EP1794934A1 - Method, device a program for detecting an unauthorised connection to access points - Google Patents

Method, device a program for detecting an unauthorised connection to access points

Info

Publication number
EP1794934A1
EP1794934A1 EP05805802A EP05805802A EP1794934A1 EP 1794934 A1 EP1794934 A1 EP 1794934A1 EP 05805802 A EP05805802 A EP 05805802A EP 05805802 A EP05805802 A EP 05805802A EP 1794934 A1 EP1794934 A1 EP 1794934A1
Authority
EP
European Patent Office
Prior art keywords
frames
address
time
frame
access point
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP05805802A
Other languages
German (de)
French (fr)
Inventor
Laurent Butti
Roland Duffau
Franck Veysset
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1794934A1 publication Critical patent/EP1794934A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Definitions

  • the present invention relates to wireless access technologies to telecommunications networks. It applies in particular to IEEE 802.11 type technologies standardized by the Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 technologies are widely used in networks . corporate ,, residentjejs_ainsl. than . in areas of use, intensive. ("hot spots"). More particularly, the invention relates to wireless network hacking by access point address spoofing.
  • IEEE 802.11 type technologies standardized by the Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 technologies are widely used in networks . corporate ,, residentjejs_ainsl. than . in areas of use, intensive. ("hot spots"). More particularly, the invention relates to wireless network hacking by access point address spoofing.
  • frame is meant a set of data forming a block transmitted in a network and containing useful data and service information, generally located in a header area of the block.
  • a frame can be described as a data packet, datagram, data block, or other expression of this type.
  • the access point is an essential element of communication between a client and a network. Therefore, it is a critical point, and therefore interesting for attackers. Attacks using fake access points appeared in order to:
  • intercept communications by performing a "man in the middle” attack, ie by simulating the behavior of a legitimate access point towards the wireless user and that of a wireless user vis-à-vis the legitimate access point to intercept all communications;
  • a known technique for detecting MAC address spoofing relies on the analysis of the Sequence Number ("Sequence Number”) field of frames, or data packets, IEEE802.11 (see J. Wright, "Detecting Wireless LAN”). MAC Address Spoofing ", http://home.jwu.edu/jwright/, January 21, 2003).
  • Sequence Number Sequence Number
  • MAC Address Spoofing ", http://home.jwu.edu/jwright/, January 21, 2003).
  • These sequence numbers managed at low level in the radio card, are necessarily incremented by one unit for each packet sent. This makes it possible to identify important variations between several successive packets sent by the same MAC address. By comparing these variations with predefined thresholds, it is possible to detect anomalies in the packets appearing coming from a MAC address, and to deduce the probable usurpation of this address by an attacker.
  • the invention proposes a new technique for detection of access point spoofing by using time information contained in frames.
  • a passive radio listening makes it possible to recover exchanged frames.
  • Specific frames identifying access points are stored.
  • time information present in the frames is compared. If the difference between the time information does not correspond to an expected value, then there is detection of an address spoofing and possibly triggering an alarm signaling the access point address spoofing.
  • Frames are data packets whose structure and content are defined in the communication standard used.
  • the invention proposes a method for detecting address spoofing in a wireless network.
  • the method comprises the steps of obtaining frames comprising an address of a device having transmitted the frame and a time tag representative of the instant of transmission of the frame by said device; analyzing the time tags included in the frames having the same transmission device address; and detecting a spoofing of said address based on the analysis of said time tags.
  • the invention proposes a computer program on a data medium and loadable in the internal memory of a computer associated with a wireless interface, the program comprising portions of code for the execution of the steps of the process when the program - AT -
  • the data carrier may be a hardware storage medium, for example a CDROM, a magnetic diskette, a hard disk, a memory circuit, or a transmissible medium such as an electrical, optical or radio signal.
  • the invention proposes a device for detecting an address spoof in a wireless network.
  • the detection device comprises means for obtaining frames, said frames comprising an address of an A - device 'that sent the frame ⁇ ' ⁇ and a "time stamp representative of the time of the frame transmission by the device and time tag analysis means included in the frames having the same transmission device address, said analysis means being able to detect a spoofing of said address as a function of the analysis of said time tags.
  • the invention proposes a monitoring system for a wireless network, comprising means for capturing a set of frames and a detection device as previously defined.
  • the frames further comprise time interval information separating the sending of two successive frames by the transmitting device.
  • the analysis of the time tags of two frames corresponding to the same transmission device address comprises the steps of calculating a difference between the time tags of the two frames, comparing the calculated difference with the time interval, and detecting the spoofing of the sender's address when the calculated difference is not equal to a multiple of the time interval.
  • the multiple is less than a predefined integer.
  • the frames further comprise a destination address.
  • the analysis of the time tags of two frames corresponding to the same transmission device address and having the same destination address comprises the steps of calculating a difference between the time tags of the two frames, comparing the difference calculated with a threshold, and detection of the usurpation of the address of the transmitter when the calculated difference is greater than or equal to said threshold.
  • an address spoof is detected if the difference between the time tags of the two frames is zero. .
  • FIG. 1 represents an access point theft detection device according to the invention
  • FIG. 2 represents an exemplary flow diagram of the operation of the device of FIG. 1,
  • FIG. 3 represents an exemplary implementation of a detection device within a wireless network.
  • a client device must identify at least one access point; - A suitable access point to the client device, if multiple access points are available the client chooses the one that seems best suited to him according to various selection criteria, the client requests to authenticate with the access point;
  • the client requests to associate with the access point.
  • An access point spoofing attack occurs as early as the identification phase of the access point before the authentication request. This identification phase can be done according to two techniques.
  • a first technique is carried out passively by the client device.
  • the client device listens one or more radio channels, successively or simultaneously, to search for frames having specific beacon frames, the IEEE802.11 standard calls them BEACON Trame.
  • the BEACON frames are sent regularly by an access point and contain various information including: a network identifier (SSID), the MAC address of the access point, and communication parameters usable by the access point. From this information, the customer. has _desjnfQrmatioJis_to initiate communication with the access point and possibly to choose the most appropriate access point to communicate if multiple access points are detected.
  • a second technique is performed actively by the client device, this is particularly the case when the access points operate in "hidden” mode.
  • the client sends an access point search frame, named PROBE REQUEST frame in the IEEE802.11 standard.
  • the PROBE REQUEST frames contain, among others, the desired network identifier (SSID) and the MAC address of the client device.
  • An access point corresponding to the requested network which receives a PROBE REQUEST frame responds by sending a PROBE RESPONSE frame which includes information among which: a network identifier (SSID), the MAC address of the access point , the MAC address of the client device, and communication parameters that can be used by the access point.
  • SSID network identifier
  • the attacker When using an illegitimate access point on the radio path, the attacker usually uses a complete spoofing technique completed by the access point: same network name (SSID), same MAC address. But it does not usually use the same radio channel for radio interference issues.
  • SSID network name
  • MAC address same MAC address
  • the invention is based on a parameter present in the BEACON frames and the PROBE RESPONSE 1 frames, namely a time tag (called TIMESTAMP in the standard). It is required for these two types of frames, it is coded on 64 bits and is expressed in microseconds, which allows to account for 2 of 64 microseconds (approximately 585,000 years).
  • the time tag of a frame includes a temporal information relating to the transmission of this frame, here constituted by the value of a clock of the access point which transmitted the frame at the transmission time of this frame. The clock is usually set to zero when the access point is started.
  • the time tag is generated by the pilot program of the 802.11 radio card at the time of transmission of the frame. It is therefore possible thanks to this label to know how long the access point has been started.
  • the invention is based therefore "safe detection of a difference between the timestamps generated by two access points: one legitimate and one illegitimate While two access points communicate two labels. different time at the same time when they have the same MAC address, it is then possible to distinguish them, and thus to affirm that an attacker is usurping the MAC address of a legitimate access point This is valid for BEACON frames and PROBE RESPONSE frames.
  • both types of attacks are detected simultaneously. But, it is possible to treat separately the detection of these two types of attacks.
  • BEACON frames are regularly transmitted by an access point.
  • Each BEACON frame has a time tag that is incremented by the time between sending two frames.
  • the time separating two BEACON frames corresponds to a fixed time interval which is indicated by an interval information (called BEACON INTERVAL in the IEEE802.11 standard) which is present in the frame.
  • BEACON INTERVAL in the IEEE802.11 standard
  • the time tag is incremented by a duration corresponding to the interval information.
  • it is possible that some frames are lost for various reasons. To avoid false alarms due to a loss of frame, it is possible to simply check that the time difference between two frames is equal to a non-zero multiple of the interval information. If two frames are received with the same time tag, that is, if the time difference between the two frames is zero, it is clear that the frame has been issued twice by a legitimate access point and an illegitimate access point.
  • the time tag of the frame that has just been received is compared with the time tag of the previous frame, and the difference between the two temporal labels: - If the value of the difference between the time tags is different from a multiple of the interval information, then the current and previous frames were issued by two different devices: detection of the illegitimate access point. Or if the value of the difference between the time labels is equal to zero, then the same frame was emitted twice, which is a sign of an active attack of an illegitimate access point that synchronized its time tag. with that of the access point, legitimate, - but the false access point is still -detected. It is then necessary to emit an alarm and delete the two frames concerned from the table to reset the detection.
  • the frame is valid and sent by a device whose MAC address has not been usurped. We can delete the previous frame of the table and keep only the last frame received.
  • the method described above can be improved by considering an additional detection threshold.
  • an illegitimate access point can synchronize with the legitimate access point. The detection is then done on the repetition of a time tag.
  • an illegitimate access point it is possible for an illegitimate access point to anticipate this detection by providing a time tag that uses a time tag far removed from the time tag of the legitimate access point while maintaining a label difference that is a multiple of interval information.
  • a comparison is added with a maximum difference threshold which is equal to the sliding time window of study.
  • the threshold is added simply by considering that the multiple of the interval information must be less than a predefined integer corresponding to the sliding study time slot divided by the interval information. In this case, it is necessary to keep all the stored frames that are received for a period corresponding to the sliding time window of study.
  • PROBE RESPONSE frames For the detection of attacks using PROBE RESPONSE frames, it should be noted that these messages are one-off messages sent in response to a PROBE REQUEST frame issued by a client device. This mechanism is implemented when access points operate in "hidden" mode. Normally, a PROBE REQUEST frame corresponds to a single PROBE RESPONSE frame. However, it is possible that the PROBE RESPONSE frame is not correctly received by the client device and that the latter repeats its request and that the same access point sends a few PROBE RESPONSE frames to the same client device. These messages are few and relatively close in time because they correspond to the repetitions of PROBE REQUEST frames which are for example issued every 100 ms by the client device in the absence of response.
  • the PROBE RESPONSE frame time tag of the illegitimate access point corresponds to the duration since its initialization. The probability that this temporal label is close to that of the legitimate access point is relatively low, so it can be considered that if two time labels are too far apart in time, for example of a duration greater than a few seconds, it can not be the same access point.
  • the illegitimate access point could use the same time tag as a PROBE RESPONSE frame.
  • the detection of two PROBE RESPONSE frames having the same time tag means that the two frames do not come from a single access point.
  • a third case could be considered where the illegitimate access point would synchronize with the legitimate access point to provide consistent time messages. However, considering the time required to synchronize the illegitimate access point with the legitimate access point, it is unlikely that such synchronization could be successfully achieved because there are few messages sent on a rather short duration.
  • One way to identify such attacks is:
  • RESPONSE in an array of a memory for a given duration It is not necessary to store frames indefinitely because these frames are of a one-off nature. It is necessary to use a slippery time window of study which is important enough to be sure that no PROBE RESPONSE frame can be taken into account after a first frame but short enough not to need to use memory space unnecessarily. For example, a given maximum duration of 10 seconds may be suitable.
  • the array On receipt of a PROBE RESPONSE frame, and after having stored its frame in the array, the array is searched for a frame corresponding to a previous PROBE RESPONSE frame having the same access point MAC address, ie ie the same sender address, and the same user device MAC address, i.e. the same destination address.
  • the difference value is lower than the threshold and not zero, then the frame is valid and sent by a device whose MAC address has not been usurped. We can delete the previous frame of the table and keep only the last frame received.
  • FIG. 1 describes a detection device comprising a computer 1 connected to a plurality of radio interfaces 2.
  • the computer 1 is for example a standard computer which comprises a central unit 10 connected to a central bus 11.
  • a memory 12 which may comprise several memory circuits is connected to the bus 11 to cooperate with the central unit 10, the memory 12 serving both data memory and program memory.
  • Zones 13 and 14 are provided for storing BEACON frames and PROBE RESPONSE frames.
  • a video interface 15 is connected to the bus 11 in order to be able to display messages for an operator.
  • the screen is not shown because it is not necessary. However, according to an alternative embodiment, it is possible to use the screen to display alarms to an operator when an illegitimate access point is detected.
  • a peripheral management circuit 16 is connected to the bus 11 to link with different peripherals according to a known technique.
  • a network interface 17 which makes it possible to communicate with a not shown wired network
  • a hard disk 18 serving as the main read-only memory for the programs and data
  • a floppy diskette reader 19 a CDROM reader 20, a keyboard 21, a mouse 22 and a standard interface port 23.
  • the floppy diskette reader 19, the CDROM reader 20, the keyboard 21 and the mouse 22 are removable. can be deleted after installation of an access point spoof detection software in the hard disk 18.
  • the hard disk 18 can be replaced by another type of equivalent read-only memory, such as for example a Flash memory type .
  • the standard interface port 23 is a port compatible with a standard of communication between the computer and des. external interfaces. In our example, the interface port 23 is for example a PCMCIA standard port or a USB standard port.
  • At least one radio interface 2 is connected to the interface port 23, but according to different variants, it is possible to use several radio interfaces 2.
  • the radio interfaces compatible with the IEEE802.11 standard have radio means only allowing to listen simultaneously a reduced number of radio channels.
  • the one or more interfaces are configured to listen to all radio traffic on each listened channel.
  • this interface will be configured to listen to all messages exchanged on a channel, and the program will change channels regularly to listen sequentially to all channels.
  • Figure 2 illustrates an operating flow chart of a program implementing access point spoofing detection.
  • the two types of frames are detected with global listening of the entire radio communication band.
  • the program begins with a step 100, during which the Radio interfaces 2 are configured in global listening mode to receive and decode all the frames conveyed by radio on the listened channels. During this step 100, the radio interfaces are positioned on channels to cover all the channels usable by a wireless network in a given space. The detection device is then in a listening stage 101.
  • the listening step 101 is a waiting step for all the radio interfaces 2. If a message does not contain any frames, it remains in tune. If a radio interface 2 receives a frame, then it decodes it and transmits the frame to the central unit 10. The test 102 illustrates this change of state for a radio interface 2. It should be noted that several interfaces can receive frames at the same time and that frames can be delayed in the processing at the level of the interface manager which serves as a buffer between the radio interfaces 2 and the central unit 10. This type of standby depends on the operating system of the computer and will not be described.
  • the central unit On receiving a frame, the central unit identifies, during the test 103, whether it is a BEACON frame or a PROBE REQUEST frame. If it is not a BEACON or PROBE REQUEST frame, then the operation stops there and the device returns to the listening step 101. If it is a BEACON frame or PROBE REQUEST, the frame is then stored in the memory 12 during a storage step 104.
  • the BEACON frames are stored in a first array corresponding to the memory zone 13, and the PROBE REQUEST frames are stored in a second array corresponding to the memory zone 14.
  • the tables are purified in order to erase the stored frames that are too old to avoid unnecessary storage of data. Frames considered too old are those that have been stored for a period longer than the study window. Then a comparison step 105 is performed.
  • the comparison step 105 consists in comparing the last stored frame with all the frames present in the table where it has been stored.
  • the BEACON frames all the previous BEACON frames having the same transmitter MAC address are searched in the table, then, for the identified frames, the conformity of the time tags is checked, as indicated above.
  • the PROBE RESPONSE frames all the frames corresponding to previous PROBE RESPONSE frames having the same transmitter MAC address and the same destination MAC address are searched in the table, for the identified frames, the conformity of the frames is verified. time labels. as . indicated previously.
  • the test 106 is carried out.
  • the test 106 closes the processing carried out on the frame, if the time tag is compliant with the time tag of each frame that has been compared, then the central unit returns to the listening step 101. If the difference does not conform to an expected difference as previously defined, then an alarm step 107 is performed.
  • the alarm step 107 consists of notifying an alarm indicating that an access point is being attacked by address spoofing.
  • the notification of the alarm is preferably done by sending an electronic message, via the network interface 17, to a network server that controls the radio access points. If the detection device is connected to a control screen, it is also possible to display the alarm on the control screen. Then, as indicated previously, the stored frames that are the subject of the alarm are erased from the table where they were stored and we return to the listening step 101.
  • Figure 3 shows a wireless network disposed in a large room 200.
  • a server 201 supervises a wired network 202.
  • Access points 203 to 208 are connected to the wired network 202 and serve as bridges between the wireless network and the wired network.
  • Access points 203 to 208 are located in room 200 at different locations to obtain good radio coverage.
  • An access point operating, for example, in the frequency range at 5 GHz can cover a few hundred m 2 . Otherwise, 5 GHZ signals pass through obstacles such as partitions and the coverage of an access point can be reduced to a few tens of m 2 . To cover an airport correspondence room or an office shelf, several access points are required.
  • detection devices 221 and 222 In order to ensure that no access point address spoofing attack takes place, detection devices 221 and 222 should be placed.
  • Each detection device 221 or 222 corresponds, for example, to the device. represented in FIG. 1 and implements a program corresponding to the flowchart of FIG. 2.
  • the detection devices 221 and 222 are connected to the network 202 and each have a radio coverage 231 and 232 shown in broken lines. Normally, the detection devices are also placed to provide radio coverage over the entire room 200. However, it is possible that regions of the room 200 are not physically accessible to a device seeking to enter the network. and therefore it is not necessary to cover them. Similarly, an area that is not covered by at least one of the access points may not be controlled because the intruder must necessarily be in an area covered by an access point to receive frames from the point of access. legitimate access.
  • the placement of the detection devices is subject to the same radio coverage constraints as the access points. However, access points must also provide a certain amount of data that can impose many overlaps of their coverage. The devices are not subject to this problem of minimum flow rate to ensure and may be less numerous than the access points. Detection devices having common coverage areas also provide two alarms instead of one if an intruder is placed in a common area, which makes the detection more reliable.

Abstract

The invention relates to a method for detecting the unauthorised connection to a wireless network. A passive radio listening (101) males it possible to retrieve exchanged frames. Specific frames identifying the access points are stored (104). When two frames coming from the same access point are recorded, types of time information are compared (105). When the difference between types of time information does not correspond to a desired value, the unauthorised connection is detected.

Description

PROCEDE, DISPOSITIF ET PROGRAMME PE DETECTION D'USURPATION DE POINT D'ACCES. METHOD, DEVICE AND PROGRAM PE DETECTION OF ACCESS POINT USURPATION.
La présente invention concerne les technologies d'accès sans fil à des réseaux de télécommunications. Elle s'applique notamment aux technologies de type IEEE 802.11 normalisées par Plnstitute of Electrical and Electronics Engineers (IEEE). Les technologies IEEE 802.11 sont très utilisées dans les réseaux . d'entreprise,, résidentjejs_ainsl. que . dans.J.es .zones, d'usage, intensif. ("hot spots"). Plus particulièrement, l'invention se rapporte à un piratage de réseau sans fil par usurpation d'adresse de point d'accès.The present invention relates to wireless access technologies to telecommunications networks. It applies in particular to IEEE 802.11 type technologies standardized by the Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 technologies are widely used in networks . corporate ,, residentjejs_ainsl. than . in areas of use, intensive. ("hot spots"). More particularly, the invention relates to wireless network hacking by access point address spoofing.
Par le terme "trame", on entend désigner un ensemble de données formant un bloc transmis dans un réseau et renfermant des données utiles et des informations de service, généralement situées dans une zone d'en-tête du bloc. Une trame peut-être qualifiée de paquet de données, de datagramme, de bloc de données, ou autre expression de ce type.By the term "frame" is meant a set of data forming a block transmitted in a network and containing useful data and service information, generally located in a header area of the block. A frame can be described as a data packet, datagram, data block, or other expression of this type.
Avec le succès et la démocratisation des technologies d'accès sans fil, des techniques de piratage sont apparues.With the success and democratization of wireless access technologies, hacking techniques have emerged.
