de trafic, - ceux liés à l'écoute, - ceux liés à l'usurpation (la fonction sqatt, par exemple, permet de récupérer l'ensemble des caractéristiques d'un autre poste y compris son numéro de téléphone), - ceux liés au déni de service (scénario permettant l'introduction d'un élément malin dans le logiciel du système). A ranking according to the four major families of 20 risks: - the risks related to the diversion of traffic, - those related to listening, - those related to the usurpation (the function sqatt, for example, allows to recover all characteristics of another post including its telephone number), - those related to the denial of service (scenario allowing the introduction of a malignant element in the system software).

Puis, à l'intérieur de ces familles, est effectué un classement par ordre de facilité suivant la règle: moins un scénario comporte d'item plus il est facile à mettre en uvre. Then, within these families, is made a classification in order of facility following the rule: the less a scenario comprises of item more it is easy to implement.

En conséquence et suivant la politique de sécurité de l'entreprise, il s'agira d'interdire au maximum ce qui parait le plus dangereux. Consequently and according to the company's security policy, it will be a question of prohibiting as much as possible what seems most dangerous.

Une intervention humaine permet de choisir les contre-mesures définissant la politique de sécurité du PABX (200) : exemples concernant les vulnérabilités d'architecture: supprimer les liens inactifs, modifier les numéros de télémaintenance s'il répondent aux standards constructeurs, réorganiser l'annuaire... compte tenu des proposition faites par le système expert; - exemples concernant les fonctionnalités fournies par le PABX: les contre-mesures relatives aux scénarii de risques se présentent sous la forme de choix, car il ne peut être question de supprimer l'ensemble des fonctionnalités ouvertes, par définition du rôle du PABX. Il s'agira de limiter les scénarii et de surveiller ceux qui n'ont pas pu être éradiqués, par exemple, supprimer le scénario en interdisant le ou les fonctionnalités mises en cause, autoriser les fonctionnalités et surveiller leur usage ou encore, restreindre les fonctionnalités par plage horaire, par plage de numéros, par destination, ... A human intervention makes it possible to choose the countermeasures defining the security policy of the PABX (200): examples concerning the architectural vulnerabilities: to suppress the inactive links, to modify the numbers of remote maintenance if they meet the standards constructors, to reorganize the directory ... considering the proposals made by the expert system; - examples concerning the functionalities provided by the PABX: the countermeasures relating to the risk scenarios are presented in the form of choices, since there can be no question of deleting all the open functionalities, by definition of the role of the PABX. It will limit the scenarios and monitor those that could not be eradicated, for example, delete the scenario by prohibiting the feature (s) involved, allow the features and monitor their use or restrict the features by time slot, by number range, by destination, ...

- exemples concernant les périphériques: autoriser ou restreindre un périphérique, un groupe de périphérique, un numéro de téléphone, ... un type de périphérique. Une itération du système expert se déroulera pour, en temps réel, vérifier que le couple fonctionnalités/périphérique ne crée pas de nouveau scénario de risque; - gestion d'accès logiques et de mis à jour suivant les recommandations du module Audit ou aménagement avec itération du système expert. Ceci s'explique, par exemple, par le fait qu'il existe dans chaque composant du système de communication d'entreprise un certain nombre de ports logiques de communications ouverts. Certains ne servent pas et il est alors recommandé de les fermer quitte à les rouvrir en cas de nécessité. Par exemple, pour un PABX de type Alcatel, vingt ports sont ouverts en configuration standard et la moitié d'entre eux servent. uniquement à l'installation du système. - device examples: allow or restrict a device, device group, phone number, ... device type. An iteration of the expert system will be carried out in order to verify, in real time, that the functionality / device pair does not create a new risk scenario; - Logical access management and update according to the recommendations of the Audit or development module with iteration of the expert system. This is because, for example, there are a number of open communications logical ports in each component of the enterprise communication system. Some do not serve and it is recommended to close them even if they need to be reopened. For example, for an Alcatel type PBX, twenty ports are open in standard configuration and half of them are used. only when installing the system.

De plus, les bases de données des règles (1110), des vulnérabilités (1100) et des contre-mesures (1210) sont 10 mises à jour lors la création des nouveaux sc:énarii. In addition, the databases of the rules (1110), vulnerabilities (1100) and countermeasures (1210) are updated during the creation of the new sc: enarii.

