Search

Your search keyword '"Pare-feu"' showing total 62 results
Start Over Descriptor "Pare-feu"
62 results on '"Pare-feu"'

1. Preventing information leakage in NDN with name and flow filters

Author

Kondo, Daishi, Resilience and Elasticity for Security and ScalabiliTy of dynamic networked systems (RESIST), Inria Nancy - Grand Est, Institut National de Recherche en Informatique et en Automatique (Inria)-Institut National de Recherche en Informatique et en Automatique (Inria)-Department of Networks, Systems and Services (LORIA - NSS), Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA), Institut National de Recherche en Informatique et en Automatique (Inria)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS)-Institut National de Recherche en Informatique et en Automatique (Inria)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS)-Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA), Institut National de Recherche en Informatique et en Automatique (Inria)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS), Université de Lorraine, Olivier Perrin, and Thomas Silverston

Subjects
Named Data Networking, Fuite d’informations, [INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], Flow filter, Filtre de flux, Name filter, Firewall, Filtre de nom, Information leakage, Pare-feu
Abstract

In recent years, Named Data Networking (NDN) has emerged as one of the most promising future networking architectures. To be adopted at Internet scale, NDN needs to resolve the inherent issues of the current Internet. Since information leakage from an enterprise is one of the big issues even in the Internet and it is very crucial to assess the risk before replacing the Internet with NDN completely, this thesis investigates whether a new security threat causing the information leakage can happen in NDN. Assuming that (i) a computer is located in the enterprise network that is based on an NDN architecture, (ii) the computer has already been compromised by suspicious media such as a malicious email, and (iii) the company installs a firewall connected to the NDN-based future Internet, this thesis focuses on a situation that the compromised computer (i.e., malware) attempts to send leaked data to the outside attacker. The contributions of this thesis are fivefold. Firstly, this thesis proposes an information leakage attack through a Data and through an Interest in NDN. Secondly, in order to address the information leakage attack, this thesis proposes an NDN firewall which monitors and processes the NDN traffic coming from the consumers with the whitelist and blacklist. Thirdly, this thesis proposes an NDN name filter to classify a name in the Interest as legitimate or not. The name filter can, indeed, reduce the throughput per Interest, but to ameliorate the speed of this attack, malware can send numerous Interests within a short period of time. Moreover, the malware can even exploit an Interest with an explicit payload in the name (like an HTTP POST message in the Internet), which is out of scope in the proposed name filter and can increase the information leakage throughput by adopting a longer payload. To take traffic flow to the NDN firewall from the consumer into account, fourthly, this thesis proposes an NDN flow monitored at an NDN firewall. Fifthly, in order to deal with the drawbacks of the NDN name filter, this thesis proposes an NDN flow filter to classify a flow as legitimate or not. The performance evaluation shows that the flow filter complements the name filter and greatly chokes the information leakage throughput; Au cours des dernières années, les réseaux de type (NDN) sont devenus une des architectures réseau les plus prometteuses. Pour être adopté à l'échelle d'Internet, NDN doit résoudre les problèmes inhérents à l'Internet actuel. La fuite d’informations fait partie de ces problèmes, et il est très important d’évaluer ce risque pour les réseaux de type NDN. La thèse se propose d'évaluer ce risque. En supposant (i) qu'un ordinateur appartient au réseau d'une entreprise basée sur une architecture NDN, (ii) que l'ordinateur a déjà été compromis par un support malveillant, et (iii) que la société installe un pare-feu, la thèse évalue la situation dans laquelle l’ordinateur infecté tente de divulguer des données à un attaquant externe à l'entreprise. Les contributions de cette thèse sont au nombre de cinq. Tout d'abord, cette thèse propose une attaque par fuite d'informations via un paquet donné et un paquet intérêt propres à NDN. Deuxièmement, afin de remédier à l'attaque fuite d'informations, cette thèse propose un pare-feu basé sur l'utilisation d'une liste blanche et d'une liste noire afin de surveiller et traiter le trafic NDN provenant des consommateurs. Troisièmement, cette thèse propose un filtre de noms NDN pour classifier un nom dans un paquet d'intérêt comme étant légitime ou non. Le filtre de noms peut ainsi réduire le débit par paquet d'intérêt. Cependant, pour adapter la vitesse de l'attaque, les logiciels malveillants peuvent envoyer de nombreux intérêts en très peu de temps. De même, le logiciel malveillant peut exploiter un intérêt avec une information explicite dans le nom (comme peut le faire un message véhiculé par un POST sur HTTP). Cela dépasse alors la portée du filtre de nom proposé et rend le filtre inefficace. Pour prendre en compte le flux de trafic analysé par le pare-feu NDN, cette thèse propose comme quatrième contribution la surveillance du flux NDN à travers le pare-feu. Enfin, afin de traiter les inconvénients du filtre de noms NDN, cette thèse propose un filtre de flux NDN permettant de classer un flux comme légitime ou non. L'évaluation des performances montre que le filtre de flux complète de manière tout à fait performante le filtre de nom et réduit considérablement le débit de fuite d'informations

Published
2018

2. Security Analysis and Access Control Enforcement through Software Defined Networks

Author

Zerkane, Salaheddine, Laboratoire des sciences et techniques de l'information, de la communication et de la connaissance (Lab-STICC), Institut Mines-Télécom [Paris] (IMT)-IMT Atlantique Bretagne-Pays de la Loire (IMT Atlantique), Institut Mines-Télécom [Paris] (IMT)-École Nationale d'Ingénieurs de Brest (ENIB)-École Nationale Supérieure de Techniques Avancées Bretagne (ENSTA Bretagne)-Université de Bretagne Sud (UBS)-Université de Brest (UBO)-Centre National de la Recherche Scientifique (CNRS)-Université Bretagne Loire (UBL), Université de Bretagne occidentale - Brest, Philippe Le Parc, and Frédéric Cuppens

Subjects
[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], Access Control, Orchestration, Vulnerability, Contrôle d’accès, Firewall, Vulnérabilité, Software Defined Networks, Cyber security, Cybersécurité, Réseaux programmables, Pare-feu
Abstract

Software Defined Networking (SDN) is an emerging paradigm that promises to resolve the limitations of the conventional network architecture.SDN and cyber security have a reciprocal relationship. In this thesis, we study and explore two aspects of this relationship. On the one hand, we study security for SDN by performing a vulnerability analysis of SDN. Such security analysis is a crucial process in identifying SDN security flaws and in measuring their impacts. It is necessary for improving SDN security and for understanding its weaknesses.On the other hand, we explore SDN for security. Such an aspect of the relationship between SDN and security focusses on the advantages that SDN brings into security.The thesis designs and implements an SDN stateful firewall that transforms the Finite State Machine of network protocols to an SDN Equivalent State Machine. Besides, the thesis evaluates SDN stateful firewall and NetFilter regarding their performance and their resistance to Syn Flooding attacks.Furthermore, the thesis uses SDN orchestration for policy enforcement. It proposes a firewall policy framework to express, assess, negotiate and deploy firewall policies in the context of SDN as a Service in the cloud.; Les réseaux programmables (SDN) sont un paradigme émergent qui promet de résoudre les limitations de l'architecture du réseau conventionnel. Dans cette thèse, nous étudions et explorons deux aspects de la relation entre la cybersécurité et les réseaux programmables. D'une part, nous étudions la sécurité pour les réseaux programmables en effectuant une analyse de leurs vulnérabilités. Une telle analyse de sécurité est un processus crucial pour identifier les failles de sécurité des réseaux programmables et pour mesurer leurs impacts. D'autre part, nous explorons l'apport des réseaux programmables à la sécurité. La thèse conçoit et implémente un pare-feu programmable qui transforme la machine à états finis des protocoles réseaux, en une machine à états équivalente pour les réseaux programmables. En outre, la thèse évalue le pare-feu implémenté avec NetFilter dans les aspects de performances et de résistance aux attaques d’inondation par paquets de synchronisation. De plus, la thèse utilise l'orchestration apportée par les réseaux programmables pour renforcer la politique de sécurité dans le Cloud. Elle propose un Framework pour exprimer, évaluer, négocier et déployer les politiques de pare-feu dans le contexte des réseaux programmables sous forme de service dans le Cloud.

Published
2018

3. Pare-feu: le couteau suisse de la sécurité informatique

Author

Maryline Laurent, Réseaux, Systèmes, Services, Sécurité (R3S-SAMOVAR), Services répartis, Architectures, MOdélisation, Validation, Administration des Réseaux (SAMOVAR), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP)-Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Département Réseaux et Services de Télécommunications (RST), Institut Mines-Télécom [Paris] (IMT)-Télécom SudParis (TSP), Centre National de la Recherche Scientifique (CNRS), and Télécom SudParis & Institut Mines-Télécom Business School, Médiathèque

Subjects
Architecture de sécurité, [INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], [INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], [INFO.INFO-NI] Computer Science [cs]/Networking and Internet Architecture [cs.NI], Filtrage, Security policy, Security architecture, Firewall, Filtering, [INFO.INFO-CR] Computer Science [cs]/Cryptography and Security [cs.CR], Politique de sécurité, Pare-feu
Abstract

A firewall is the key security equipment in a computer network for isolating and filtering ingoing and outgoing traffic. A firewall can leverage several filtering mechanisms like stateless or stateful packet filtering, applicative proxys, circuit-level proxys, or Packet Inspection. The paper also presents other classical functions embedded in a firewall, including Network Address Translation (NAT), Virtual Private Network (VPN), and intrusion detection and prevention systems (IDS/IPS). The paper also positions the firewall in a more global perspective of security policies and security architectures, Un pare-feu ou "firewall" est l'équipement de sécurité par excellence dans un réseau informatique. Conçu pour isoler un réseau et filtrer les flux entrants et sortants, il peut recourir à différents mécanismes de filtrage, à savoir le filtrage de paquet avec ou sans états, les proxys applicatifs, les passerelles de niveau circuit ou encore l'inspection de paquet. Au-delà de ces techniques de filtrage, cet article présente les fonctions afférentes à un pare-feu, comme la traduction d'adresse (NAT), les réseaux privés virtuels (VPN) et les systèmes de détection et prévention d'intrusions (IDS/IPS). Il replace le pare-feu dans une perspective plus globale de politiques de sécurité et d'architectures de sécurité

Published
2017

4. Service-Level Monitoring of HTTPS Traffic

Author

Shbair, Wazen M., Management of dynamic networks and services (MADYNES), Inria Nancy - Grand Est, Institut National de Recherche en Informatique et en Automatique (Inria)-Institut National de Recherche en Informatique et en Automatique (Inria)-Department of Networks, Systems and Services (LORIA - NSS), Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA), Institut National de Recherche en Informatique et en Automatique (Inria)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS)-Institut National de Recherche en Informatique et en Automatique (Inria)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS)-Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA), Institut National de Recherche en Informatique et en Automatique (Inria)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS)-Université de Lorraine (UL)-Centre National de la Recherche Scientifique (CNRS), Université de Lorraine, Isabelle Chrisment, Thibault Cholez, Centre National de la Recherche Scientifique (CNRS)-Université de Lorraine (UL)-Institut National de Recherche en Informatique et en Automatique (Inria)-Centre National de la Recherche Scientifique (CNRS)-Université de Lorraine (UL)-Institut National de Recherche en Informatique et en Automatique (Inria)-Laboratoire Lorrain de Recherche en Informatique et ses Applications (LORIA), and Centre National de la Recherche Scientifique (CNRS)-Université de Lorraine (UL)-Institut National de Recherche en Informatique et en Automatique (Inria)-Centre National de la Recherche Scientifique (CNRS)-Université de Lorraine (UL)

Subjects
Analyse de trafic, [INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], Traffic analysis, Firewall, Supervision, Sécurité, Security monitoring, Pare-feu
Abstract

In this thesis, we provide a privacy preserving for monitoring HTTPS services. First, we first investigate a recent technique for HTTPS services monitoring that is based on the Server Name Indication (SNI) field of the TLS handshake. We show that this method has many weakness, which can be used to cheat monitoring solutions.To mitigate this issue, we propose a novel DNS-based approach to validate the claimed value of SNI. The evaluation show the ability to overcome the shortage. Second, we propose a robust framework to identify the accessed HTTPS services from a traffic dump, without relying neither on a header field nor on the payload content. Our evaluation based on real traffic shows that we can identify encrypted HTTPS services with high accuracy. Third, we have improved our framework to monitor HTTPS services in real-time. By extracting statistical features over the TLS handshake packets and a few application data packets, we can identify HTTPS services very early in the session. The obtained results and a prototype implementation show that our method offers good identification accuracy, high HTTPS flow processing throughput, and a low overhead delay; Dans cette thèse, nous dressons tout d'abord un bilan des différentes techniques d'identification de trafic et constatons l'absence de solution permettant une identification du trafic HTTPS à la fois précise et respectueuse de la vie privée des utilisateurs. Nous nous intéressons dans un premier temps à une technique récente, néanmoins déjà déployée, permettant la supervision du trafic HTTPS grâce à l'inspection du champ SNI, extension du protocole TLS. Nous montrons que deux stratégies permettent de contourner cette méthode. Comme remédiation, nous proposons une procédure de vérification supplémentaire basée sur un serveur DNS de confiance. Les résultats expérimentaux montrent que cette solution pragmatique est efficace. Ensuite, nous proposons une architecture qui permet l'identification des services dans le trafic HTTPS, en se basant sur l'apprentissage automatique. Nous avons ainsi défini un nouvel ensemble de caractéristiques statistiques combinées avec une identification à deux niveaux, identifiant d'abord le fournisseur de services, puis le service, selon notre évaluation à partir de trafic réel. Enfin, nous améliorons cette architecture afin de permettre l'identification du trafic en temps réel en ne considérant que les premiers paquets des flux plutôt que leur totalité. Pour évaluer notre approche, nous avons constitué un dataset comportant les flux complets de chargement des principaux sites web et l'avons rendu public pour comparaison. Nous présentons également un prototype de logiciel reconstituant les flux HTTPS en temps réel puis les identifiant

Published
2017

5. Évolution du système VPN de l'entreprise Netapsys

Author

Soubeyrand, Stéphane, Centre d'enseignement Cnam Lyon (CNAM Lyon), and Conservatoire National des Arts et Métiers [CNAM] (CNAM)

Subjects
Réseau informatique, Linux, Protocole de routage dynamique, Firewall, Dynamic routing protocol, Open source, BASH, [INFO.INFO-SI]Computer Science [cs]/Social and Information Networks [cs.SI], VPN, Pare-feu, Networking, OSPF, IPsec, CFEngine
Abstract

Netapsys company wants to evolve its VPN system which connects its various sites. Our solution is based on the IPsec protocols to ensure the security of exchanges with a full meshed architecture. OSPF provides dynamic routing between network equipment to automate routing information sharing. GRE tunnels, which fit between OSPF and IPsec provide the necessary OSPF multicast layer. These services are driven with the CFEngine configuration management software. Finally, the deployment is planned after several tests of the solution on different environments.; L’entreprise Netapsys souhaite faire évoluer son système VPN qui relie ses différents sites. Notre solution se base sur les protocoles IPsec pour garantir la sécurité des échanges avec une architecture en maille pleine. OSPF apporte le routage dynamique entre les équipements du réseau dans le but d’automatiser le partage des informations de routage. Les tunnels GRE, qui s’insèrent entre IPsec et OSPF fournissent la couche multicast nécessaire aux échanges OSPF. Ces services sont pilotés avec le logiciel de gestion des configuration CFEngine. Enfin, le déploiement est planifié après plusieurs tests de la solution sur différentes plateformes.

Published
2016

6. Evaluation and analysis of network security mechanisms in virtual infrastructure cloud

Author

Probst, Thibaut, Équipe Tolérance aux fautes et Sûreté de Fonctionnement informatique (LAAS-TSF), Laboratoire d'analyse et d'architecture des systèmes (LAAS), Université Toulouse - Jean Jaurès (UT2J)-Université Toulouse 1 Capitole (UT1), Université Fédérale Toulouse Midi-Pyrénées-Université Fédérale Toulouse Midi-Pyrénées-Centre National de la Recherche Scientifique (CNRS)-Université Toulouse III - Paul Sabatier (UT3), Université Fédérale Toulouse Midi-Pyrénées-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Institut National Polytechnique (Toulouse) (Toulouse INP), Université Fédérale Toulouse Midi-Pyrénées-Université Toulouse - Jean Jaurès (UT2J)-Université Toulouse 1 Capitole (UT1), Université Fédérale Toulouse Midi-Pyrénées, INP Toulouse, M.KAANICHE, Université Toulouse Capitole (UT Capitole), Université de Toulouse (UT)-Université de Toulouse (UT)-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Université de Toulouse (UT)-Institut National des Sciences Appliquées (INSA)-Université Toulouse - Jean Jaurès (UT2J), Université de Toulouse (UT)-Université Toulouse III - Paul Sabatier (UT3), Université de Toulouse (UT)-Centre National de la Recherche Scientifique (CNRS)-Institut National Polytechnique (Toulouse) (Toulouse INP), Université de Toulouse (UT)-Université Toulouse Capitole (UT Capitole), Université de Toulouse (UT), Institut National Polytechnique de Toulouse - INPT (FRANCE), and Institut National Polytechnique de Toulouse - Toulouse INP (FRANCE)

Subjects
Détection d'intrusions, Contrôle d'accès, Système de détection d'intrusion, Security, Cloud computing, Access control, Intrusion detection, Sécurité, [INFO.INFO-ES]Computer Science [cs]/Embedded Systems, Evaluation, Pare-feu
Abstract

Over the last few years, the development of the Internet contributed to the rise of the cloud computing model, wherein providers offer computing resources as services to clients. These resources, generally hosted by the provider, can be infrastructures, development and execution platforms or applications. The goal is to boost the reduction of the deployment and operation costs of resources traditionally hosted on-premises. In the Infrastructure as a Service (IaaS), clients can create and administrate entire virtual infrastructures hosting their information system or a part of it. Beside the benefits of the cloud model, security concerns arise, as in any distributed computing system. Mixing the diversity of the actors with the variety of technologies in the cloud implies a great number of threats and makes the securing of data more complex. In order to prevent and detect attacks, network security mechanisms are deployed in the cloud. We are interested in network access control and network intrusion detection, respectively carried out by firewalls and intrusion detection systems. It is not yet easy for administrators to correctly deploy security tools while not disturbing the cloud. Therefore, it is essential to look for weaknesses, discrepancies or inconsistencies in their deployment on a regular basis. In this manuscript, we describe the thesis in which we propose an approach for the automated evaluation and analysis of network security mechanisms in cloud computing virtual infrastructures. Our objective is to allow, in an experimental fashion, the audit of network access controls and network intrusion detection systems protecting virtual infrastructures. To work around the problems due to the implementation of such an approach, we divided it in three phases. The first phase consists in creating a copy of the infrastructure to analyze, to avoid disturbing the client’s business during the audit operations. The second phase is about the analysis of access controls, where the goal is to determine network communication paths between the virtual machines. We allow a static analysis, conducted from configuration information, and a dynamic analysis, performed by injecting network traffic. The interest in achieving two different types of analysis is to identify potential discrepancies in the results. In the third phase, the discovered communication paths are utilized to execute network attack campaigns based on evaluation traffic we replay using models we defined. Then, the reaction of intrusion detection systems is studied to generate evaluation metrics. The developed approach resulted in a prototype for VMware cloud solutions. It has been experimented on a mock-up platform in order to validate the methods we designed as part of our approach. The experimental results we obtained are encouraging and build confidence in the elaboration of new extensions and research perspectives.Résumé; Ces dernières années, le développement d’Internet a contribué à l’essor du modèle cloud computing, dans lesquels des fournisseurs mettent à disposition des clients des ressources informatiques en tant que services. Ces ressources, généralement hébergées chez le fournisseur, peuvent être des infrastructures informatiques, des plateformes de développement et d’exécution ou des applications. L’objectif est de favoriser la réduction des coûts de déploiement et d’opération de ressources traditionnellement hébergées dans les locaux des clients. Dans le modèle de service Infrastructure as a Service, les clients peuvent créer et administrer des infrastructures virtuelles entières hébergeant tout ou une partie de leur système d’information. Aux bénéfices du modèle cloud sont associés des problématiques de sécurité, comme dans tout système informatique réparti. La diversité des acteurs mêlée à la variété des technologies dans le cloud implique un grand nombre de menaces et rend la sécurisation des données complexe. Pour prévenir et détecter les attaques, des mécanismes de sécurité réseau sont déployés dans le cloud. Nous nous intéressons au contrôle d’accès réseau et à la détection d’intrusion réseau, respectivement assurés par les pare-feu et les systèmes de détection d’intrusion. Or, il n’est pas aisé pour les administrateurs de déployer correctement ces outils de sécurité sans perturber le fonctionnement du cloud. Il est donc essentiel de rechercher régulièrement les faiblesses, déviances ou incohérences dans le déploiement de ces outils. Dans ce manuscrit, nous décrivons les travaux de thèse où nous avons proposé une approche pour l’évaluation et l’analyse automatisée des mécanismes de sécurité réseau dans les infrastructures virtuelles de cloud computing. Notre objectif est de permettre l’audit de manière expérimentale des contrôles d’accès réseau et des systèmes de détection d’intrusion réseau protégeant une infrastructure virtuelle donnée. Afin de solutionner les problèmes liés à la mise en oeuvre d’une telle approche, nous l’avons décomposée en trois phases. La première phase consiste à créer une copie de l’infrastructure à analyser, de manière à ne pas perturber la production du client durant les opérations d’audit. La deuxième phase concerne l’analyse des contrôles d’accès, où le but est de déterminer les canaux de communications réseau entre machines virtuelles. Nous permettons de la réaliser statiquement, à partir des informations des configurations, et dynamiquement, en injectant du trafic réseau. L’intérêt de pouvoir mener deux analyses différentes est d’identifier d’éventuelles déviances dans les résultats obtenus. Dans la troisième phase, les canaux de communications trouvés sont utilisés pour exécuter des campagnes d’attaque réseau avec du trafic d’évaluation rejoué à partir de modèles que nous avons définis. La réaction des systèmes de détection d’intrusion est alors étudiée pour générer des métriques d’évaluation. L’approche développée a donné lieu à un prototype pour les solutions cloud VMware. Ce prototype, testé sur une plateforme de maquettage et d’expérimentation, a permis de valider les méthodes conçues dans le cadre de l’approche. Les résultats expérimentaux obtenus sont encourageants et donnent confiance dans l’élaboration de nouvelles extensions et perspectives de recherche.

Published
2015

7. Évaluation et améliorations des solutions de pare-feux redondants sous Linux et OpenBSD

Author

Aebischer, Quentin, Girard, Gabriel, Aebischer, Quentin, and Girard, Gabriel

Abstract

L'accès permanent et sécurisé aux ressources, données et services proposés par une entreprise est devenu au fil des années un point critique dans la stratégie de mise en place de l'infrastructure réseau. Situé à l'entrée du réseau interne et chargé de faire respecter la politique de sécurité mise en place par l'administrateur, le pare-feu est bien souvent l'unique point d'accès par lequel transitent toutes les connexions avec l'extérieur, et représente de ce fait un unique point de défaillance potentiel (« single point-of-failure »). Afin de pallier cette faiblesse, plusieurs solutions de redondances de pare-feux ont vu le jour. Ce document a pour but de présenter, d'évaluer et de comparer deux solutions reconnues du monde du logiciel libre : les conntrack-tools sous Linux, et pfsync/CARP sous OpenBSD. On présente également une nouvelle implémentation de canaux d'échanges d'états de connexions entre les pare-feux sous Linux, basé sur le protocole TIPC.

Published
2014

8. Modélisation des communications sur plates-formes à grande echelles

Author

Uznanski, Przemyslaw, Laboratoire Bordelais de Recherche en Informatique (LaBRI), Université de Bordeaux (UB)-Centre National de la Recherche Scientifique (CNRS)-École Nationale Supérieure d'Électronique, Informatique et Radiocommunications de Bordeaux (ENSEIRB), Algorithmics for computationally intensive applications over wide scale distributed platforms (CEPAGE), Université Sciences et Technologies - Bordeaux 1-Inria Bordeaux - Sud-Ouest, Institut National de Recherche en Informatique et en Automatique (Inria)-Institut National de Recherche en Informatique et en Automatique (Inria)-École Nationale Supérieure d'Électronique, Informatique et Radiocommunications de Bordeaux (ENSEIRB)-Centre National de la Recherche Scientifique (CNRS), Université Sciences et Technologies - Bordeaux I, Olivier Beaumont, Université de Bordeaux (UB)-École Nationale Supérieure d'Électronique, Informatique et Radiocommunications de Bordeaux (ENSEIRB)-Centre National de la Recherche Scientifique (CNRS), and Université Sciences et Technologies - Bordeaux 1 (UB)-Inria Bordeaux - Sud-Ouest

Subjects
Power aware routing, [INFO.INFO-OH]Computer Science [cs]/Other [cs.OH], PlanetLab, Bandwidth sharing, Streaming, Requêtes découpables, Pare-feu, Network prediction, Diffusion, Système de prédiction réseau, Firewalls, Splittable requests, Routage efficace en énergie, Partage de bande passante, Broadcast, LastMile
Abstract