Actuellement, un des risques les plus importants pour ce type de réseaux est l'attaque par point d'accès illégitime, qui consiste à créer un faux point d'accès en usurpant complètement les caractéristiques, notamment l'adresse de couche MAC ("Médium Access Control"), d'un point d'accès légitime, contrôlé par l'administrateur du réseau sans fil. Les faux points d'accès n'usurpant pas une adresse MAC d'un point d'accès légitime sont relativement faciles à détecter par simple vérification d'adresse MAC.Currently, one of the most important risks for this type of network is the illegitimate access point attack, which consists of creating a false access point by completely usurping the features, including the MAC layer address ("Medium"). Access Control "), from a legitimate access point, controlled by the wireless network administrator. False access points that do not overwrite a MAC address of a legitimate access point are relatively easy to detect by simply checking the MAC address.
Le point d'accès est un élément primordial de la communication entre un client et un réseau. De ce fait, c'est un point critique, et donc intéressant pour les attaquants. Des attaques mettant en œuvre de faux points d'accès sont apparues afin de:The access point is an essential element of communication between a client and a network. Therefore, it is a critical point, and therefore interesting for attackers. Attacks using fake access points appeared in order to:
• récupérer des identifiants de connexion pour des utilisateurs qui sont authentifiés au moyen de "portails captifs" en se faisant passer pour un point d'accès légitime afin d'intercepter des données d'identification telles que les identifiants de connexion;• retrieve login credentials for users who are authenticated by means of "captive portals" by masquerading as a legitimate access point to intercept identification data such as login credentials;
intercepter des communications en réalisant une attaque de type "man in the middle", c'est-à-dire en simulant le comportement d'un point d'accès légitime vis-à-vis de l'utilisateur sans fil et celui d'un utilisateur sans fil vis- à-vis du point d'accès légitime afin d'intercepter toutes les communications; intercept communications by performing a "man in the middle" attack, ie by simulating the behavior of a legitimate access point towards the wireless user and that of a wireless user vis-à-vis the legitimate access point to intercept all communications;
ouvrir tout un- réseau -d'entreprise en " laissant ~~uτπ~ point "d'accès directement connecté au réseau de l'entreprise en mode ouvert, c'est-à- dire sans aucune authentification ni chiffrement de la voie radio, ce point d'accès acceptant par défaut toute demande de connexion. a- -d'entreprise open network while "leaving ~~ ~ uτπ spot" directly connected access to the corporate network in open mode, that is to say without any authentication or encryption of the radio channel , this access point accepting any connection request by default.
Ces attaques sont difficilement détectables quand elles mettent en œuvre une technique d'usurpation d'adresse MAC. Il est alors plus difficile de distinguer deux équipements différents de la même catégorie (point d'accès) émettant à partir d'une même adresse MAC. L'arrivée des nouveaux standards plus sécurisés (1EEE802.11i) n'empêchera pas l'utilisation de points d'accès illégitimes car l'intérêt pour l'attaquant sera toujours présent.These attacks are difficult to detect when they implement a MAC address spoofing technique. It is then more difficult to distinguish two different equipments of the same category (access point) emitting from the same MAC address. The arrival of the new and more secure standards (1EEE802.11i) will not prevent the use of illegitimate access points because the interest for the attacker will always be present.
Il existe donc un besoin pour un procédé de détection d'usurpation d'adresse MAC de point d'accèsThere is therefore a need for an access point MAC address spoofing detection method
Une technique connue de détection d'usurpation d'adresse MAC repose sur l'analyse du champ de numéro de séquence ("Séquence Number") des trames, ou paquets de données, IEEE802.11 (voir J. Wright, "Detecting Wireless LAN MAC Address Spoofing", http://home.jwu.edu/jwright/, 21 janvier 2003). Ces numéros de séquence, gérés à bas niveau dans la carte radio, sont obligatoirement incrémentés d'une unité à chaque paquet émis. Ceci permet de repérer des variations importantes entre plusieurs paquets successifs émis par une même adresse MAC. En comparant ces variations à des seuils prédéfinis, on peut détecter des anomalies dans les paquets apparaissant en provenance d'une adresse MAC, et en déduire la probable usurpation de cette adresse par un attaquant. Cette technique nécessite la gestion de seuils très précis et délicats à positionner. Il est difficile de la mettre en œuvre à elle seule et de s'assurer de l'absence de faux positifs (fausses alarmes) et de faux négatifs (attaques non détectées). La difficulté principale réside dans la gestion des pertes de paquets, par exemple lors d'une transmission à longue distance. En effet, certains paquets sont alors perdus, ce qui entraîne des problèmes de faux positifs car les numéros de séquence varient fortement d'un paquet à l'autre. Il est nécessaire de gérer les seuils de détection de manière très fine. C'est la raison pour laquelle il est intéressant de coupler ce type de technique avec une autre afin de cqrré]e_r_(e_s_aiarmes_et.d!.avoir_uπe.confiance-plus-élevée- dans un ensemble de plusieurs techniques plutôt qu'une seule.A known technique for detecting MAC address spoofing relies on the analysis of the Sequence Number ("Sequence Number") field of frames, or data packets, IEEE802.11 (see J. Wright, "Detecting Wireless LAN"). MAC Address Spoofing ", http://home.jwu.edu/jwright/, January 21, 2003). These sequence numbers, managed at low level in the radio card, are necessarily incremented by one unit for each packet sent. This makes it possible to identify important variations between several successive packets sent by the same MAC address. By comparing these variations with predefined thresholds, it is possible to detect anomalies in the packets appearing coming from a MAC address, and to deduce the probable usurpation of this address by an attacker. This technique requires the management of very precise and delicate thresholds to position. It is difficult to implement on its own and make sure there are no false positives (false alarms) and false negatives (undetected attacks). The main difficulty lies in the management of packet losses, for example during a long-distance transmission. Indeed, some packets are lost, which leads to false positive problems because the sequence numbers vary greatly from one packet to another. It is necessary to manage the detection thresholds very finely. This is why it is interesting to couple this type of technique with another one in order to combine e_r_ (e_s_aiarmes_et.d.a_e_e.confiance-higher-in a set of several techniques rather than one.
L'invention propose une nouvelle technique de détection d'usurpation de point d'accès par utilisation d'informations temporelles contenues dans des trames. Une écoute radio passive permet de récupérer des trames échangées. Des trames spécifiques identifiant des points d'accès sont stockées. Lorsque deux trames provenant d'un même point d'accès sont mémorisées, des informations temporelles présentes dans les trames sont comparées. Si la différence entre les informations temporelles ne correspond pas à une valeur attendue, alors il y a détection d'une usurpation d'adresse et éventuellement déclenchement d'une alarme signalant l'usurpation d'adresse de point d'accès. Les trames sont des paquets de données dont la structure et le contenu sont définis dans le standard de communication utilisé.The invention proposes a new technique for detection of access point spoofing by using time information contained in frames. A passive radio listening makes it possible to recover exchanged frames. Specific frames identifying access points are stored. When two frames coming from the same access point are stored, time information present in the frames is compared. If the difference between the time information does not correspond to an expected value, then there is detection of an address spoofing and possibly triggering an alarm signaling the access point address spoofing. Frames are data packets whose structure and content are defined in the communication standard used.
Selon un premier aspect, l'invention propose un procédé de détection d'usurpation d'adresse dans un réseau sans fil. Le procédé comprend les étapes d'obtention de trames comprenant une adresse d'un dispositif ayant émis la trame et une étiquette temporelle représentative de l'instant d'émission de la trame par ledit dispositif; d'analyse des étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission; et de détection d'une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.According to a first aspect, the invention proposes a method for detecting address spoofing in a wireless network. The method comprises the steps of obtaining frames comprising an address of a device having transmitted the frame and a time tag representative of the instant of transmission of the frame by said device; analyzing the time tags included in the frames having the same transmission device address; and detecting a spoofing of said address based on the analysis of said time tags.
Selon un deuxième aspect, l'invention propose un programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à une interface sans fil, le programme comprenant des portions de code pour l'exécution des étapes du procédé lorsque le programme - A -According to a second aspect, the invention proposes a computer program on a data medium and loadable in the internal memory of a computer associated with a wireless interface, the program comprising portions of code for the execution of the steps of the process when the program - AT -
est exécuté sur ledit ordinateur. Le support de données peut être un support matériel de stockage, par exemple un CDROM, une disquette magnétique, un disque dur, un circuit de mémoire, ou bien un support transmissible tel qu'un signal électrique, optique ou radio.is executed on said computer. The data carrier may be a hardware storage medium, for example a CDROM, a magnetic diskette, a hard disk, a memory circuit, or a transmissible medium such as an electrical, optical or radio signal.
Selon un autre aspect, l'invention propose un dispositif de détection d'une usurpation d'adresse dans un réseau sans fil. Le dispositif de détection comprend des moyens d'obtention de trames, lesdites trames comprenant une adresse dAun - dispositif' ayant émis lâ~ Trame' et ~ùnë "étiquette temporelle représentative de l'instant d'émission de la trame par le dispositif; et des moyens d'analyse des d'étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission, lesdits moyens d'analyse étant aptes à détecter une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.According to another aspect, the invention proposes a device for detecting an address spoof in a wireless network. The detection device comprises means for obtaining frames, said frames comprising an address of an A - device 'that sent the frame ~' ~ and a "time stamp representative of the time of the frame transmission by the device and time tag analysis means included in the frames having the same transmission device address, said analysis means being able to detect a spoofing of said address as a function of the analysis of said time tags.
Selon un aspect plus général, l'invention propose un système de surveillance pour un réseau sans fil, comprenant des moyens pour capter un ensemble de trames et un dispositif détection tel que précédemment défini.According to a more general aspect, the invention proposes a monitoring system for a wireless network, comprising means for capturing a set of frames and a detection device as previously defined.
Selon un mode de réalisation particulier, les trames comportent en outre une information d'intervalle temporel séparant l'envoi de deux trames successives par le dispositif d'émission. L'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission comporte les étapes de calcul d'une différence entre les étiquettes temporelles des deux trames, de comparaison de la différence calculée avec l'intervalle temporel, et de détection de l'usurpation de l'adresse de l'émetteur lorsque la différence calculée n'est pas égale à un multiple de l'intervalle temporel. Préférentiellement, le multiple est inférieur à un entier prédéfini.According to a particular embodiment, the frames further comprise time interval information separating the sending of two successive frames by the transmitting device. The analysis of the time tags of two frames corresponding to the same transmission device address comprises the steps of calculating a difference between the time tags of the two frames, comparing the calculated difference with the time interval, and detecting the spoofing of the sender's address when the calculated difference is not equal to a multiple of the time interval. Preferably, the multiple is less than a predefined integer.
Selon un autre mode de réalisation particulier, les trames comportent en outre une adresse de destination. L'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission et ayant une même adresse de destination comporte les étapes de calcul d'une différence entre les étiquettes temporelles des deux trames, de comparaison de la différence calculée avec un seuil, et de détection de l'usurpation de l'adresse de l'émetteur lorsque la différence calculée est supérieure ou égale audit seuil.According to another particular embodiment, the frames further comprise a destination address. The analysis of the time tags of two frames corresponding to the same transmission device address and having the same destination address comprises the steps of calculating a difference between the time tags of the two frames, comparing the difference calculated with a threshold, and detection of the usurpation of the address of the transmitter when the calculated difference is greater than or equal to said threshold.
Selon un mode préféré, on détecte une usurpation d'adresse si la différence entre les étiquettes temporelles des deux trames est nulle. .According to a preferred mode, an address spoof is detected if the difference between the time tags of the two frames is zero. .
L'invention sera mieux comprise et d'autres particularités et avantages apparaîtront à la lecture de la description qui va suivre, la description faisant référence aux dessins annexés parmi lesquels ; ;... The invention will be better understood and other features and advantages will appear on reading the description which follows, the description referring to the appended drawings among which; ; ...
la figure 1 représente un dispositif de détection d'usurpation de point d'accès selon l'invention,FIG. 1 represents an access point theft detection device according to the invention,
la figure 2 représente un exemple d'organigramme de fonctionnement du dispositif de la figure 1 ,FIG. 2 represents an exemplary flow diagram of the operation of the device of FIG. 1,
la figure 3 représente un exemple de mise en œuvre d'un dispositif de détection au sein d'un réseau sans fil.FIG. 3 represents an exemplary implementation of a detection device within a wireless network.
Dans un premier temps, nécessaire à la compréhension de l'invention, il convient de détailler le procédé d'association d'un client à un point d'accès selon le standard IEEE802.11, l'association correspondant à la connexion d'un client au réseau par liaison radio. L'association se déroule en plusieurs phases :As a first step in understanding the invention, it is necessary to detail the method of associating a client with an access point according to the IEEE802.11 standard, the association corresponding to the connection of a customer to the network over the air. The association takes place in several phases:
- tout d'abord, un dispositif client doit identifier au moins un point d'accès ; - un point d'accès convenant au dispositif client, si plusieurs points d'accès sont disponibles le client choisit celui qui lui paraît le mieux adapté selon différents critères de choix, le client demande à s'authentifier auprès du point d'accès ;firstly, a client device must identify at least one access point; - A suitable access point to the client device, if multiple access points are available the client chooses the one that seems best suited to him according to various selection criteria, the client requests to authenticate with the access point;
- si l'authentification a réussi, alors le client demande à s'associer auprès du point d'accès.- If the authentication was successful, then the client requests to associate with the access point.
Une attaque par usurpation de point d'accès se déroule dès la phase d'identification du point d'accès avant la demande d'authentification. Cette phase d'identification, peut se faire selon deux techniques.An access point spoofing attack occurs as early as the identification phase of the access point before the authentication request. This identification phase can be done according to two techniques.
Une première technique est réalisée de manière passive par le dispositif client. Le dispositif client écoute un ou plusieurs canaux radio, de manière successive ou simultanée, pour rechercher des trames ayant des trames spécifiques dites de balise, le standard IEEE802.11 les nomme Trame BEACON. Les trames BEACON sont envoyées régulièrement par un point d'accès et contiennent différentes informations parmi lesquelles: un identifiant du réseau (SSID), l'adresse MAC du point d'accès, et des paramètres de communication utilisables par le point d'accès. A partir de ces informations, le client. dispose _desjnfQrmatioJis_permettant d'amorcer une communication avec le point d'accès et éventuellement de choisir le point d'accès le plus approprié pour communiquer si plusieurs points d'accès sont détectés.A first technique is carried out passively by the client device. The client device listens one or more radio channels, successively or simultaneously, to search for frames having specific beacon frames, the IEEE802.11 standard calls them BEACON Trame. The BEACON frames are sent regularly by an access point and contain various information including: a network identifier (SSID), the MAC address of the access point, and communication parameters usable by the access point. From this information, the customer. has _desjnfQrmatioJis_to initiate communication with the access point and possibly to choose the most appropriate access point to communicate if multiple access points are detected.
Une deuxième technique est réalisée de manière active par le dispositif client, c'est notamment le cas lorsque les points d'accès fonctionnent en mode "caché". Le client envoie une trame de recherche de points d'accès, nommée trame PROBE REQUEST dans le standard IEEE802.11. Les trames PROBE REQUEST contiennent, entre autres, l'identifiant du réseau (SSID) recherché et l'adresse MAC du dispositif client. Un point d'accès correspondant au réseau demandé qui reçoit une trame PROBE REQUEST répond par l'envoi d'une trame PROBE RESPONSE qui comporte des informations parmi lesquelles : un identifiant du réseau (SSID), l'adresse MAC du point d'accès, l'adresse MAC du dispositif client, et des paramètres de communication utilisables par le point d'accès.A second technique is performed actively by the client device, this is particularly the case when the access points operate in "hidden" mode. The client sends an access point search frame, named PROBE REQUEST frame in the IEEE802.11 standard. The PROBE REQUEST frames contain, among others, the desired network identifier (SSID) and the MAC address of the client device. An access point corresponding to the requested network which receives a PROBE REQUEST frame responds by sending a PROBE RESPONSE frame which includes information among which: a network identifier (SSID), the MAC address of the access point , the MAC address of the client device, and communication parameters that can be used by the access point.