Voici l'établissement de contre-mesures en référence aux deux exemples 2 et 3 susmentionnés. Here is the establishment of countermeasures with reference to the two examples 2 and 3 above.

Exemple 3: détournement de trafic Un détournement peut provenir de la combinaison des vulnérabilités suivantes: Vulnérabilité d'accès concerne la valeur télémaintenance (mot de passe constructeur, numéro SDA, pas de restriction) Vulnérabilité de Cros concerne la valeur fonctionnalités (renvoi extérieur, pas de restrictions) Vulnérabilité de récupération concerne la valeur architecture (liens extérieurs, pas de restriction) La règle de risque alors établie devient: Si valeur télémaintenance(mot de passe constructeur, numéro sda, pas de restriction) et valeur fonctionnalités(renvoi extérieur) et valeur architecture(liens extérieu::s, pas de restriction) alors risque (détournement de trafic) Les contre-mesures proposées sont alors: Valeur télémaintenance Changement mot de passe (mot de passe constructeur) Interdire Gestion mot de passe Modem call back Autoriser Surveiller Débrancher modem Numéro hors SDA Restreindre Surveiller Modern call back Numéro hors SDA Valeur_fonctionnalités Autoriser Surveiller (renvoi extérieur) Interdire Supprimer la faculté Restreindre N téléphone, Classe Géographique Plage horaire Surveiller Valeur architecture Autoriser Surveiller (liens extérieurs, pas de restriction) Restreindre Possible selon modèle Ce scénario peut se produire fréquemment car le hacker externe peut, à travers un war-dialer (programme qui permet à partir d'une série de numéros de téléphone de lancer massivement des appels pour identifier une porteuses modem ou fax et d'autoriser l'entrée dais un système informatique ou télécom), identifier le modem de télémaintenance, par Internet trouver les mots de passe constructeur, accéder et activer la foncticnnalité renvoi ou détourner le trafic à son compte. Example 3: Traffic diversion A diversion can come from the combination of the following vulnerabilities: Access vulnerability concerns the remote maintenance value (manufacturer's password, SDA number, no restriction) Vulnerability of Cros relates to the value of functionalities (external reference, not of restrictions) Recovery vulnerability relates to the architecture value (external links, no restriction) The risk rule then established becomes: If remote maintenance value (manufacturer password, sda number, no restriction) and value features (external reference) and architecture value (external links :: s, no restriction) then risk (traffic diversion) The proposed countermeasures are then: Remote maintenance value Change password (manufacturer password) Prohibit Password management Modem call back Allow Monitor Unplug modem Non-DDI number Restrict Monitor Modern call back Number out of SDA Value_features Allow Monitor (outbound) Prohibit Delete faculty Restrict N phone, Geographical class Time range Monitor Architecture value Allow Monitor (external links, no restriction) Restrict Possible by model This scenario can occur frequently because the external hacker can, through a war-dialer (program that allows from a series of telephone numbers to massively launch calls to identify a modem or fax carriers and to allow the entry of a computer or telecom system), identify the modem remote maintenance, through the Internet find the builder passwords, access and activate the functionality remotely or divert the traffic to his account.

Pour déterminer ces scénarii, le moteur de règles utilise les matrices de correspondance évoquées précédemment afin: - d'identifier toutes les vulnérabilités d'accès (Ports maintenance et télémaintenance mal protégés, postes non protégés, fonctionnalités d'accès ouvertes (DISA), etc.), d'identifier toutes les vulnérabilités autorisant 20 la création-suppression-modification des facilités répondant aux menaces (renvoi, transfert, DISA, conférence, etc.), d'identifier toutes les vulnérabilités permettant de récupérer l'action précédemment mise en uvre répondant 5 à la menace (liens extérieurs, serveurs associés, etc.). To determine these scenarios, the rules engine uses the correspondence matrices mentioned earlier to: - identify all access vulnerabilities (poorly protected maintenance and remote maintenance ports, unprotected stations, open access features (DISA), etc. .), to identify all the vulnerabilities allowing the creation-deletion-modification of the facilities answering the threats (forwarding, transfer, DISA, conference, etc.), to identify all the vulnerabilities making it possible to recover the action previously implemented. responding to the threat (external links, associated servers, etc.).

Exemple 2: écouteExample 2: Listening

Les vulnérabilités du système quant à l'écoute concernent: Accès: valeurs services associés (messagerie vocale, mot de passe standard, sda), Cms: valeurs fonctionnalités (rappel automatique après dépôt de message, numéro extérieur), Récupération: valeur architecture (liens extérieurs, pas 15 de restriction). The vulnerabilities of the system with regard to listening concern: Access: associated service values (voicemail, standard password, nda), Cms: functional values (automatic callback after message deposit, external number), Recovery: architecture value (links external, no restriction).

La règle de risque alors établie devient: Si Valeurs_services_associés (messagerie vocale, mot de passe standard, sda) et Valeurs fonctionnalités (rappel automatique après dépôt de message, numéro extérieur) et Valeur architecture (liens extérieurs, pas de restriction) alors risque(écoute) Les contre-mesures proposées sont alors: Autoriser Surveiller Gestion mot de passe Interdire Supprimer MMevo Valeurs_services_associés Plage horaire (messagerie vocale, mot de passe Rendre inaccessible depuis standard, Sda) l'extérieur Restreindre Gestion mot de passe Restreindre les N appelant si possible Valeurs_fonctionnalités Autoriser Surveiller (rappel automatique après dépôt de message, numéro extérieur) Interdire Supprimer la fonctionnalité Restreindre Restreindre les N appelé si possible Valeur-architecture (liens extérieurs, Néant pas de restriction) The risk rule then established becomes: If associated_services_values (voicemail, standard password, sda) and Functional values (automatic callback after message deposit, external number) and Value architecture (external links, no restriction) then risk (listening The proposed countermeasures are then: Allow Monitor Password management Prohibit Delete MMevo Associated_services_values Time range (voicemail, password Unreachable from standard, Sda) outside Restrict password management Restrict N calling if possible Values_features Allow Monitor (automatic callback after message delivery, external number) Prohibit Delete the Restrict feature Restrict N called if possible Value-architecture (external links, No restriction)

ANALYSE ET APPLICATION POLITIQUE SECURITAIRE SECURITY POLICY ANALYSIS AND APPLICATION

L'étape d'audit a permis d'établir les configurations et instructions (règles) nécessaires à l'application de la sécurité des transactions, communications passant par le PABX. The auditing step allowed to establish the configurations and instructions (rules) necessary to the application of the security of the transactions, communications passing through the PABX.

Comme illustrées par la figure 12, les règles établies sont triées selon leur domaine d'application: celles concernant les couches basses de communication (couche OSI 1-3) sont transmises à la base de données du serveur pare-feu (110) via le serveur de supervision (120), celles concernant les couches hautes (applicatives OSI 4-7) et les fonctionnalités du PABX sont transmises à la base de données du serveur de supervision (120). As illustrated in FIG. 12, the established rules are sorted according to their field of application: those relating to the communication low layers (OSI layer 1-3) are transmitted to the database of the firewall server (110) via the supervisory server (120), those concerning the high layers (OSI applications 4-7) and the functions of the PBX are transmitted to the database of the supervision server (120).

Certaines règles affectent de façon permanent le PABX: elles sont donc directement paramétrées dans la base de données du PABX, automatiquement et/ou manuellement. Les autres règles sont comparées sur le serveur de supervision (120) avec les tickets de communications émis sur le port au fil de l'eau (199) du PABX. Some rules permanently affect the PABX: they are therefore directly set in the PABX database, automatically and / or manually. The other rules are compared on the supervisory server (120) with the communication tickets issued on the PABX's run-of-the-river port (199).

TICKETSTICKETS

A chaque appel, est généré un ticket de communication comportant 128 octets. Ces tickets sont généralement utilisés pour la facturation des appels. Each call generates a communication ticket with 128 bytes. These tickets are generally used for billing calls.