The increasing popularity of Internet bandwidth-intensive applications prompts us to consider followingproblem: How to compute efficient collective communication schemes on large-scale platform?The issue of designing a collective communication in the context of a large scale distributed networkis a difficult and a multi-level problem. A lot of solutions have been extensively studied andproposed. But a new, comprehensive and systematic approach is required, that combines networkmodels and algorithmic design of solutions.In this work we advocate the use of models that are able to capture real-life network behavior,but also are simple enough that a mathematical analysis of their properties and the design of optimalalgorithms is achievable.First, we consider the problem of the measuring available bandwidth for a given point-topointconnection. We discuss how to obtain reliable datasets of bandwidth measurements usingPlanetLab platform, and we provide our own datasets together with the distributed software usedto obtain it. While those datasets are not a part of our model per se, they are necessary whenevaluating the performance of various network algorithms. Such datasets are common for latencyrelatedproblems, but very rare when dealing with bandwidth-related ones.Then, we advocate for a model that tries to accurately capture the capabilities of a network,named LastMile model. This model assumes that essentially the congestion happens at the edgesconnecting machines to the wide Internet. It has a natural consequence in a bandwidth predictionalgorithm based on this model. Using datasets described earlier, we prove that this algorithm is ableto predict with an accuracy comparable to best known network prediction algorithm (DistributedMatrix Factorization) available bandwidth between two given nodes. While we were unable toimprove upon DMF algorithm in the field of point-to-point prediction, we show that our algorithmhas a clear advantage coming from its simplicity, i.e. it naturally extends to the network predictionsunder congestion scenario (multiple connections sharing a bandwidth over a single link). We areactually able to show, using PlanetLab datasets, that LastMile prediction is better in such scenarios.In the third chapter, we propose new algorithms for solving the large scale broadcast problem.We assume that the network is modeled by the LastMile model. We show that under thisassumption, we are able to provide algorithms with provable, strong approximation ratios. Takingadvantage of the simplicity and elasticity of the model, we can even extend it, so that it captures theidea of connectivity artifacts, in our case firewalls preventing some nodes to communicate directlybetween each other. In the extended case we are also able to provide approximation algorithmswith provable performance.The chapters 1 to 3 form three successful steps of our program to develop from scratch amathematical network communication model, prove it experimentally, and show that it can beapplied to develop algorithms solving hard problems related to design of communication schemesin networks.In the chapter 4 we show how under different network cost models, using some simplifyingassumptions on the structure of network and queries, one can design very efficient communicationschemes using simple combinatorial techniques. This work is complementary to the previous chapter in the sense that previously when designing communication schemes, we assumed atomicityof connections, i.e. that we have no control over routing of simple connections. In chapter 4 weshow how to solve the problem of an efficient routing of network request, given that we know thetopology of the network. It shows the importance of instantiating the parameters and the structureof the network in the context of designing efficient communication schemes.; La popularité croissante des applications Internet très gourmandes en bande passante (P2P, streaming,...) nous pousse à considérer le problème suivant :Comment construire des systèmes de communications collectives efficaces sur une plateforme à grande échelle ? Le développement de schéma de communications collectives dans le cadre d'un réseau distribué à grande échelle est une tâche difficile, qui a été largement étudiée et dont de multiples solutions ont été proposées. Toutefois, une nouvelle approche globale et systématique est nécessaire, une approche qui combine des modèles de réseaux et la conception algorithmique.Dans ce mémoire nous proposons l'utilisation de modèles capables de capturer le comportement d'un réseau réel et suffisamment simples pour que leurs propriétés mathématiques puissentêtre étudiées et pour qu'il soit possible de créer des algorithmesoptimaux. Premièrement, nous considérons le problème d'évaluation de la bande passante disponible pour une connexion point-à-point donnée. Nousétudions la façon d'obtenir des jeux de données de bande passante, utilisant plateforme PlanetLab. Nous présentons aussi nos propres jeux de données, jeux obtenus avec bedibe, un logiciel que nous avons développé. Ces données sont nécessaires pour évaluer les performances des différents algorithmesde réseau. Bien qu'on trouve de nombreux jeux de données de latence,les jeux de données de bande passante sont très rares. Nous présentons ensuite un modèle, appelé LastMile, qui estime la bande passante. En profitant des jeux de données décrits précédemment, nous montrons que cet algorithme est capable de prédire la bande passante entre deux noeuds donnés avec une précision comparable au meilleur algorithme connu de prédiction (DMF). De plus le modèle LastMile s'étend naturellement aux prédictions dans le scénario de congestion (plusieurs connexions partageant un même lien). Nous sommes effectivement en mesure de démontrer, à l'aide des ensembles de données PlanetLab, que la prédiction LastMile est préférable dans des tels scénarios.Dans le troisième chapitre, nous proposons des nouveaux algorithmes pour résoudre le problème de diffusion. Nous supposons que le réseau est modélisé par le modèle LastMile. Nous montrons que, sous cette hypothèse, nous sommes en mesure de fournir des algorithmes avec des ratios d'approximation élevés. De plus nous étendons le modèle LastMile, de manière à y intégrer des artéfacts de connectivité, dans notre cas ce sont des firewalls qui empêchent certains nœuds de communiquer directement entre eux. Dans ce dernier cas, nous sommes également en mesure de fournir des algorithmes d'approximation avec des garanties de performances prouvables. Les chapitres 1 à 3 forment les trois étapes accomplies de notre programme qui visent trois buts. Premièrement, développer à partir dezéro un modèle de réseau de communication. Deuxièmement, prouver expérimentalement sa performance. Troisièmement, montrer qu'il peut être utilisé pour développer des algorithmes qui résolvent les problèmes de communications collectives. Dans le 4e chapitre, nous montrons comment on peut concevoir dessystèmes de communication efficaces, selon différents modèles decoûts, en utilisant des techniques combinatoires,tout en utilisant des hypothèses simplificatrices sur la structure duréseau et les requêtes. Ce travail est complémentaire au chapitre précédent puisque auparavant, nous avons adopté l'hypothèse que les connectionsétaient autonomes (i.e. nous n'avons aucun contrôle sur le routage des connexions simples). Dans le chapitre 4, nous montrons comment résoudre le problème du routage économe en énergie, étant donnée une topologie fixée.

Published
2013

9. Large scale platform : Instantiable models and algorithmic design of communication schemes

Author

UZNANSKI, Przemyslaw, STAR, ABES, Laboratoire Bordelais de Recherche en Informatique (LaBRI), Université de Bordeaux (UB)-Centre National de la Recherche Scientifique (CNRS)-École Nationale Supérieure d'Électronique, Informatique et Radiocommunications de Bordeaux (ENSEIRB), Algorithmics for computationally intensive applications over wide scale distributed platforms (CEPAGE), Université Sciences et Technologies - Bordeaux 1-Inria Bordeaux - Sud-Ouest, Institut National de Recherche en Informatique et en Automatique (Inria)-Institut National de Recherche en Informatique et en Automatique (Inria)-École Nationale Supérieure d'Électronique, Informatique et Radiocommunications de Bordeaux (ENSEIRB)-Centre National de la Recherche Scientifique (CNRS), Université Sciences et Technologies - Bordeaux I, Olivier Beaumont, Beaumont, Olivier, Eyraud-Dubois, Lionel, Bonichon, Nicolas, Mathieu, Fabien, Ahmed, Toufik, Benoit, Anne, and Viennot, Laurent

Subjects
Power aware routing, [INFO.INFO-OH]Computer Science [cs]/Other [cs.OH], PlanetLab, Bandwidth sharing, Streaming, Requêtes découpables, Pare-feu, Network prediction, Diffusion, [INFO.INFO-OH] Computer Science [cs]/Other [cs.OH], Système de prédiction réseau, Firewalls, Splittable requests, Routage efficace en énergie, Partage de bande passante, LastMile, Broadcast
Abstract

The increasing popularity of Internet bandwidth-intensive applications prompts us to consider followingproblem: How to compute efficient collective communication schemes on large-scale platform?The issue of designing a collective communication in the context of a large scale distributed networkis a difficult and a multi-level problem. A lot of solutions have been extensively studied andproposed. But a new, comprehensive and systematic approach is required, that combines networkmodels and algorithmic design of solutions.In this work we advocate the use of models that are able to capture real-life network behavior,but also are simple enough that a mathematical analysis of their properties and the design of optimalalgorithms is achievable.First, we consider the problem of the measuring available bandwidth for a given point-topointconnection. We discuss how to obtain reliable datasets of bandwidth measurements usingPlanetLab platform, and we provide our own datasets together with the distributed software usedto obtain it. While those datasets are not a part of our model per se, they are necessary whenevaluating the performance of various network algorithms. Such datasets are common for latencyrelatedproblems, but very rare when dealing with bandwidth-related ones.Then, we advocate for a model that tries to accurately capture the capabilities of a network,named LastMile model. This model assumes that essentially the congestion happens at the edgesconnecting machines to the wide Internet. It has a natural consequence in a bandwidth predictionalgorithm based on this model. Using datasets described earlier, we prove that this algorithm is ableto predict with an accuracy comparable to best known network prediction algorithm (DistributedMatrix Factorization) available bandwidth between two given nodes. While we were unable toimprove upon DMF algorithm in the field of point-to-point prediction, we show that our algorithmhas a clear advantage coming from its simplicity, i.e. it naturally extends to the network predictionsunder congestion scenario (multiple connections sharing a bandwidth over a single link). We areactually able to show, using PlanetLab datasets, that LastMile prediction is better in such scenarios.In the third chapter, we propose new algorithms for solving the large scale broadcast problem.We assume that the network is modeled by the LastMile model. We show that under thisassumption, we are able to provide algorithms with provable, strong approximation ratios. Takingadvantage of the simplicity and elasticity of the model, we can even extend it, so that it captures theidea of connectivity artifacts, in our case firewalls preventing some nodes to communicate directlybetween each other. In the extended case we are also able to provide approximation algorithmswith provable performance.The chapters 1 to 3 form three successful steps of our program to develop from scratch amathematical network communication model, prove it experimentally, and show that it can beapplied to develop algorithms solving hard problems related to design of communication schemesin networks.In the chapter 4 we show how under different network cost models, using some simplifyingassumptions on the structure of network and queries, one can design very efficient communicationschemes using simple combinatorial techniques. This work is complementary to the previous chapter in the sense that previously when designing communication schemes, we assumed atomicityof connections, i.e. that we have no control over routing of simple connections. In chapter 4 weshow how to solve the problem of an efficient routing of network request, given that we know thetopology of the network. It shows the importance of instantiating the parameters and the structureof the network in the context of designing efficient communication schemes., La popularité croissante des applications Internet très gourmandes en bande passante (P2P, streaming,...) nous pousse à considérer le problème suivant :Comment construire des systèmes de communications collectives efficaces sur une plateforme à grande échelle ? Le développement de schéma de communications collectives dans le cadre d'un réseau distribué à grande échelle est une tâche difficile, qui a été largement étudiée et dont de multiples solutions ont été proposées. Toutefois, une nouvelle approche globale et systématique est nécessaire, une approche qui combine des modèles de réseaux et la conception algorithmique.Dans ce mémoire nous proposons l'utilisation de modèles capables de capturer le comportement d'un réseau réel et suffisamment simples pour que leurs propriétés mathématiques puissentêtre étudiées et pour qu'il soit possible de créer des algorithmesoptimaux. Premièrement, nous considérons le problème d'évaluation de la bande passante disponible pour une connexion point-à-point donnée. Nousétudions la façon d'obtenir des jeux de données de bande passante, utilisant plateforme PlanetLab. Nous présentons aussi nos propres jeux de données, jeux obtenus avec bedibe, un logiciel que nous avons développé. Ces données sont nécessaires pour évaluer les performances des différents algorithmesde réseau. Bien qu'on trouve de nombreux jeux de données de latence,les jeux de données de bande passante sont très rares. Nous présentons ensuite un modèle, appelé LastMile, qui estime la bande passante. En profitant des jeux de données décrits précédemment, nous montrons que cet algorithme est capable de prédire la bande passante entre deux noeuds donnés avec une précision comparable au meilleur algorithme connu de prédiction (DMF). De plus le modèle LastMile s'étend naturellement aux prédictions dans le scénario de congestion (plusieurs connexions partageant un même lien). Nous sommes effectivement en mesure de démontrer, à l'aide des ensembles de données PlanetLab, que la prédiction LastMile est préférable dans des tels scénarios.Dans le troisième chapitre, nous proposons des nouveaux algorithmes pour résoudre le problème de diffusion. Nous supposons que le réseau est modélisé par le modèle LastMile. Nous montrons que, sous cette hypothèse, nous sommes en mesure de fournir des algorithmes avec des ratios d'approximation élevés. De plus nous étendons le modèle LastMile, de manière à y intégrer des artéfacts de connectivité, dans notre cas ce sont des firewalls qui empêchent certains nœuds de communiquer directement entre eux. Dans ce dernier cas, nous sommes également en mesure de fournir des algorithmes d'approximation avec des garanties de performances prouvables. Les chapitres 1 à 3 forment les trois étapes accomplies de notre programme qui visent trois buts. Premièrement, développer à partir dezéro un modèle de réseau de communication. Deuxièmement, prouver expérimentalement sa performance. Troisièmement, montrer qu'il peut être utilisé pour développer des algorithmes qui résolvent les problèmes de communications collectives. Dans le 4e chapitre, nous montrons comment on peut concevoir dessystèmes de communication efficaces, selon différents modèles decoûts, en utilisant des techniques combinatoires,tout en utilisant des hypothèses simplificatrices sur la structure duréseau et les requêtes. Ce travail est complémentaire au chapitre précédent puisque auparavant, nous avons adopté l'hypothèse que les connectionsétaient autonomes (i.e. nous n'avons aucun contrôle sur le routage des connexions simples). Dans le chapitre 4, nous montrons comment résoudre le problème du routage économe en énergie, étant donnée une topologie fixée.

Published
2013

10. Outils de sécurité réseau avec OpenBSD et PF

Author

Herrb, Matthieu, Laboratoire d'analyse et d'architecture des systèmes (LAAS), Université Toulouse - Jean Jaurès (UT2J)-Université Toulouse 1 Capitole (UT1), Université Fédérale Toulouse Midi-Pyrénées-Université Fédérale Toulouse Midi-Pyrénées-Centre National de la Recherche Scientifique (CNRS)-Université Toulouse III - Paul Sabatier (UT3), Université Fédérale Toulouse Midi-Pyrénées-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Institut National Polytechnique (Toulouse) (Toulouse INP), Université Fédérale Toulouse Midi-Pyrénées, Université Toulouse Capitole (UT Capitole), Université de Toulouse (UT)-Université de Toulouse (UT)-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Université de Toulouse (UT)-Institut National des Sciences Appliquées (INSA)-Université Toulouse - Jean Jaurès (UT2J), Université de Toulouse (UT)-Université Toulouse III - Paul Sabatier (UT3), Université de Toulouse (UT)-Centre National de la Recherche Scientifique (CNRS)-Institut National Polytechnique (Toulouse) (Toulouse INP), and Université de Toulouse (UT)

Subjects
[INFO.INFO-CR]Computer Science [cs]/Cryptography and Security [cs.CR], pare-feu, portail captif, Sécurité, [INFO]Computer Science [cs], [INFO.INFO-OS]Computer Science [cs]/Operating Systems [cs.OS], OpenBSD
Abstract

International audience; Cet article présente la mise en place de solutions de sécurité réseau basées sur des logiciels libres au LAAS du CNRS. Dans le domaine de la sécurité réseau, deux composants clé utilisés dans le laboratoire sont le pare-feu principal et le portail captif destiné à accueillir les connexions de visiteurs. Les outils retenus se basent sur le filtre de paquets PF ainsi que sur des extensions du serveur DHCP du système OpenBSD. Après avoir étudié plusieurs scénarios de déploiement, le pare-feu principal du laboratoire est constitué de deux serveurs redondants contrôlant le trafic à l'aide de PF en mode transparent. Pour l'accueil de connexions réseaux de visiteurs, le laboratoire souhaite continuer à leur proposer un accès ouvert. Un portail captif « auto déclaratif » sur lequel chaque visiteur s'enregistre pour accéder à l'Internet a été réalisé à l'aide d'outils présents dans OpenBSD.

Published
2011

11. Analyse de sécurité et QoS dans les réseaux à contraintes temporelles

Author

Mostafa, Mahmoud, Institut National Polytechnique de Toulouse - Toulouse INP (FRANCE), and Institut National Polytechnique de Toulouse - INPT (FRANCE)

Subjects
Table de session, Passerelle, QoS, Sécurité, Réseaux avioniques de données, IPsec, Pare-feu, Benchmarking
Abstract

Dans le domaine des réseaux, deux précieux objectifs doivent être atteints, à savoir la QoS et la sécurité, plus particulièrement lorsqu’il s’agit des réseaux à caractère critique et à fortes contraintes temporelles. Malheureusement, un conflit existe : tandis que la QoS œuvre à réduire les temps de traitement, les mécanismes de sécurité quant à eux requièrent d’importants temps de traitement et causent, par conséquent, des délais et dégradent la QoS. Par ailleurs, les systèmes temps réel, la QoS et la sécurité ont très souvent été étudiés séparément, par des communautés différentes. Dans le contexte des réseaux avioniques de données, de nombreux domaines et applications, de criticités différentes, échangent mutuellement des informations, souvent à travers des passerelles. Il apparaît clairement que ces informations présentent différents niveaux de sensibilité en termes de sécurité et de QoS. Tenant compte de cela, le but de cette thèse est d’accroître la robustesse des futures générations de réseaux avioniques de données en contrant les menaces de sécurité et évitant les ruptures de trafic de données. A cet effet, nous avons réalisé un état de l’art des mécanismes de sécurité, de la QoS et des applications à contraintes temporelles. Nous avons, ensuite étudié la nouvelle génération des réseaux avioniques de données. Chose qui nous a permis de déterminer correctement les différentes menaces de sécurité. Sur la base de cette étude, nous avons identifié à la fois les exigences de sécurité et de QoS de cette nouvelle génération de réseaux avioniques. Afin de les satisfaire, nous avons proposé une architecture de passerelle de sécurité tenant compte de la QoS pour protéger ces réseaux avioniques et assurer une haute disponibilité en faveur des données critiques. Pour assurer l’intégration des différentes composantes de la passerelle, nous avons développé une table de session intégrée permettant de stocker toutes les informations nécessaires relatives aux sessions et d’accélérer les traitements appliqués aux paquets (filtrage à états, les traductions d’adresses NAT, la classification QoS et le routage). Cela a donc nécessité, en premier lieu, l'étude de la structure existante de la table de session puis, en second lieu, la proposition d'une toute nouvelle structure répondant à nos objectifs. Aussi, avons-nous présenté un algorithme permettant l’accès et l’exploitation de la nouvelle table de session intégrée. En ce qui concerne le composant VPN IPSec, nous avons détecté que le trafic chiffré par le protocole ESP d’IPSec ne peut pas être classé correctement par les routeurs de bordure. Afin de surmonter ce problème, nous avons développé un protocole, Q-ESP, permettant la classification des trafics chiffrés et offrant les services de sécurité fournis par les protocoles AH et ESP combinés. Plusieurs techniques de gestion de bande passante ont été développées en vue d’optimiser la gestion du trafic réseau. Pour évaluer les performances offertes par ces techniques et identifier laquelle serait la plus appropriée dans notre cas, nous avons effectué une comparaison basée sur le critère du délai, par le biais de tests expérimentaux. En dernière étape, nous avons évalué et comparé les performances de la passerelle de sécurité que nous proposons par rapport à trois produits commerciaux offrant les fonctions de passerelle de sécurité logicielle en vue de déterminer les points forts et faibles de notre implémentation pour la développer ultérieurement. Le manuscrit s’organise en deux parties : la première est rédigée en français et représente un résumé détaillé de la deuxième partie qui est, quant à elle, rédigée en anglais.

Published
2011

12. Observation du trafic malveillant à l'aide d'un cadriciel permettant la composition et la parallélisation d'inspecteurs de points d'interconnexion

Author

Alberdi, Ion, Laboratoire d'analyse et d'architecture des systèmes (LAAS), Université Toulouse - Jean Jaurès (UT2J)-Université Toulouse 1 Capitole (UT1), Université Fédérale Toulouse Midi-Pyrénées-Université Fédérale Toulouse Midi-Pyrénées-Centre National de la Recherche Scientifique (CNRS)-Université Toulouse III - Paul Sabatier (UT3), Université Fédérale Toulouse Midi-Pyrénées-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Institut National Polytechnique (Toulouse) (Toulouse INP), Université Fédérale Toulouse Midi-Pyrénées, INSA de Toulouse, and P.OWEZARSKI

Subjects
Internet, Pot de miel, Sandbox, Intrusions, Bac à sable, IPS, Firewall, Honeypots, virus, Attacks, IDS, Malware, Vulnérabilités, Pare-feu, Attaques, Botnet, Vulnerabilities, [INFO]Computer Science [cs]
Abstract

Our Ph.D states that given the magnitude of malicious behavior in the Internet, end-host software must be monitored. To limit the number of monitoring points, we propose to monitor the software from an interconnection point, i.e. a midpoint. We have designed for this purpose Luth, a tool to compose and parallelize a set of midpoint inspectors (MI) that implement mini IDS, IPS or firewall-s, while checking the correction and optimality of the resulting inspection tree, using a configuration language, its interpreter and associated algorithms. We then configure this tool to monitor some end-host software used to observe malicious traffic. First, we demonstrate why malware downloading honeypots must be monitored by designing an original attack. Then, we show how we configure Luth to block these attacks while accepting the intrusions emulated by the honeypot. In a second step, we use Luth to implement a sandbox that analyzes dynamically and as safely as wanted malware's network communications. We show how the information obtained by this analysis enables us to cluster the analyzed malware and therefore limit the number of malware to analyze manually. Finally, we show how we automatically generate signatures from this analysis to detect those malware from a midpoint device.; Notre thèse stipule qu'au vu de l'ampleur des agissements malveillants dans l'Internet, les logiciels d'extrémité doivent être surveillés. Pour limiter le nombre de points de surveillance, nous proposons de surveiller les logiciels depuis un point d'interconnexion. Nous avons dans ce but conçu Luth, un outil permettant de composer et de paralléliser un ensemble d'inspecteurs de points d'interconnexion (appelés MI) qui implémentent des mini IDS, IPS ou pare-feux, tout en vérifiant la correction et l'optimalité de ces derniers, à l'aide d'un langage de configuration et des algorithmes associés. Nous utilisons ensuite cet outil pour surveiller des logiciels d'extrémité permettant l'observation de trafic malveillant. Premièrement, après avoir démontré la nécessité de surveiller des pots de miels collecteurs de logiciels malveillants en concevant une attaque originale, nous montrons comment nous configurons Luth pour bloquer les attaques précédemment créées tout en laissant passer les attaques émulées par le pot de miel. Dans un second temps, nous utilisons Luth pour implémenter un bac-à-sable permettant d'analyser dynamiquement et aussi sûrement que voulu, les communications réseaux des logiciels malveillants. Nous montrons comment les informations obtenues par cette analyse permettent de regrouper ces logiciels et ainsi de limiter le nombre de binaires à analyser manuellement. Ensuite nous montrons comment nous générons automatiquement des signatures permettant la détection de ces virus depuis un point d'interconnexion.

Published
2010

13. Malicious trafic observation using a framework to parallelize and compose midpoint inspection devices

Author

Alberdi, Ion, Laboratoire d'analyse et d'architecture des systèmes (LAAS), Université Toulouse - Jean Jaurès (UT2J)-Université Toulouse 1 Capitole (UT1), Université Fédérale Toulouse Midi-Pyrénées-Université Fédérale Toulouse Midi-Pyrénées-Centre National de la Recherche Scientifique (CNRS)-Université Toulouse III - Paul Sabatier (UT3), Université Fédérale Toulouse Midi-Pyrénées-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Institut National des Sciences Appliquées (INSA)-Institut National Polytechnique (Toulouse) (Toulouse INP), Université Fédérale Toulouse Midi-Pyrénées, INSA de Toulouse, P.OWEZARSKI, Université Toulouse Capitole (UT Capitole), Université de Toulouse (UT)-Université de Toulouse (UT)-Institut National des Sciences Appliquées - Toulouse (INSA Toulouse), Institut National des Sciences Appliquées (INSA)-Université de Toulouse (UT)-Institut National des Sciences Appliquées (INSA)-Université Toulouse - Jean Jaurès (UT2J), Université de Toulouse (UT)-Université Toulouse III - Paul Sabatier (UT3), Université de Toulouse (UT)-Centre National de la Recherche Scientifique (CNRS)-Institut National Polytechnique (Toulouse) (Toulouse INP), and Université de Toulouse (UT)

Subjects
Internet, Pot de miel, Sandbox, Intrusions, Bac à sable, IPS, Firewall, Honeypots, virus, Attacks, IDS, Malware, Vulnérabilités, Pare-feu, Attaques, Botnet, Vulnerabilities, [INFO]Computer Science [cs]
Abstract

