samedi 21 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Exefilter et diodes réseau pour gérer l’interconnexion des réseaux (...)

Exefilter et diodes réseau pour gérer l’interconnexion des réseaux sensibles à l’internet

Ludovic Blin, SecuObs

mercredi 28 juin 2006, sélectionné par Spyworld

logo

L’interconnexion des réseaux sensibles avec l’internet pose souvent des problèmes de sécurité. En effet, dans certaines situations, il est impossible de prendre le moindre risque de propagation d’un code malveillant en provenance de l’extérieur avec le réseau local, ou du moins une partie de celui-ci. Ce type de problématique peut notamment se retrouver dans le secteur de la défense, le secteur bancaire ou encore en ce qui concerne les infrastructures critiques (centrales électriques par exemple).

Lors de la conférence SSTIC 2006, le chercheur Philippe Lagadec de la DGA (Délégation Générale à l’Armement) à présenté ses projets Exefilter et Diode réseau, destinés à l’interconnexion sécurisée de réseaux.

Le principe de la diode réseau est de permettre le transfert de données d’un réseau à un autre de manière unidirectionnelle. Elle se compose d’une partie matérielle qui est une liaison Ethernet optique unidirectionnelle. Pour mettre en place une telle liaison, le port tranmission d’un serveur est relié au port réception d’un autre serveur, la liaison étant coupée dans le sens inverse. Cette technique permet de s’assurer que physiquement il n’est pas possible de transférer des données du réseau sécurisé vers l’internet. Par ailleurs, le matériel utilisé correspond à des produits standards du marché ayant un coût abordable. La plupart des matériels actuels vérifiant l’état de la connexion, il est nécessaire de « tromper » les cartes réseaux d’une manière ou d’une autre pour que celles-ci fonctionnent en l’absence d’une liaison bidirectionnelle.

Au niveau logiciel, le procole BlindFTP, développé pour l’occasion et qui peut se contenter d’une transmission unidirectionnelle des données par UDP est utilisé. En effet, avec une telle liaison il est impossible d’utiliser un protocole reposant sur TCP. Les fichiers envoyés sont donc divisés par bloc d’une taille égale à celle d’un datagramme UDP, la taille des entêtes en moins. Les blocs envoyés sont également typiquement réémis plusieurs fois (10 ou 20 fois ou en continu) de manière à permettre une reconstitution en cas de paquets perdus. Notons que l’utilisation d’algorithmes de tolérance de panne de type Reed-Solomon pourrait réduire ce besoin de réémission.

La technique de la diode réseau peut être utilisée pour de nombreux type d’applications, comme par exemple les mises à jour d’antivirus ou de systèmes d’exploitation, le transfert de messages SMTP, l’archivage de fichiers journaux ou encore la synchronisation de nombreux types de données.

Le second projet de Philippe Lagadec, Exefilter, qui est issu des travaux du CELAR sur l’analyse de contenu, est un filtre destiné à expurger les fichiers de toute fonction dangereuse. La politique de sécurité utilisée est drastique, pour ne courir qu’un risque minimum. Ainsi, seuls les fichiers dont le format est connu sont autorisés. Plusieurs filtres ont été développés, chacun étant destiné à un format de fichier. Il est également possible d’effectuer un filtrage par liste blanche, seules les fonctions autorisées au sein des différents formats de fichiers étant alors acceptées.

Ces deux projets, qui sont en phase de semi-production, ont été développés en Python et pourraient faire l’objet d’une publication en temps que logiciels libre sur le site gouvernemental Admisource (http://admisource.gouv.fr/).)


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :