FR2887384A1 - Information system protecting method for DHCP server, involves supplying static routing to workstations such that any station-to-station communication is partially locked, and identifying information flow based on predetermined criterion - Google Patents

Information system protecting method for DHCP server, involves supplying static routing to workstations such that any station-to-station communication is partially locked, and identifying information flow based on predetermined criterion Download PDF

Info

Publication number
FR2887384A1
FR2887384A1 FR0506259A FR0506259A FR2887384A1 FR 2887384 A1 FR2887384 A1 FR 2887384A1 FR 0506259 A FR0506259 A FR 0506259A FR 0506259 A FR0506259 A FR 0506259A FR 2887384 A1 FR2887384 A1 FR 2887384A1
Authority
FR
France
Prior art keywords
workstations
flows
station
protection
equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0506259A
Other languages
French (fr)
Other versions
FR2887384B1 (en
Inventor
Benoit Dolez
Willy Tarreau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
EXOSEC SOC PAR ACTIONS SIMPLIF
Original Assignee
EXOSEC SOC PAR ACTIONS SIMPLIF
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by EXOSEC SOC PAR ACTIONS SIMPLIF filed Critical EXOSEC SOC PAR ACTIONS SIMPLIF
Priority to FR0506259A priority Critical patent/FR2887384B1/en
Priority to PCT/FR2006/001389 priority patent/WO2006136692A1/en
Publication of FR2887384A1 publication Critical patent/FR2887384A1/en
Application granted granted Critical
Publication of FR2887384B1 publication Critical patent/FR2887384B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

The method involves supplying a static routing to workstations in such a way that any station-to-station communication is partially locked. A critical information flow between the workstations and servers is identified based on a predetermined criterion, where the critical information flow is transmitted without processing. The other information flows are controlled through firewalls. An independent claim is also included for a system for protecting an information system.

Description

Procédé et système pour protéger un système d'information constituéMethod and system for protecting an information system constituted

autour d'un réseau local La présente invention est relative à un procédé pour protéger un système d'information constitué autour d'un réseau local. connecté. Elle vise également un système de protection mettant en oeuvre ce procédé.  The present invention relates to a method for protecting an information system constituted around a local network. logged. It also relates to a protection system implementing this method.

Le domaine de l'invention est celui de la protection des systèmes d'information et des réseaux locaux informatiques particulièrement exposés à différentes menaces telles que la propagation de vers et de virus.  The field of the invention is that of the protection of information systems and local computer networks particularly exposed to various threats such as the spread of worms and viruses.

Lorsqu'un poste de travail contaminé par un ver est connecté sur le réseau local d'une entreprise, la quasi-totalité des autres postes de travail se trouvent contaminés en l'espace de quelques secondes, et les coûts liés à leur réinstallation et au temps d'indisponibilité sont très élevés.  When a worm-infected workstation is connected to a company's local network, almost all other workstations become contaminated within seconds, and the costs associated with their resettlement and Downtime is very high.

Des solutions de type pare-feu (firewalls) pour postes de travail, ayant pour but de protéger contre ce fléau existent, mais sont très mal adaptées aux réseaux d'entreprise à cause de la diversité des flux à prendre en compte, et de la diversité des besoins utilisateurs qui rend la tâche de l'administrateur très compliquée surtout lorsqu'il s'agit de se déplacer sur les postes de travail pour adapter les configurations aux besoins quotidiens.  Firewall solutions for workstations intended to protect against this scourge exist, but are very poorly adapted to corporate networks because of the diversity of flows to be taken into account, and the diversity of user needs that makes the task of the administrator very complicated especially when it comes to move on the workstations to adapt the configurations to the daily needs.

Des solutions de type pare-feu (firewalls) centralisés mettant en oeuvre des la méthode des VLAN et permettent d'isoler chaque poste utilisateur dans un réseau dédié pour confiner les risques, mais la totalité des flux du réseau local de l'entreprise transitent à travers ce firewall qui devient un véritable goulot d'étranglement même sur de petits réseaux de quelques dizaines de postes et de quelques serveurs.  Centralized firewalls that implement the VLAN method and isolate each user station in a dedicated network to contain the risks, but all of the company's local network flows pass through the network. through this firewall which becomes a real bottleneck even on small networks of a few dozen posts and some servers.

De nouveaux équipements de type pare-feu (firewalls) dotés de nombreux ports font leur apparition dans le but de réaliser un compromis entre la qualité du filtrage et les performances, et permettent de cloisonner des groupes de postes utilisateur avec une faible dégradation des performances tout en déclinant des zones sacrifiables sur le réseau. Il en résulte que les accès aux serveurs restent performants, mais que l'apparition d'un ver dans une zone peut tout de même rendre la totalité des postes connectés dans cette dernière hors d'usage.  New firewalls with multiple ports are emerging to compromise the quality of filtering and performance, and allow the partitioning of user groups with low performance degradation. by declining sacrificable areas on the network. As a result, the access to the servers remain efficient, but that the appearance of a worm in a zone can still make all the stations connected in the latter out of use.

Il existe ainsi des besoins de sécurité interne des entreprises, notamment pour les raisons suivantes: - les vers circulent directement de poste à poste sur le réseau local alors que ces postes de travail n'ont jamais besoin de pouvoir communiquer en direct sauf en de très rares exceptions (ex: partages de fichiers, partages d'imprimantes,...) ; - le parc de postes utilisateurs est très difficile à maintenir dans un état connu et homogène de configuration logicielle, surtout du fait du fort volume de mises à jour hebdomadaires à effectuer, de la mobilité croissante des utilisateurs, et de la rapide obsolescence des versions de logiciels, dont la pérennité est largement inférieure au temps d'amortissement du matériel; - les accès aux serveurs de fichiers et aux services internes, tels que la messagerie, doivent être les plus rapides et les plus fiables possibles, en particulier lors de l'arrivée massive des utilisateurs le matin.  There are thus internal security needs of companies, especially for the following reasons: - the worms circulate directly from station to station on the local network whereas these workstations never need to be able to communicate directly except in very rare exceptions (ex: file sharing, printer sharing, ...); - the user base is very difficult to maintain in a known and homogeneous state of software configuration, especially because of the high volume of weekly updates to be made, the increasing mobility of users, and the rapid obsolescence of the versions of software, the durability of which is far below the depreciation time of the equipment; - Access to file servers and internal services, such as e-mail, must be as fast and reliable as possible, especially when the mass arrival of users in the morning.

Le but de la présente invention est d'atteindre simultanément ces trois objectifs en proposant un procédé pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN).  The object of the present invention is to achieve simultaneously these three objectives by proposing a method for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN).

Suivant l'invention, ce procédé comprend: - une fourniture d'un routage statique pour chaque poste, de façon à effectuer un blocage partiel ou total de toute communication de poste à poste, - une identification, selon des critères prédéterminés, de flux issus desdits postes de travail, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux ainsi identifiés étant transmis sans traitements, et - un contrôle des autres flux à travers des moyens de filtrage.  According to the invention, this method comprises: - a provision of a static routing for each station, so as to effect a partial or total blocking of any station-to-station communication, - an identification, according to predetermined criteria, of flows from said workstations, including flows between workstations and server equipment, said streams thus identified being transmitted without processing, and - a control of other flows through filtering means.

Le routage statique peut être avantageusement réalisé par la fourniture à chaque poste de travail d'un masque de sous-réseau et d'une table de routage spécifiant pour ledit poste de travail les équipements qui lui sont accessibles.  Static routing can be advantageously achieved by providing each workstation with a subnet mask and a routing table specifying for said workstation the equipment that is accessible to it.

Le procédé de protection selon l'invention est de préférence implémenté au sein d'un serveur DHCP relié au réseau local.  The protection method according to the invention is preferably implemented within a DHCP server connected to the local network.