Our Ph.D states that given the magnitude of malicious behavior in the Internet, end-host software must be monitored. To limit the number of monitoring points, we propose to monitor the software from an interconnection point, i.e. a midpoint. We have designed for this purpose Luth, a tool to compose and parallelize a set of midpoint inspectors (MI) that implement mini IDS, IPS or firewall-s, while checking the correction and optimality of the resulting inspection tree, using a configuration language, its interpreter and associated algorithms. We then configure this tool to monitor some end-host software used to observe malicious traffic. First, we demonstrate why malware downloading honeypots must be monitored by designing an original attack. Then, we show how we configure Luth to block these attacks while accepting the intrusions emulated by the honeypot. In a second step, we use Luth to implement a sandbox that analyzes dynamically and as safely as wanted malware's network communications. We show how the information obtained by this analysis enables us to cluster the analyzed malware and therefore limit the number of malware to analyze manually. Finally, we show how we automatically generate signatures from this analysis to detect those malware from a midpoint device.; Notre thèse stipule qu'au vu de l'ampleur des agissements malveillants dans l'Internet, les logiciels d'extrémité doivent être surveillés. Pour limiter le nombre de points de surveillance, nous proposons de surveiller les logiciels depuis un point d'interconnexion. Nous avons dans ce but conçu Luth, un outil permettant de composer et de paralléliser un ensemble d'inspecteurs de points d'interconnexion (appelés MI) qui implémentent des mini IDS, IPS ou pare-feux, tout en vérifiant la correction et l'optimalité de ces derniers, à l'aide d'un langage de configuration et des algorithmes associés. Nous utilisons ensuite cet outil pour surveiller des logiciels d'extrémité permettant l'observation de trafic malveillant. Premièrement, après avoir démontré la nécessité de surveiller des pots de miels collecteurs de logiciels malveillants en concevant une attaque originale, nous montrons comment nous configurons Luth pour bloquer les attaques précédemment créées tout en laissant passer les attaques émulées par le pot de miel. Dans un second temps, nous utilisons Luth pour implémenter un bac-à-sable permettant d'analyser dynamiquement et aussi sûrement que voulu, les communications réseaux des logiciels malveillants. Nous montrons comment les informations obtenues par cette analyse permettent de regrouper ces logiciels et ainsi de limiter le nombre de binaires à analyser manuellement. Ensuite nous montrons comment nous générons automatiquement des signatures permettant la détection de ces virus depuis un point d'interconnexion.

Published
2010

14. Solución integral de seguridad para las pymes mediante un UTM

Author

Flórez R., Wilmar, Arboleda S., Carlos A., Cadavid A., John F., Flórez R., Wilmar, Arboleda S., Carlos A., and Cadavid A., John F.

Abstract

This document is focused on realizing a theoretical contribution to the implementation of a solution of modular IT security that allows integrating the most common needed functionalities such as firewall, antivirus and control of content, named as UTM (Unified Threat Management). This solution is intended to prevent different types of assaults and threats in IT security for small and medium-sized enterprises (SMEs). These threats and IT assaults are mainly related to the very minimal malware control, lack of perimeter protection (firewall) and lack of content control, but they can be neutralized with the implementation of a Unified Threat Manager (UTM) having the basic modules of firewall, antivirus and access check lists., Cet article se concentre sur des apports théoriques quant à l'implémentation d'une solution de sécurité informatique en modules qui permettent d'intégrer les plus communes fonctionnalités requises, comme les pare-feu, l'antivirus et le contrôle des contenus, appelé UTM (par ses sigles en anglais ou Gestion Unifiée des Menaces). Cette solution est destinée à contrer les différents types d'attaques et menaces en sécurité informatique pour les petites et moyennes entreprises (PME). Ces menaces et attaques informatiques sont liées essentiellement à la précarité du contrôle du malware, l'absence de protection du périmètre (pare-feu) et l'absence de contrôle des contenus, mais elles peuvent être neutralisés au moyen de l'implémentation d'un gestionnaire unifie des menaces (UTM), avec les modules de pare-feu, antivirus et listes de contrôle d'accès., Este documento está enfocado a realizar un aporte teórico a la implementación de una solución de seguridad informática modular que permita integrar las funcionalidades requeridas más comunes, como son los firewall, antivirus y control de contenido, denominada como UTM (Gestor Unificado de Amenazas). Esta solución se orienta a contrarrestar los diferentes tipos de ataques y amenazas en seguridad informática, a los que se ven expuestas las medianas y pequeñas empresas (Pymes). Estas amenazas y ataques informáticos están relacionados principalmente con el bajo control de malware, ausencia de protección perimetral (firewall) y falta de control de contenido, permitiendo ser neutralizarlas con la implementación de un gestor unificado de amenazas (UTM), con los módulos básicos de firewall, antivirus y listas de control de acceso.

Published
2012

15. Forest fuels management in Europe

Author

Xanthopoulos, G., Caballero, D., Galante, M., Alexandrian, D., Rigolot, E., Marzano, Raffaella, National Agricultural Research Foundation (NAGREF), TECNOMA SA, Partenaires INRAE, General Directorate of Forest Resources, Agence MTDA, Unité de Recherches Forestières Méditerranéennes (URFM), Institut National de la Recherche Agronomique (INRA), Universita di Torino, and ProdInra, Migration

Subjects
[SDV] Life Sciences [q-bio], Southern Europe, fuel treatments, PARE-FEU, [SDV]Life Sciences [q-bio], COUPURE DE COMBUSTIBLE, wildfires, BRULAGE DIRIGE, ComputingMilieux_MISCELLANEOUS
Abstract

International audience

Published
2006

16. Usable Firewall Configuration

Author

Geng, Weiwei, Flinn, Scott, and DeDourek, J.

Subjects
usability, visualisation, network simulation, sécurité, utilisabilité, pare-feu, simulation en réseau, security, configuration, visualization, firewall
Abstract

Configuration is perhaps the most important aspect of a firewall. It is often hard to fully understand the implications of a given configuration, giving rise to two problems: it is hard to write rules to enforce the expected security policy correctly, and it is hard to understand a set of rules to make necessary changes. In this paper, we briefly introduced the IP packet filtering firewall followed by an analysis of configuration problems. We review related work and discuss the effectiveness of other approaches from a practical perspective to further illustrate our solution. We then describe a solution that combines simulation, visualization and interaction and describe a prototype and an evaluation of the tool., Third Annual Conference on Privacy, Security and Trust (PST 2005), October 12-14, 2005

Published
2005

17. Services réseau et méthodes d'ingénierie de trafic pour supporter des applications sur le réseau expérimental gigabit VTHD

Author

Philippe Cinquin, Elodie Larreur, Yves Devillers, Annie Gravey, Département informatique (INFO), Université européenne de Bretagne - European University of Brittany (UEB)-Télécom Bretagne-Institut Mines-Télécom [Paris] (IMT), and Télécom Bretagne, Bibliothèque

Subjects
Engineering, Qualité de service, Pair à pair, Télémédecine, MPLS, Teleconferencing, Telecommunications service, Metrology, Traffic engineering, [INFO.INFO-NI]Computer Science [cs]/Networking and Internet Architecture [cs.NI], Quality of service, Multicast, Couplage de code, [INFO.INFO-HC]Computer Science [cs]/Human-Computer Interaction [cs.HC], Electrical and Electronic Engineering, Code coupling, Ingénierie de trafic, Network architecture, Internet, Multiservice, [INFO.INFO-NI] Computer Science [cs]/Networking and Internet Architecture [cs.NI], Téléconférence, business.industry, Grilles de calcul, Network engineering, Firewall, Grids, Telecommunications network, Telemedicine, Métrologie, Pare-feu, Intelligent computer network, Software deployment, Active networks, Peer-to-peer, The Internet, [INFO.INFO-HC] Computer Science [cs]/Human-Computer Interaction [cs.HC], business, Telecommunications, Réseau actif
Abstract

VTHD is a high-performance IP experimental network. This network and associated research projects have been partially funded by the French government through the French Research Network for Telecommunications (RNRT) in order to support the development of leading-edge network services on the one hand, and test a wide-scale deployment of advanced Internet applications on the other hand. This paper describes the network services that were deemed necessary to support the deployment of innovative applications are described, as well as several of the applications that have been experimented on the network. It also presents a selection of the traffic engineering methods and experiments that have been developed in the course of the VTHD related research projects. This article describes the collective works of members of the project partners, which are represented here by the paper's co-authors., VTHD est un réseau IP expérimental à très haut débit. Ce réseau et les projets de recherche associés ont reçu un financement public par l'intermédiaire du Réseau National de Recherche en Télécommunications (RNRT) dans le but de permettre à la communauté scientifique française de développer des services réseau innovants et de tester le déploiement à grande échelle d'applications Internet avancées. Cet article décrit les services réseau nécessaires pour supporter le déploiement d'applications innovantes, ainsi que les applications qui ont été expérimentées sur le réseau VTHD. Enfin, l'article présente une sélection des méthodes et des expérimentations en matière d'ingénierie de trafic développées lors des projets de recherche associés à VTHD. Cet article décrit les travaux réalisés collectivement par de nombreux membres des institutions partenaires, qui sont représentées ici par les auteurs cosignant l'article.

