• fr

Analyse comparée des technologies existantes

SECLAB ≠ Firewall

Un firewall a une approche logicielle « full stack » de cloisonnement des réseaux : si la règle de filtrage autorise un flux, c’est l’ensemble de la stack qui est transmise : couche réseau jusqu’à IP + couche applicative. Une attaque réseau sur les couches basses peut potentiellement ne pas être détectée. La surface d’attaque est donc plus élevée.

La plateforme SECLAB supprime les couches réseaux sur un guichet via une rupture protocolaire et en reconstruit de nouvelles totalement indépendantes sur l’autre guichet. Le cloisonnement des deux guichets est assuré par le Core (électronique) qui ne peut transmettre que la donnée. Aucune attaque réseau sur les couches basses ne peut traverser une plateforme SECLAB : la surface d’attaque est réduite seulement à la donnée qui peut optionnellement être filtrée.

Composition d'un firewall

  • Une carte mère avec un ou plusieurs processeurs (CPU),
  • Un système d’exploitation (OS) qui gère la configuration et le filtrage.

En cas de vulnérabilités logicielles de l’OS, de failles Zero-Day, un attaquant peut potentiellement exploiter ces failles et avoir accès à l’ensemble des interfaces réseaux gérées par le firewall : le firewall ne résiste pas à sa propre compromission.

Composition d'une plateforme SECLAB

  • 3 cartes mères indépendantes, avec chacune un ou plusieurs CPU,
  • Un OS type Linux sur 2 cartes (guichets d’échanges A et B), séparées par la 3ème carte mère 100% électronique (Core).

En cas de vulnérabilités logicielle de l’OS ou failles Zero-Day du guichet A, un attaquant peut potentiellement en prendre le contrôle mais n’aura pas accès au Core (carte électronique ne pouvant recevoir que la donnée ; son comportement ne peut être modifié) ni au guichet B.
La compromission d’un guichet ne contamine pas le domaine protégé : La plateforme SECLAB résiste à sa propre compromission.

SECLAB ≠ Data diode

La technologie de cloisonnement réseau SECLAB permet des échanges bidirectionnels ou unidirectionnel. Notre approche concernant les échanges unidirectionnels est très différente des data diodes traditionnelles.

Une data diode garantit les échanges unidirectionnels stricts mais avec une approche « full stack » : tout est transmis d’un réseau vers l’autre, des couches basses réseaux jusqu’à la couche applicative.
Une attaque réseau sur les couches basses peut potentiellement être transmise et permettre la compromission des systèmes.

Une plateforme SECLAB configurée électroniquement en mode unidirectionnel ne permet à aucune attaque réseau sur les couches basses de compromettre les systèmes : les couches réseaux sont supprimées sur le 1er guichet via une rupture protocolaire et reconstruites de manière totalement indépendantes sur l’autre guichet. Le cloisonnement des deux guichets est assuré par le Core qui ne peut transmettre que la donnée.
De plus, un Denelis peut potentiellement filtrer la couche applicative (fichier, protocole) pour réduire la surface d’attaque sur les systèmes cibles.

En savoir plus

Complémentarité

Les solutions de monitoring

Elles permettent de détecter les comportements anormaux. Ces solutions se positionnent en aval de nos solutions en opérant la prévention et la détection. Notre technologie permet le cloisonnement entre domaines de confiance tout en autorisant le « passage » de fichiers sécurisés librement. Ainsi, SECLAB devient un « enabler » en permettant à un centre de monitoring de superviser plusieurs domaines disjoints.

Les solutions d’analyse et de décontamination

Notre technologie unique de rupture protocolaire est complémentaire aux solutions telles que les pare-feux ou antivirus. La combinaison de ces solutions et des solutions SECLAB sur un flux assure un niveau de sécurité plus élevé au sein des infrastructures critiques.

Top