Dans le cadre de la présente invention, le ticket fournit, entre autres, les informations suivantes: - Numéro appelant - Numéro appelé - Date Heure de début d'appel - Heure de fin d'appel - Numéro intermédiaire Numéro T2/TO - Voie In the context of the present invention, the ticket provides, inter alia, the following information: - Calling number - Called number - Date Call start time - End call time - Intermediate number T2 / TO number - Channel

- IP- IP

- Opératrice - Interface (numérique, analogique, IP) - Site Fonctionnalités mises en oeuvre - Nom de l'annuaire Un contrôle de cohérence entre les informations contenues dans le ticket et la base de données du PABX est effectué: une alerte est levée en cas d':_ncohérence, et l'appel peut être terminé. C'est, par exemple, le cas lorsque pendant une reconfiguration manuelle du PABX, tous les nouveaux paramètres édités par le module audit n'ont pas été introduits dans le PABX (pas de mise à jour de l'annuaire, oubli d'interdire une fonctionnalité pour un poste, etc...). Ce contrôle permet de limiter les appels aux possibilités fournies et autorisées (les paramètres) par le PABX. - Operator - Interface (digital, analogue, IP) - Site Features implemented - Name of the directory A consistency check between the information contained in the ticket and the PABX database is carried out: an alert is raised in case no objection, and the call can be terminated. This is, for example, the case when during a manual reconfiguration of the PABX, all the new parameters edited by the audit module were not introduced into the PABX (no updating of the directory, forgetting to forbid a feature for a post, etc ...). This control makes it possible to limit the calls to the possibilities provided and authorized (the parameters) by the PABX.

Les données issues de cette analyse sont remontées avec les informations des tickets de communications au serveur de supervision (120). Les informations concernant l'appel en cours sont combinées avec les alertes remontées du serveur pare-feu (110) d'analyse couches OSI 1-3 (BDD alertes firewall) et comparées aux règles de sécurité du serveur de supervision (120). Une analyse complémentaire peut être effectuée; elle confronte les données de l'appel en cours à un historique des derniers appels (Fichier Tempo Attaques) pour établir s'il y a une attaque ou un non-respect de la politique de sécurité (selon des modèles d'attaques types). The data resulting from this analysis is sent together with the information of the communication tickets to the supervision server (120). The information about the current call is combined with the alerts sent from the firewall server (110) for OSI layer analysis (BDD firewall alerts) and compared to the security rules of the supervisory server (120). Further analysis can be performed; it confronts the data of the current call with a history of the last calls (Tempo File Attacks) to establish whether there is an attack or a violation of the security policy (according to models of typical attacks).

Cet historique peut être sous la forme d'un fichier renseignant les cent derniers appels traités par le PABX et leurs caractéristiques (poste appelé, sonnerie inférieure à 4 coups, absence de réponse, poste appelant extérieur, ...). L'objectif de cette historisation est d'être capable de déterminer les attaques répétées. This history can be in the form of a file containing the last hundred calls processed by the PABX and their characteristics (called extension, less than 4 strikes, no answer, external calling station, ...). The purpose of this historization is to be able to determine repeated attacks.

La supervision en temps réel du système de communication de l'entreprise repose sur une analyse des tickets du trafic, la surveillance et la supervision des fonctionnalités mises en oeuvre par un appel et qui présentent des vulnérabilités, la surveillance et l'alerte dans le cas où un scénario de risque est en train de se produire, l'auto-apprentissage des scénarii non envisagés et qui se produisent et enfin la veille en détection d'attaques par le rapprochement d'informations, par exemple. The real-time monitoring of the company's communication system is based on an analysis of traffic tickets, the monitoring and supervision of the features implemented by a call and which present vulnerabilities, the monitoring and the alert in the case where a risk scenario is occurring, self-learning scenarios not envisaged and that occur and finally the day before detection of attacks by the reconciliation of information, for example.

o Nombre d'appels inférieurs à 4 et raccrochés comparé à la moyenne. Analyse de l'écart type avec seuil de déclenchement, o Nombre d'appels tels que ci-dessus et analyse si le phénomène se déroule de manière séquentielle ou aléatoire, avec indication des temps entre chaque appel de cette nature et seuil de déclenchement, o Nombre d'appels répondus au travers de la messagerie vocale et détectés comme étant des appels de type modem. o Number of calls less than 4 and hung up compared to the average. Analysis of the standard deviation with triggering threshold, o Number of calls as above and analysis if the phenomenon takes place in a sequential or random manner, with indication of the times between each call of this nature and triggering threshold, o Number of calls answered through voicemail and detected as modem calls.

Un algorithme de pondération, aux vues de ces informations, établira la présence ou non d'une attaque et mettra en oeuvre la procédure d'alerte et d'action établie auparavant. A weighting algorithm, based on this information, will establish the presence or absence of an attack and implement the alert and action procedure previously established.

Lorsqu'une attaque, un non-respect de la politique sécuritaire, un nouveau scénario de risques est détecté, un traitement des contre-mesures adéquates est effectué. When an attack, a non-compliance with the security policy, a new risk scenario is detected, a treatment of the appropriate countermeasures is carried out.

Exemple 4Example 4

Si une attaque se présente, la décision peut être prise de couper tous les liens extérieurs si l'évènement se passe lors d'une période pendant laquelle l'entreprise est fermée (la nuit). If an attack occurs, the decision may be made to cut off all outside links if the event occurs during a period during which the business is closed (at night).

Exemple 5Example 5

En cas de non-respect de la politique sécuritaire, le numéro de téléphone intérieur concerné peut être inactivé. Exemple 6 En cas de mise à jour d'un nouveau scénario de risque, le PABX est reconfiguré en prenant en compte ce risque. In case of non-compliance with the security policy, the internal telephone number concerned may be inactivated. Example 6 If a new risk scenario is updated, the PABX is reconfigured taking this risk into account.

Dans le cas où la configuration de l'appel en cours n'est prise en charge par aucun scénario, un système expert, similaire à celui décrit ci-dessus, permet l'auto- apprentissage du système. Un nouveau risque est déterminé, des scénarii éventuellement proposés et un opérateur humain détermine les scénarii correspondants à la politique de sécurité. Cet apprentissage se fait par chaînage flou: on analyse les scénarii les plus proches. Par exemple, un scénario ayant quatre critères sur cinq identiques à l'appel en cours est considéré comme proche. In the case where the configuration of the current call is not supported by any scenario, an expert system, similar to the one described above, allows the self-learning of the system. A new risk is determined, scenarios possibly proposed and a human operator determines the scenarios corresponding to the security policy. This learning is done by fuzzy chaining: we analyze the closest scenarios. For example, a scenario with four out of five criteria identical to the current call is considered close.

- soit les scénarii proches sont cohérents entre eux, et un nouveau scénario est établi pour l'appel en cours, - soit les scénarii ne sont pas cohérents entre eux, auquel cas une alarme est remontée, par exemple par email ou SMS, pour demander l'établissement d'une règle adaptée. - or the close scenarios are consistent with each other, and a new scenario is established for the current call, - or the scenarios are not consistent between them, in which case an alarm is raised, for example by email or SMS, to ask the establishment of a suitable rule.

Le système permet également des remontées statistiques permettant entre autres de connaître le nombre d'appels terminés, le nombre de tentatives d'accès frauduleux, Selon un mode de réalisation, l'invention consiste en un logiciel exécuté sur un système d'exploitation de type Windows Serveur (nom commercial) et les bases de données mises en oeuvre sont de type SQL et plus tard sur des plateformes plus élaborés tel que Oracle (Nom commercial). The system also makes it possible to obtain statistical data that makes it possible, among other things, to know the number of completed calls, the number of fraudulent access attempts. According to one embodiment, the invention consists of software running on an operating system of the same type. Windows Server (commercial name) and the databases used are of SQL type and later on more elaborate platforms such as Oracle (Business name).

EXEMPLE D'UN SCÉNARIO Voici un exemple de traitement de scénario d'appel frauduleux, depuis son origine jusqu'aux contre-mesures appliquées par le système. EXAMPLE OF A SCENARIO Here is an example of fraudulent call scenario processing, from its origin to the countermeasures applied by the system.

La situation est la suivante: 1. Un pirate s'est introduit au travers du réseau IP data en profitant du fait que: - le port de communication logique de l'autocommutateur est ouvert et pas de configuration VLAN pour le réseau Ethernet dédié aux serveurs téléphone, - le Firewall Data autorise le port ftp 80 ce qui a permis de rentrer dans le PABX dont ce port est aussi rester ouvert, - le pirate a ensuite introduit un exécutable qui lui 25 donne la main sur le port télémaintenance, - le mot de passe a été corrompu par un outil de Crackage car le mot de passe a été changé et n'est plus celui du constructeur. The situation is as follows: 1. An attacker is introduced through the IP data network taking advantage of the fact that: - the logical communication port of the switch is open and no VLAN configuration for the Ethernet network dedicated to the servers telephone, - the Firewall Data authorizes the port ftp 80 which allowed to enter the PABX which this port is also to remain open, - the hacker then introduced an executable which gives him the hand on the remote maintenance port, - the word password has been corrupted by a Crackage tool because the password has been changed and is no longer the password of the manufacturer.