2887384 -3- Lorsque le procédé selon l'invention est mis en oeuvre dans un réseau local basé sur le protocole IP (Internet Protocol), le masque de sous-réseau fourni à chaque poste de travail est par exemple un masque de sous-réseau 32 bits (255.255.255.255).  When the method according to the invention is implemented in a local network based on the Internet Protocol (IP), the subnet mask supplied to each workstation is for example a subnet mask. 32 bits (255.255.255.255).

Une implémentation de ce procédé de protection peut en outre avantageusement comprendre, à la suite d'une analyse des flux d'information, un déclenchement d'actions de protection du réseau local et d'alertes, lesquelles peuvent être par exemple initiées en réponse à une détection d'un dépassement d' un seuil d'anomalie.  An implementation of this protection method can also advantageously comprise, following an analysis of the information flows, a triggering of LAN protection actions and alerts, which can be initiated, for example, in response to detection of an exceeding of an anomaly threshold.

Suivant un autre aspect de l'invention, il est proposé un système pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN) , mettant en oeuvre le procédé selon l'invention, caractérisé en ce qu'il comprend: - des moyens pour bloquer au moins partiellement toute communication de poste à poste, - des moyens pour analyser des flux d'information au sein dudit réseau local, agencés pour identifier des flux critiques, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux critiques pouvant ensuite être transmis sans traitements, et - des moyens pour contrôler tous les autres flux à travers des moyens de filtrage.  According to another aspect of the invention, there is provided a system for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN), implementing the method according to the invention , characterized in that it comprises: means for at least partially blocking any peer-to-peer communication; means for analyzing information flows within said local network, arranged to identify critical flows, in particular flows; between workstations and server equipment, said critical streams can then be transmitted without processing, and - means for controlling all other flows through filtering means.

Ce système selon l'invention inclut par exemple, au titre des moyens de blocage, des moyens d'analyse et des moyens de contrôle, un serveur DHCP relié au réseau local et agencé pour fournir à chaque poste de travail une configuration reposant sur un masque de sous-réseau et des routes statiques par adresse IP.  This system according to the invention includes for example, as locking means, analysis means and control means, a DHCP server connected to the local network and arranged to provide each workstation a configuration based on a mask subnet and static routes by IP address.

Il peut en outre comprendre, au titre des moyens de filtrage, un équipement de type pare-feu (firewall), de préférence débrayable, agencé pour effectuer un filtrage au moins partiel des postes de travail entre eux.  It may further comprise, as filtering means, a firewall type equipment, preferably disengageable, arranged to perform at least a partial filtering workstations between them.

Le procédé selon l'invention met ainsi en oeuvre les concepts suivants visant à : 2887384 -4- É exploiter les possibilités de distribution de configuration réseau des postes de travail pour les forcer à traverser un firewall centralisé pour toute communication nécessitant une analyse, et ceci sans modification de l'architecture réseau; É exploiter ces possibilités de distribution de configuration pour leur permettre de joindre directement les services à fort trafic, donc sans impacter les performances; É Ne filtrer que le trafic résiduel à travers l'équipement pare-feu (firewall) (très faible voire nul), permettant de ne pas impacter les performances des flux soumis à analyse, et fournissant une détection très rapide d'anomalies avec très faible risque de faux positifs. Le procédé selon l'invention répond ainsi au besoin suivant: É confiner tout trafic IP potentiellement dangereux en segmentant le réseau à sa plus faible granularité à savoir, le poste de travail, É dans le cas d'anomalies détectées, bloquer partiellement ou totalement le poste source du trafic suspect et alerter l'administrateur.  The method according to the invention thus implements the following concepts aimed at: 2887384 -4- Exploiting the network configuration distribution capabilities of workstations to force them to cross a centralized firewall for any communication requiring analysis, and this without modification of the network architecture; E exploit these configuration distribution capabilities to enable them to reach high-traffic services directly, without impacting performance; É Filter only the residual traffic through the firewall equipment (very low or zero), so as not to impact the performance of the flows submitted to analysis, and providing a very fast detection of anomalies with very low risk of false positives. The method according to the invention thus meets the following need: To confine any potentially dangerous IP traffic by segmenting the network to its lowest granularity, namely, the workstation, in the event of anomalies detected, blocking partially or totally the Suspicious traffic source post and alert the administrator.