Published
2004

18. Architecture pour un extranet adaptatif

Author

Vannel, Pierre, Roudier, Yves, Fouache, Olivier, Molva, Refik, Vannel, Pierre, Roudier, Yves, Fouache, Olivier, and Molva, Refik

Subjects
extranet, pare-feu, authentification, SPKI, Handle System, carte à puce, agent
Published
2003

19. Apports de la physique du feu

Author

Dupuy, Jean-Luc, Unité de Recherches Forestières Méditerranéennes (URFM), and Institut National de la Recherche Agronomique (INRA)

Subjects
PARE-FEU, [SDV]Life Sciences [q-bio]
Published
2000

21. Rapport de mission au Sénégal 19/01 au 26/01/92. Renforcement des activités de recherches menées dans les pays africains dans le domaine de la connaissance de la productivité de la croissance des formations naturelles mixtés forestières et graminéennes dans le but de leur aménagement

Author

Barbier, Claude

Subjects
Planification, F08 - Systèmes et modes de culture, Inventaire forestier, Plante herbacée, K10 - Production forestière, Pare-feu, Système sylvopastoral, Dispositif expérimental, K01 - Foresterie - Considérations générales, Arbre forestier
Abstract

La mission au Sénégal devait préparer la synthèse des travaux réalisés et déterminer les actions complémentaires à engager. Il était opportum de constater l'intérêt des autorités sénégalaises pour engager, dans les meilleurs délais, les procédures de recherche de financement pour une phase ultérieure

Published
1992

22. Le feu. Mieux le comprendre pour mieux lutter

Author

Louppe, Dominique and Louppe, Dominique

Abstract

Après avoir présenté le risque du feu résultant de l'importance de la biomasse herbacée de savanes, l'auteur présente quelques extraits bibliographiques. L'auteur s'appuie ensuite sur ces bases assez théoriques pour proposer les techniques de prévention des feux. En annexes, il présente une étude de coûts (en hommes/jour ou heures/machines) d'entretien d'un réseau de pare-feu conventionnels et propose des règles sylvicoles pour la constitution et la gestion de pare-feu végétaux en zones de savanes soudano-guinéennes

Published
1993

27. Etude de la piste à bétail N'Djamena-Laï Tchad

Author

Gaston, André, Dulieu, Dominique, Lamarque, Georges, and Lebrun, Jean-Pierre

Subjects
Bétail, Steppe, Prairie naturelle, Fourrage, Aménagement rural, Valeur nutritive, Pare-feu, F01 - Culture des plantes, Approvisionnement en eau, Savane
Published
1975

28. Crise du nomadisme pastoral et modernisation des transports dans le Sahel sénégalais du Ferlo

Author

Guy di Méo and Thierry Bérot-Inard

Subjects
Piste, Pare-feu, Fixation des nomades, Sécheresse, Attraction urbaine, Périphérie dominée, Sous-intégration régionale, Taxi-brousse, Political science, Geography, Planning and Development, General Earth and Planetary Sciences, Cart, Ferlo, Regional under-integration, Dominated periphery, urban attraction, Drought, Sedentarization of nomad, Fire-lane, Track, Senegal, Humanities
Abstract

Crisis in pastoral nomadism and transport modernization in the Senegalese Ferlo Sahel. In Ferlo (a district in Senegalese Sahel), the development of mechanized transport makes it possible to reach outlying towns and to go to Dakar more easily, while the more extensive use of carts makes travelling between camps and drillingsites easier. In both cases, this progress is concomitant with the transformation and recession of pastoral nomadism. The changes in the transport systems (or sometimes the creation of these systems) are not unrelated to a social change whose facets are multiple : a break with tradition, the attraction of urban centres, the monetarization of exchanges, state-control on cattlé-rearing, etc. The rudimentary transport network of Ferlo features among the most reliable helping factors of the domination the new urban middle-classes wield over the peripheral zone and its inhabitants., Dans le Sahel sénégalais du Ferlo, le développement des transports motorisés permet d'atteindre les villes limitrophes et de se rendre plus aisément à Dakar, tandis que la vulgarisation des charrettes facilite les déplacements entre campements et forages. Dans les deux cas, ces progrès s'effectuent alors que le nomadisme pastoral se transforme et se rétracte. La mutation, ou parfois la simple apparition des transports ne sont pas sans relation avec un changement social aux multiples facettes : rupture avec l'univers traditionnel, attraction urbaine, monétarisatson des échanges, encadrement des éleveurs... Le réseau de transport très élémentaire du Ferlo figure parmi les plus sûrs auxiliaires de la domination que les nouvelles bourgeoisies urbaines exercent sur cette périphérie et sur ses hommes., Bérot-Inard Thierry, di Méo Guy. Crise du nomadisme pastoral et modernisation des transports dans le Sahel sénégalais du Ferlo. In: Travaux de l'Institut Géographique de Reims, n°63-64, 1985. Les transports dans les pays en développement. pp. 95-112.

Published
1985

29. Projet d'aménagement forestier en zone de savanes cotières au Gabon

Author

Maître, Henri-Félix

Subjects
Graine, Travail du sol, Évolution, Dégât, Savane, Plantation, Pare-feu, Dispositif expérimental, Cerne, protection de la forêt, Conservation de la nature, P01 - Conservation de la nature et ressources foncières, Écosystème, Sylviculture, Tarif de cubage, Germination, Abattage d'arbres, forêt primaire, K70 - Dégâts causés aux forêts et leur protection, Croissance, Mangifera indica, Régénération naturelle, K10 - Production forestière, Régime sylvicole, Aucoumea klaineana, Espacement
Published
1988

30. Rapport de mission à Madagascar

Author

Maugé, M. and Bailly, Claude

Subjects
Plante ligneuse, Litière forestière, Travail du sol, Fertilisation, Âge, Sol, Régénération artificielle, Exploitation forestière, Régénération naturelle, Séchage, Pare-feu, Provenance, Choix des espèces, Carence minérale, Espacement
Published
1975

32. Compte-rendu d'activité 1976 Programme sylviculture

Author

Malvos, Claude

Subjects
Sylviculture, Bouturage, Formation, Fertilisation, Maladie des plantes, Plantation, Eucalyptus, Expérimentation, Pinus, Pare-feu, Populus, Dispositif expérimental, Entretien, Pépinière
Published
1977

35. Plan d'action forestier tropical - revue du secteur forestier de la Guinée - gestion des ressources forestières dispersées dans le terroir agricole

Author

CIRAD-CTFT - FRA

Subjects
Plante ligneuse, Aménagement forestier, Aménagement rural, forêt tropicale, Élevage, Agroforesterie, Système sylvopastoral, A50 - Recherche agronomique, Système agrosylvopastoral, Savane, Ressource forestière, Agriculture, Épuisement des ressources, Déboisement, K10 - Production forestière, Pare-feu, Choix des espèces, Incendie de forêt
Published
1988

37. Report of activity of the research convention between the French Direction forests and INRA. Synthesis on the prescribed burning technique in the Mediterranean area

Author

Valette, J.C., Unité de Recherches Forestières Méditerranéennes (URFM), Institut National de la Recherche Agronomique (INRA), and ProdInra, Migration

Subjects
[SDV] Life Sciences [q-bio], PARE-FEU, [SDV]Life Sciences [q-bio]
Abstract

7 ref. *Station de Sylviculture, INRA, Avignon Diffusion du document : Station de Sylviculture, INRA, Avignon

Published
1989

43. Plan de gestion des parcours de la zone I. Tambacounda, Sénégal

Author

Peyre De Fabrègues, Bernard

Subjects
Taux de charge, Graminée fourragère, Légumineuse fourragère, F01 - Culture des plantes, Amélioration des pâturages, Foin, Fourrage, Pâturages, calendrier cultural, Pare-feu, Brûlage dirigé, Conduite des herbages, Ressource végétale
Published
1979

45. Rapport annuel 1971-72 Programme 1972/1973

Author

GERDAT - COG

Subjects
Plante ligneuse, Graine, Intoxication, Anatomie du bois, Maladie des plantes, Multiplication végétative, Plantation, Lutte antiérosion, Eucalyptus, Séchage, Pare-feu, Régime sylvicole, Préservation du bois
Published
1972

46. Rapport annuel 1970-71

Author

GERDAT - COG

Subjects
Sylviculture, Plante ligneuse, Graine, Bouturage, Intoxication, Pinales, Anatomie du bois, Maladie des plantes, Multiplication végétative, Croissance, Tarêt, Insecticide, Plantation, Lutte antiérosion, Régénération naturelle, Pinus, Séchage, Pare-feu, Régime sylvicole, Aucoumea klaineana, Préservation du bois
Published
1971

49. Le ranch de Doli

Author

Dumas, Robert

Subjects
L01 - Elevage - Considérations générales, L02 - Alimentation animale, Projet de développement, Gain de poids, Méthode statistique, Force de travail, Pâturages, Transport, Analyse économique, Engraissement, Pâturage, Pare-feu, Matériel
Published
1973

Catalog

Books, media, physical & digital resources
See catalog results