2. Le pirate a ensuite créer un poste virtuel dans le PABX avec la fonction numérotation ouverte (il s'agit d'un poste où l'interface a été activé sans connecter un poste physiquement et qui lorsqu'il est sollicité compose l'indicatif de sortie vers le réseau et attend le numéro à composer). 2. The attacker then creates a virtual station in the PABX with the open dialing function (this is a station where the interface has been activated without connecting a station physically and when it is requested dials the area code exit to the network and wait for the number to dial).

3. Le pirate s'est attribué la fonction DISA (fonction qui permet à un poste extérieur à l'entreprise d'être perçu comme un poste de l'entreprise). 3. The hacker has assigned the function DISA (function that allows a position outside the company to be perceived as a position of the company).

4. Le pirate a ensuite repéré des postes dit en groupement cyclique (un groupement cyclique est un groupe de poste qui possède un numéro interne générique commun, ce qui n'empêche pas ces postes d'avoir un numéro individuel, et qui pour chaque nouvel appel à ce groupement l'oriente vers le poste suivant libre appartenant au groupement). 4. The hacker then identified cyclical grouping (a cyclical group is a group of extensions that has a common generic internal number, which does not preclude these items from having an individual number, and for each new call to this group directs it to the next free post belonging to the group).

5. La communauté des pirates a été prévenue des numéros à composer. Cette communauté est constituée de 50 membres dont un dispose d'un serveur vocal situé aux Bahamas avec une surfacturation du service (1 la minute reversé par l'opérateur sur un compte en suisse). 5. The hacking community has been notified of the numbers to dial. This community consists of 50 members, one of which has a voice server located in the Bahamas with a billing service (1 minute paid by the operator on an account in Switzerland).

6. Le pirate a activé un renvoi du groupement vers le serveur vocal situé aux Bahamas pendant les heures non ouvrées. 6. The hacker activated a group forwarding to the Bahamas voice server during non-business hours.

Le pirate a ainsi à sa disposition: - un poste DISA qui lui permet d'être appelé et de transférer toutes les communications vers les destinations souhaitées par les appelants, - de joindre le serveur vocal avec des mobiles anonymes (cartes prépayées) et de partager te gain lié au service surfacturé pendant les heures non ouvrées grâce au groupement de poste, de pouvoir appeler avec le poste fictif à n'importe quelle heure n'importe quelle destination sans être repéré car ce poste ne figure pas dans l'annuaire. The hacker thus has at his disposal: - a DISA station which allows him to be called and to transfer all communications to the destinations desired by the callers, - to join the voice server with anonymous mobiles (prepaid cards) and to share the gain linked to the service overcharged during the hours not worked thanks to the grouping of post, to be able to call with the fictitious post at any time any destination without being spotted because this post does not appear in the directory.

La facture peut être très salée pour l'entreprise et l'hémorragie ne pourra pas être stoppée aussi facilement car plusieurs actions ont été menées sans un lien manifeste. The bill can be very salty for the company and the bleeding can not be stopped as easily because several actions have been conducted without a clear link.