Le procédé de protection selon l'invention repose ainsi sur la configuration d'un masque IP de sous réseau plus restrictif que celui appliqué au réseau local sur les interfaces réseau des équipements qui lui sont rattachés, le cas optimal étant le masque de sous réseau à 32 bits (255.255.255.255) qui permet de limiter les possibilités de connexion de ces derniers à eux-mêmes. Ensuite, en utilisant la table de routage, il est possible de spécifier avec la précision de l'adresse IP, les différentes machines qui lui seront accessibles sur le réseau, la passerelle par défaut représentant ainsi le premier point de contrôle pour tous les flux routés.  The protection method according to the invention thus rests on the configuration of a more restrictive subnet IP mask than that applied to the local network on the network interfaces of the equipment attached to it, the optimum case being the subnet mask to 32 bits (255.255.255.255) which limits the possibilities of connection of these to themselves. Then, using the routing table, it is possible to specify with the precision of the IP address, the different machines that will be accessible to it on the network, the default gateway thus representing the first control point for all the routed flows .

Ce type de configuration réseau n'est jamais utilisé car il va à l'encontre du principe qui consiste à laisser les postes de travail communiquer comme ils le souhaitent sur le réseau. Pour configurer ce niveau de granularité du routage sur un poste utilisant le système d'exploitation MS Windows , il faut soit imposer la configuration par un serveur DHCP, soit modifier directement la base de registre ce qui reste une opération délicate à réaliser manuellement.  This type of network configuration is never used because it goes against the principle of letting the workstations communicate as they wish on the network. To configure this level of granularity of the routing on a station using the MS Windows operating system, it is necessary either to impose the configuration by a DHCP server, or to directly modify the registry which remains a delicate operation to carry out manually.

Un serveur DHCP peut fournir aux postes de travail un masque de sous réseau à 32 bits (255.255.255.255) de manière à ne pas permettre à la machine de communiquer sans contrôle sur le réseau et ensuite de distribuer chacune des routes souhaitées avec les options DHCP adéquates.  A DHCP server can provide workstations with a 32-bit subnet mask (255.255.255.255) so that the machine can not communicate without control over the network and then distribute each of the desired routes with DHCP options adequate.

Pour les configurations disposant d'une adresse IP statique, les possibilités seront identiques mais les méthodes de configuration seront propres à chaque système (ex: base de registre de MS Windows, fichiers de configuration sous Unix).  For configurations with a static IP address, the possibilities will be the same but the configuration methods will be specific to each system (ex: MS Windows registry, Unix configuration files).

Le procédé de protection selon l'invention peut être mis en oeuvre sans aucun changement d'architecture.  The protection method according to the invention can be implemented without any change of architecture.

L'architecture physique du réseau n'est pas modifiée par la mise en oeuvre du procédé de protection selon l'invention, tous les flux critiques peuvent être identifiés et peuvent être transmis sans traitements (et sans contrôle protocolaire), les autres flux sont contrôlés et potentiellement stoppés par l'équipement pare-feu (firewall).  The physical architecture of the network is not modified by the implementation of the protection method according to the invention, all critical flows can be identified and can be transmitted without processing (and without protocol control), the other flows are controlled and potentially stopped by the firewall equipment.

D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en oeuvre nullement limitatif, et des dessins annexés sur lesquels: - la figure 1 illustre un premier exemple de mise en oeuvre du procédé de protection selon l'invention; - la figure 2 illustre un second exemple de mise en oeuvre du procédé de protection selon l'invention; - la figure 3 illustre une comparaison des communications possibles en fonction du masque de sous-réseau configuré ; et - la figure 4 illustre différentes configurations de protection procurées par le procédé selon l'invention.  Other advantages and characteristics of the invention will emerge on examining the detailed description of an embodiment which is in no way limitative, and the appended drawings in which: FIG. 1 illustrates a first example of implementation of FIG. protection method according to the invention; FIG. 2 illustrates a second example of implementation of the protection method according to the invention; FIG. 3 illustrates a comparison of the possible communications as a function of the configured subnet mask; and FIG. 4 illustrates various protection configurations provided by the method according to the invention.

