Fonctionnement de Norman Network Protection

Norman Network Protection (NNP) est installé sur un ordinateur équipé de trois interfaces réseau, et il fonctionne comme une boîte noire qui analyse en temps réel la présence de nuisances dans le trafic de données.

Une interface réseau est réservée aux alertes et à la configuration à distance, tandis que les deux autres collectent des paquets réseau à analyser sur les segments réseau auxquelles elles sont connectées.

Lorsque deux interfaces sont connectées, une l’une d’elle propose une connexion réseau en amont ou « ouverte », et la deuxième propose une connexion en aval ou « protégée ». Les deux interfaces protègent les flux de données dans les deux sens. Les connexions réseau peuvent être de n’importe quel type physique, pour peu qu’il gère le protocole TCP/IP.  

NNP - How it works 1

Dans la figure ci-dessus, NNP exécute eth1 en « mode omnivore ». Cela signifie que tous les paquets réseau en provenance de la zone ouverte sont reçus, quelle que soit leur adresse de destination. Les paquets correspondant au type de protocole sélectionné sont ensuite rassemblés et transmis au moteur d’analyse qui contrôle la présence de code nocif. Si le groupe de paquets ne contient aucune nuisance, il est transmis à la zone protégée via eth2. Toutefois, si les paquets contiennent des nuisances, leur accès à la zone protégée est bloqué, et une alerte est envoyée sur le réseau via eth0.

La dérivation apporte vitesse et transparence

Les machines Norman Network Protection peuvent être placées n’importe où sur le réseau, et utilisées de différentes façons pour protéger l’intégralité ou certaines parties du réseau. Norman Network Protection fonctionne comme la couche de liaison de données du modèle OSI de transmission de données. Ceci permet à NNP de fonctionner avec plusieurs protocoles et offre plus de fonctions que les solutions proxy.

NNP - How it works 2

NNP reçoit des paquets Ethernet bruts ‘en direct du câble’ sur la couche de liaison de données. Si la trame Ethernet contient un paquet IP, il est transmis vers le haut de la hiérarchie NNP. Les adresses MAC sont stockées en vue d'un emploi ultérieur.

Recherche des nuisances par protocole

L’analyse par protocole de NNP est paramétrable et peut être activée ou non en temps réel.

NNP peut également être paramétré pour bloquer les protocoles, les ordinateurs et les segments de réseau, selon les infections et menaces présentes sur le réseau. En outre, NNP utilise la technologie Norman SandBox, qui est capable de bloquer les nuisances nouvelles et non découvertes, même si les fichiers répertoriant leurs signatures n’ont pas encore été distribués. NNP analyse les protocoles susceptibles d’accueillir un trafic nuisible.

Prise en charge multi-protocole 

NNP - How it works 3

  • HTTP – trafic de contenu Web normal, messagerie Web comprise 
  • SMTP – trafic de courrier entrant
  • POP3 – trafic de courrier sortant 
  • RPC – trafic de type appel de procédure distante 
  • FTP – protocole de transfert de fichiers 
  • TFTP – protocole simplifié de transfert de fichiers
  • CIFS/SMB – système de fichiers Internet commun aux ordinateurs fonctionnant sous MS Windows 
  • IRC - Internet Relay Chat, protocole système de chat

Chaque paquet reçu est envoyé au module d’analyse de protocole approprié. Chaque module de détection appelle le moteur de détection, qui, à son tour, demande des portions de données au paquet ou aux paquets suivants dans la séquence. Par ailleurs, si Norman SandBox est activé, les paquets reçus sont assemblés dans un environnement virtuel dans lequel le comportement du code est analysé. Si un code nuisible est détecté, il ne peut pas aller plus loin dans le réseau. NNP diffuse ensuite une alerte, en fonction de sa configuration.

NNP menu - Overview
NNP menu - Why secure your network
NNP menu - Deployment
NNP menu - How it works
NNP menu - Management
NNP menu - Analysis
NNP menu - Reference
NNP menu - Support
NNP menu - Try it!