Après installation du système pare-feu de sécurisation du PABX de l'entreprise, selon la présente invention: l'application audit , grâce au module SCN1, par l'application des règles de vulnérabilité / menaces / risques, va mettre à jour les scénario suivants: Vulnérabilités accès: Valeurs états logiciels = (ports communication 10 ouverts) Valeurs architecture = (Vlan) Valeurs télémaintenance = (IP) Vulnérabilités (cms) . Valeurs fonctionnalités = (Disa) Valeurs fonctionnalités = (renvoi, groupement) Valeurs fonctionnalités = (poste fictif, appel au décroché extérieur temporisé) Vulnérabilités (Récup) . Valeur architecture = (liens extérieurs, pas de restriction) Règles A. Si Valeurs_états_logiciels = (ports communication ouverts) et Valeurs_architecture = (vlan) et Valeurs_télémaintenance = (ip) et Valeurs_fonctionnalités = (disa) et Valeurs rchitecture = (liens extérieurs, pas de restriction) Alors risque = (Détournement de trafic) B. Si Valeurs_états_logiciels = (ports communication ouverts) et Valeurs_architecture = (vlan) et Valeurs_télémaintenance = (ip) et Valeurs_fonctionnalités = (poste fictif, appel au décroché extérieur temporisé) Alors risque = (détournement de trafic) c. Si Valeurs_états_logiciels = (ports communication ouverts) et Valeurs_architecture = (vlan) et Valeurs_télémaintenance = (ip) et Valeurs_fonctionnalités = (renvoi, groupement) Alors risque = (détournement de trafic) Dans le module SCN2, le logiciel classe ces risques. After installation of the company's PABX security firewall system, according to the present invention: the audit application, thanks to the SCN1 module, by the application of the vulnerability / threat / risk rules, will update the scenario following: Access Vulnerabilities: Software State Values = (open 10 communication ports) Architecture Values = (Vlan) Remote Maintenance Values = (IP) Vulnerabilities (cms). Functional Values = (Disa) Functional Values = (return, grouping) Functional Values = (dummy, outside delayed call) Vulnerabilities (Retrieve). Architecture value = (external links, no restriction) Rules A. If Software_StatusValues = (open communication ports) and ArchitectureValues = (vlan) and Maintenance_Values = (ip) and Function_Values = (disa) and values = (external links, no restriction) Then risk = (Traffic diversion) B. If Software_sets = (open communication ports) and Architecture_values = (vlan) and Maintenance_values = (ip) and Function_values = (dummy station, delayed outside call) Then risk = (diversion) traffic) c. If Software_Settings = (open communication ports) and Architecture_Values = (vlan) and Maintenance_Values = (ip) and Function_Values = (return, grouping) Then risk = (traffic diversion) In the SCN2 module, the software classifies these risks.

Famille: Détournement de trafic Difficulté croissante: A, C, B Contremesures retenues: Ports communication ouverts: Autorisé le port 80 car utile pour les mises à jour et Patchs, Vlan: Interdire l'absence de Vlan, Poste fictif: restreindre le nombre de postes pouvant être créés et surveiller les numéros autorisés par le logiciel de supervision au travers des tickets et les afficher dans l'annuaire, Appel au décroché temporisé : interdire, Renvoi: interdire le renvoi extérieur pour tous les postes faisant partie d'un groupement sur le numéro du groupement, Groupement: autoriser. Family: Traffic diversion Growing difficulty: A, C, B Offsets retained: Open communication ports: Allowed port 80 because useful for updates and patches, Vlan: Prohibit the absence of Vlan, Fictitious post: restrict the number of positions that can be created and monitor the numbers authorized by the supervision software through the tickets and display them in the directory, Call for delayed call: prohibit, Call forward: prohibit outgoing call for all positions belonging to a group on the group number, Grouping: allow.

L'ensemble de ces données est ainsi enregistré dans la base de données nouvelle configuration L'application supervision va trier les règles et 30 les paramétrages soit vers le serveur pare-feu (110) soit vers le PABX. All of this data is thus stored in the new configuration database. The supervision application will sort the rules and the settings either to the firewall server (110) or to the PABX.

Le paramétrage du PABX se fera manuellement car le PABX ne dispose pas d'interface API ou IAE dans notre exemple: l'opération mise en place d'un Vian s'exécutera par acquittement de la direction informatique et sa réalisation sera contrôlée et constatée lors du prochain audit automatique. The parameterization of the PABX will be done manually because the PABX does not have interface API or IAE in our example: the operation setting up of a Vian will execute by acquittement of the IT direction and its realization will be checked and noted during the next automatic audit.

Pour le serveur pare-feu: aucune action prévue car 5 les couches 1 à 3 du modèle OSI gérées par l'analyseur de communication ne sont pas sollicitées dans cet exemple. For the firewall server: no action planned because the layers 1 to 3 of the OSI model managed by the communication analyzer are not solicited in this example.

Le contrôle de cohérence de la configuration se fera au fur et à mesure des appels et si une des facilités ci- dessus est retrouvée pour les postes incriminés et ne répond pas aux contre-mesures adoptées alors une alerte est levée pour correction. The consistency check of the configuration will be done as and when calls and if one of the above facilities is found for the incriminated posts and does not respond to the adopted countermeasures then an alert is raised for correction.