On va maintenant décrire, en référence aux figures précitées, le principe de fonctionnement du procédé de protection selon l'invention, ainsi qu'un exemple de mise en oeuvre d'un système de protection selon l'invention, dans un système d'information installé sur deux sites distincts.  We will now describe, with reference to the above figures, the operating principle of the protection method according to the invention, as well as an example of implementation of a protection system according to the invention, in an information system. installed on two separate sites.

Un système de protection S selon l'invention comprend un serveur DHCP 1 et un équipement de type pare-feu 2 tous deux connectés sur un réseau local LAN d'un système d'information SI comprenant par exemple une pluralité de postes de travail P1,...PN et un serveur de fichiers 3.  A protection system S according to the invention comprises a DHCP server 1 and a firewall type equipment 2 both connected to a local area network LAN of an information system SI comprising for example a plurality of workstations P1, ... PN and a file server 3.

Les communications directes entre deux postes de travail sont inhibées et les flux F1 correspondants sont contrôlés et filtrés par le pare-feu 2.  Direct communication between two workstations is inhibited and the corresponding F1 flows are controlled and filtered by the firewall 2.

En revanche, les flux F des postes P1,..., PN vers le serveur de fichier 3 ne sont pas filtrés, comme l'illustre schématiquement la figure 2.  On the other hand, the streams F of the stations P1,..., PN towards the file server 3 are not filtered, as schematically illustrates FIG. 2.

L'utilisation du masque de sous-réseau 255.255.255.255 permet un contrôle total de l'ensemble des postes de travail du système d'information, en leur procurant qu'une vision réduite du réseau, alors que le masque 255. 255.255.0 procure au contraire une vision complète du réseau, comme l'illustre schématiquement la figure 3.  The use of the 255.255.255.255 subnet mask allows full control of all the information system workstations, giving them a reduced network view, while the 255 255.255.0 mask. On the contrary, it provides a complete view of the network, as illustrated schematically in Figure 3.

Le procédé de protection selon l'invention permet différentes configurations de protection d'un système d'information, comme l'illustre la figure 4. On considère par exemple un système d'information SI comprenant un premier réseau local LAN connecté à Internet via un parefeu 21 et comprenant plusieurs sous-réseaux locaux reliés via un commutateur 4, et un second réseau local LAN'.  The protection method according to the invention allows different configurations of protection of an information system, as illustrated in FIG. 4. For example, an information system SI comprising a first LAN LAN connected to the Internet via a firewall 21 and comprising several local subnets connected via a switch 4, and a second local area network LAN '.

Dans un premier sous-réseau, un premier serveur de protection 11 a mis en quarantaine un poste de travail P1 qui a été détecté comme infecté et filtre un second poste de travail P2 qui communique avec des serveurs S1, S2 via le commutateur 4.  In a first subnet, a first protection server 11 has quarantined a workstation P1 that has been detected as infected and filters a second workstation P2 that communicates with servers S1, S2 via switch 4.

Dans un second sous-réseau, un second serveur de protection 12 bloque toute communication directe entre deux postes de travail P3, P4.  In a second subnet, a second protection server 12 blocks any direct communication between two workstations P3, P4.

Dans le second réseau local LAN' du système d'information SI connecté à Internet via un second pare-feu 22, un troisième serveur de protection 13 bloque les flux entre deux postes de travail P5, P6 mais laisse communiquer le poste de travail P6 avec un serveur de fichier S3.  In the second local area network LAN 'of the information system SI connected to the Internet via a second firewall 22, a third protection server 13 blocks the flows between two workstations P5, P6 but allows to communicate the workstation P6 with an S3 file server.

Les serveurs de protection 11, 12, 13 sont des serveurs DHCP capables de fournir une configuration cliente reposant sur un masque de sous-réseau à 32 bits (255.255.255.255) et des routes statiques locales par adresse IP.  The protection servers 11, 12, 13 are DHCP servers capable of providing a client configuration based on a 32-bit subnet mask (255.255.255.255) and local static routes by IP address.

Les pare-feu 21, 22 sont de type firewall (débrayable).  The firewalls 21, 22 are firewall type (disengageable).

Les serveurs de protection 11, 12, 13 implémentent un moteur d'analyse dont le rôle est de déclencher des actions de protection (contre 2887384 7- mesures) et d'alerte lors d'un dépassement de seuils d'anomalie: filtrage MAC, filtrage IP, filtrage du service, notification et identification d'hôte.  The protection servers 11, 12, 13 implement an analysis engine whose role is to trigger protection actions (against 2887384 7-measures) and alerting when exceeding anomalous thresholds: MAC filtering, IP filtering, service filtering, notification and host identification.

Les boîtiers des serveurs de protection 11, 12, 13 sont simplement connectés sur le réseau avec une adresse IP statique. Il suffit ensuite d'adapter la configuration de routage statique en fonction du besoin: si un serveur DHCP était déjà présent: désactivation de l'ancien serveur, activation du serveur DHCP intégré avec les mêmes paramètres que l'ancien, identification des serveurs principaux accessibles directement, activation de la configuration DHCP en conséquence; les machines en DHCP seront alors contrôlées par le pare-feu (firewall) intégré pour les accès à des services internes encore non identifiés, - identification des services indirects et création des filtres en conséquence sur le pare-feu (firewall) intégré, mise en place du système de notification, - mise en place du système de protection.  The boxes of the protection servers 11, 12, 13 are simply connected to the network with a static IP address. Then simply adapt the static routing configuration as needed: if a DHCP server was already present: disabling the old server, enabling the integrated DHCP server with the same settings as the old one, identifying the main servers accessible directly, enable the DHCP configuration accordingly; the DHCP machines will then be controlled by the integrated firewall for access to unidentified internal services, identification of indirect services and creation of filters accordingly on the integrated firewall, implementation place of the notification system, - establishment of the protection system.

Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention. En particulier, le système de protection selon l'invention peut être déployé sans difficulté dans des systèmes d'information d'architecture complexe puisqu'il suffit d'installer autant de serveurs de protection que de sous-réseaux locaux.  Of course, the invention is not limited to the examples that have just been described and many adjustments can be made to these examples without departing from the scope of the invention. In particular, the protection system according to the invention can be deployed without difficulty in complex architecture information systems since it is sufficient to install as many protection servers as local subnets.

Claims (11)

-8-REVENDICATIONS-8- CLAIMS 1. Procédé pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN) , caractérisé en ce qu'il comprend: - une fourniture d'un routage statique pour chaque poste, de façon à effectuer un blocage au moins partiel de toute communication de poste à poste, -une identification, selon des critères prédéterminés, de flux issus desdits postes de travail, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux pouvant être transmis sans traitements, et un contrôle des autres flux à travers des moyens de filtrage.  A method for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN), characterized in that it comprises: a provision of a static routing for each station, so as to block at least part of any peer-to-peer communication, an identification, according to predetermined criteria, of flows from said workstations, in particular flows between workstations and server equipment, said flows being able to be transmitted without treatments, and control of other flows through filtering means. 2. Procédé selon la revendication 1, caractérisé en ce que le routage statique est réalisé par la fourniture à chaque poste de travail d'un masque de sous-réseau et d'une table de routage spécifiant pour ledit poste de travail les équipements qui lui sont accessibles.  2. Method according to claim 1, characterized in that the static routing is achieved by providing each workstation with a subnet mask and a routing table specifying for said workstation the equipment that it are accessible. 3. Procédé selon la revendication 2, caractérisé en ce qu'il est implémenté au sein d'un serveur DHCP relié au réseau local.  3. Method according to claim 2, characterized in that it is implemented within a DHCP server connected to the local network. 4. Procédé selon la revendication 3, mis en oeuvre dans un réseau local dont les postes de travail communiquent grâce au protocole IP, caractérisé en ce que le masque de sous-réseau fourni à chaque poste de travail est un masque de sous-réseau 32 bits (255.255.255.255).  4. Method according to claim 3, implemented in a local area network whose workstations communicate using the IP protocol, characterized in that the subnet mask provided to each workstation is a subnet mask 32. bits (255.255.255.255). 5. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comprend en outre, à la suite d'une analyse des flux d'information, un déclenchement d'actions de protection du réseau local et d'alerte.  5. Method according to one of the preceding claims, characterized in that it further comprises, following an analysis of information flows, a trigger actions of protection of the local network and alert. 6. Procédé selon la revendication 5, caractérisé en ce que les actions de protection et d'alerte sont initiées en réponse à une détection d'un dépassement d'au moins un seuil d'anomalie.  6. Method according to claim 5, characterized in that the protection and alert actions are initiated in response to a detection of an exceeding of at least one anomaly threshold. 2887384 -9-  2887384 -9- 7. Procédé selon l'une des revendications 5 ou 6, caractérisé en ce qu'il comprend en outre, au titre des actions de protection, une mise en quarantaine d'un poste de travail par envoi d'une configuration de blocage via le masque de sous-réseau.7. Method according to one of claims 5 or 6, characterized in that it further comprises, as protection actions, a quarantine of a workstation by sending a blocking configuration via the subnet mask. 8. Système pour protéger un système d'information comprenant une pluralité de postes de travail et des équipements serveurs communiquant via un réseau local (LAN) , mettant en oeuvre le procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend: - des moyens pour bloquer tout ou partie des communications de poste à poste, des moyens pour analyser des flux d'information au sein dudit réseau local, agencés pour identifier des flux critiques, notamment des flux entre des postes de travail et des équipements serveurs, lesdits flux critiques pouvant être ensuite transmis sans traitements, et - des moyens pour contrôler tous les autres flux à travers des moyens de filtrage.  8. System for protecting an information system comprising a plurality of workstations and server equipment communicating via a local area network (LAN), implementing the method according to any one of the preceding claims, characterized in that comprises: means for blocking all or part of the peer-to-peer communications, means for analyzing information flows within said local network, arranged to identify critical flows, in particular flows between workstations and equipment; servers, said critical streams can then be transmitted without processing, and - means for controlling all other flows through filtering means. 9. Système de protection selon la revendication 8, caractérisé en ce qu'il inclut, au titre des moyens de blocage, des moyens d'analyse et des moyens de contrôle, un serveur DHCP relié au réseau local et agencé pour fournir à chaque poste de travail une configuration reposant sur un masque de sous-réseau et des routes statiques par adresse IP.  9. Protection system according to claim 8, characterized in that it includes, as locking means, analysis means and control means, a DHCP server connected to the local network and arranged to provide each station a configuration based on a subnet mask and static routes by IP address. 10. Système de protection selon l'une des revendications 5 ou 6, caractérisé en ce qu'il comprend en outre, au titre des moyens de filtrage, un équipement de type pare-feu (firewall), agencé pour effectuer un filtrage au moins partiel des postes de travail entre eux.  10. Protection system according to one of claims 5 or 6, characterized in that it further comprises, under the filtering means, a firewall type of equipment, arranged to perform a filtering at least partial work stations between them. 11. Système de protection selon la revendication 10, caractérisé en ce que l'équipement pare-feu est de type débrayable.  11. Protection system according to claim 10, characterized in that the fireproof equipment is of the type disengageable.
FR0506259A 2005-06-21 2005-06-21 "METHOD AND SYSTEM FOR PROTECTING AN INFORMATION SYSTEM CONSISTING OF A LOCAL NETWORK" Expired - Fee Related FR2887384B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0506259A FR2887384B1 (en) 2005-06-21 2005-06-21 "METHOD AND SYSTEM FOR PROTECTING AN INFORMATION SYSTEM CONSISTING OF A LOCAL NETWORK"
PCT/FR2006/001389 WO2006136692A1 (en) 2005-06-21 2006-06-20 Method and system for protecting an information system formed around a local network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0506259A FR2887384B1 (en) 2005-06-21 2005-06-21 "METHOD AND SYSTEM FOR PROTECTING AN INFORMATION SYSTEM CONSISTING OF A LOCAL NETWORK"

Publications (2)

Publication Number Publication Date
FR2887384A1 true FR2887384A1 (en) 2006-12-22
FR2887384B1 FR2887384B1 (en) 2007-08-31

Family

ID=35645745

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0506259A Expired - Fee Related FR2887384B1 (en) 2005-06-21 2005-06-21 "METHOD AND SYSTEM FOR PROTECTING AN INFORMATION SYSTEM CONSISTING OF A LOCAL NETWORK"

Country Status (2)

Country Link
FR (1) FR2887384B1 (en)
WO (1) WO2006136692A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107961A1 (en) * 2001-02-07 2002-08-08 Naoya Kinoshita Secure internet communication system
US20040039827A1 (en) * 2001-11-02 2004-02-26 Neoteris, Inc. Method and system for providing secure access to private networks with client redirection
US20050071493A1 (en) * 2003-09-30 2005-03-31 Sheng Lee SNMP packet filtering for printing devices

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107961A1 (en) * 2001-02-07 2002-08-08 Naoya Kinoshita Secure internet communication system
US20040039827A1 (en) * 2001-11-02 2004-02-26 Neoteris, Inc. Method and system for providing secure access to private networks with client redirection
US20050071493A1 (en) * 2003-09-30 2005-03-31 Sheng Lee SNMP packet filtering for printing devices

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HUNT R: "Internet/Intranet firewall security-policy, architecture and transaction services", COMPUTER COMMUNICATIONS, BUTTERWORTHS & CO. PUBLISHERS LTD, GB, vol. 21, no. 13, 1 September 1998 (1998-09-01), pages 1107 - 1123, XP004146571, ISSN: 0140-3664 *

Also Published As

Publication number Publication date
FR2887384B1 (en) 2007-08-31
WO2006136692A1 (en) 2006-12-28

Similar Documents

Publication Publication Date Title
US11057349B2 (en) Cloud-based multi-function firewall and zero trust private virtual network
US9282111B1 (en) Application-based network traffic redirection for cloud security service
US7730536B2 (en) Security perimeters
US7359962B2 (en) Network security system integration
US9686309B2 (en) Logging attack context data
US7891001B1 (en) Methods and apparatus providing security within a network
US7007299B2 (en) Method and system for internet hosting and security
US20060095968A1 (en) Intrusion detection in a data center environment
US20020199120A1 (en) Monitored network security bridge system and method
Nam et al. {BASTION}: A security enforcement network stack for container networks
CA2511997A1 (en) Mitigating denial of service attacks
US11552929B2 (en) Cooperative adaptive network security protection
CN111385326B (en) Rail transit communication system
FR2852754A1 (en) Data transmission system, has fire wall, router and probe detecting abnormal operating conditions based on pre-set system operation, and sending messages to network security manager to activate filtering actions on message reception
JP2014526739A (en) Authentication sharing in firewall clusters
EP1461704B1 (en) Protecting against malicious traffic
EP3533202A1 (en) Dynamic and interactive control of a residential gateway connected to a communication network
EP3939232A1 (en) Mitigating computer attacks
FR2887384A1 (en) Information system protecting method for DHCP server, involves supplying static routing to workstations such that any station-to-station communication is partially locked, and identifying information flow based on predetermined criterion
Renals et al. Blocking skype through deep packet inspection
US20090222904A1 (en) Network access node computer for a communication network, communication system and method for operating a communication system
Bossardt et al. Enhanced Internet security by a distributed traffic control service based on traffic ownership
US11909826B1 (en) Systems and methods for four dimensional network session authorization
Kabila Network Based Intrusion Detection and Prevention Systems in IP-Level Security Protocols
JP2002335246A (en) Method and device for examining network base invasion, program for network base invasion examination and recording medium therefor

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20110228