Dans le traitement du module expert , le scénario d'appel en cours sera comparé avec l'ensemble des scénarios de la base pour trouver un éventuel nouveau scénario proche ou original. In the processing of the expert module, the current call scenario will be compared with all the scenarios of the database to find a possible new or near-original scenario.

Le programme d'alerte attaque ne se déclenchera 20 pas dans cet exemple. The attack alert program will not fire in this example.

L'appel sera stocké avec ses caractéristiques dans la base de données fil de l'eau. The call will be stored with its features in the waterwire database.

L'invention est décrite dans ce qui précède à titre d'exemple. Il est entendu que l'homme du métier est à même de réaliser différentes variantes de l'invention sans pour autant sortir du cadre du brevet. The invention is described in the foregoing by way of example. It is understood that the skilled person is able to realize different variants of the invention without departing from the scope of the patent.

Claims

A firewall system for securing a company-wide switch (200) connected to at least one PSTN switched mode communication network and to a set communication and / or application server devices (210), said system comprising a communication analyzer (100) of the low-level layers (1 to 3) of the OSI model of circuit-mode and analog digital communications, a server light (110) connected to said analyzer (100), characterized in that said system further comprises a supervisory server (120) connected to the water line output (199) of the automatic switch (200) for the analysis of communication tickets and the application of security rules concerning the high layers (4 to 7) of the OSI model.

Firewall system according to the preceding claim 20, characterized in that said switch (200) is further connected to a packet communication network of the Internet type, said communication analyzer (100). is parallel to the lines between the switch (200) and the switched and packet networks; said communication analyzer (100) further analyzes the information of the lower layers of the packet mode communications (incoming and outgoing) of the switch (200);

3. Firewall system according to claim 1 or 2, characterized in that said analyzer (100) is a DSP for detecting digital communications circuits, digital packets and analog.

4. Firewall system according to one of claims 1 5 to 3, characterized in that said supervision server (120) comprises an expert system for learning security rules in the case of an unknown scenario.

A firewall system as claimed in any one of the preceding claims, characterized in that said supervisory server (120) comprises a database for storing the information reported by: edit communication analyzer (100) and the information relating to the analysis of said tickets.

6. Firewall system according to any one of the preceding claims, characterized in that it further comprises an audit server (13D) connected to the supervision server (120) able to analyze the functionalities of the switch, the system architecture and to establish a set of call scenarios.

The firewall system of claim 6, characterized in that said audit server (130) comprises an expert system for establishing said scenarios.

A firewall system according to any one of the preceding claims, characterized in that said firewall server (110) is connected to a plurality of communications analyzers (100, 100 ', 100 ") located at various sites business.

9. Firewall system according to one of claims 1 to 8, characterized in that it further comprises an encrypted backup server (112) configurations of the switch.

10. Firewall system according to any one of the preceding claims, characterized in that it further comprises a callback modem (114) connected to the remote maintenance port (198) of said switch (200).

11. A method for securing a corporate switch (200) connected, on the one hand, to at least one switched mode communication network, of the PSTN type, and, on the other hand, to a set of peripheral devices. communications and / or application servers (210), the method comprising a step of analyzing the low layers (OSI layers 1 to 3) of communications by a communication analyzer (100) and application of security rules for terminating unlawful calls, characterized in that it further includes. a step of retrieving, per year, a supervisory server (120) of the communication tickets sent by the switch (200), a step of comparing the information contained in said tickets with the security rules containing in the supervision server (120), a step of applying the security rules based on the information contained in said tickets.

12. Securing method according to claim 11, characterized in that it further comprises a step of reporting call information and decisions taken from said communication analyzer (100) to said supervisory server (120). .

13. Securing method according to claim 11 or 12, characterized in that it further comprises a step of self-learning by an expert system in the supervision server (120) scenarios not managed by the security rules .

14. Securing method according to one of the preceding claims, characterized in that it comprises, in advance, a step of determining the possible scenarios by an audit server (130) and a step of establishing the security rules by selection of said scenarios.

15. Securing method according to claim 15, characterized in that said step of determining the scenarios comprises: a step of retrieving the files of the circuit architecture by said auditing server (130) from the automatic switch ( 200) and system architecture files; a step of determining the risks and countermeasures associated with said recovered files.

A computer program element comprising computer program code means arranged to perform the steps of the method according to any one of claims 11 to 15.