Lors de l'utilisation d'un point d'accès illégitime sur la voie radio, l'attaquant utilise généralement une technique d'usurpation complété du point d'accès : même nom de réseau (SSID), même adresse MAC. Mais il n'utilise généralement pas le même canal radio pour des questions d'interférences radio.When using an illegitimate access point on the radio path, the attacker usually uses a complete spoofing technique completed by the access point: same network name (SSID), same MAC address. But it does not usually use the same radio channel for radio interference issues.
Pour détecter une attaque, l'invention se base sur un paramètre présent dans les trames BEACON et les trames PROBE RESPONSE1 à savoir une étiquette temporelle (appelée TIMESTAMP dans la norme). Celle-ci est obligatoire pour ces deux types de trames, elle est codée sur 64 bits et est exprimée en microsecondes, ce qui permet de représenter 264 microsecondes (environ 585000 années). L'étiquette temporelle d'une trame comprend une information temporelle relative à l'émission de cette trame, constituée ici de la valeur d'une horloge du point d'accès ayant émis la trame à l'instant d'émission de cette trame. L'horloge est généralement mise à zéro lors du démarrage du point d'accès. L'étiquette temporelle est générée par le programme pilote de la carte radio 802.11 à l'instant d'émission de la trame. Il est donc possible grâce à cette étiquette de connaître depuis combien de temps le point d'accès a été démarré.To detect an attack, the invention is based on a parameter present in the BEACON frames and the PROBE RESPONSE 1 frames, namely a time tag (called TIMESTAMP in the standard). It is required for these two types of frames, it is coded on 64 bits and is expressed in microseconds, which allows to account for 2 of 64 microseconds (approximately 585,000 years). The time tag of a frame includes a temporal information relating to the transmission of this frame, here constituted by the value of a clock of the access point which transmitted the frame at the transmission time of this frame. The clock is usually set to zero when the access point is started. The time tag is generated by the pilot program of the 802.11 radio card at the time of transmission of the frame. It is therefore possible thanks to this label to know how long the access point has been started.
~~ L'invention repose donc "sûr la détection d'une différence entre les étiquettes temporelles générées par deux points d'accès : l'un légitime, et l'autre illégitime. En effet, si deux points d'accès communiquent deux étiquettes temporelles différentes au même moment alors qu'ils ont la même adresse MAC, il est alors possible de les distinguer, et donc d'affirmer qu'un attaquant est en train d'usurper l'adresse MAC d'un point d'accès légitime. Ceci est valable pour les trames BEACON et les trames PROBE RESPONSE. ~~ The invention is based therefore "safe detection of a difference between the timestamps generated by two access points: one legitimate and one illegitimate While two access points communicate two labels. different time at the same time when they have the same MAC address, it is then possible to distinguish them, and thus to affirm that an attacker is usurping the MAC address of a legitimate access point This is valid for BEACON frames and PROBE RESPONSE frames.
Dans un mode de réalisation préféré, les deux types d'attaques sont détectés simultanément. Mais, il est possible de traiter séparément la détection de ces deux types d'attaques.In a preferred embodiment, both types of attacks are detected simultaneously. But, it is possible to treat separately the detection of these two types of attacks.
Pour la détection d'attaques utilisant des trames BEACON, il convient de noter que les trames BEACON sont régulièrement émises par un point d'accès. Chaque trame BEACON dispose d'une étiquette temporelle qui est incrémentée de la durée séparant l'envoi de deux trames. Or le temps séparant deux trames BEACON correspond à un intervalle de temps fixe qui est indiqué par une information d'intervalle (appelée BEACON INTERVAL dans le standard IEEE802.11) qui est présente dans la trame. Ainsi lorsque l'on reçoit deux trames BEACON, il convient de vérifier que l'étiquette temporelle est bien incrémentée d'une durée correspondant à l'information d'intervalle. Par ailleurs, il est possible que certaines trames soient perdues pour diverses raisons. Pour éviter de fausses alarmes dues à une perte de trame, il est possible de se contenter de vérifier que la différence temporelle entre deux trames est égale à un multiple non nul de l'information d'intervalle. Si deux trames sont reçues avec une même étiquette temporelle, autrement dit si la différence temporelle entre les deux trames est nulle, il est clair que la trame a été émise deux fois par un point d'accès légitime et un point d'accès illégitime.For the detection of attacks using BEACON frames, it should be noted that BEACON frames are regularly transmitted by an access point. Each BEACON frame has a time tag that is incremented by the time between sending two frames. Now the time separating two BEACON frames corresponds to a fixed time interval which is indicated by an interval information (called BEACON INTERVAL in the IEEE802.11 standard) which is present in the frame. Thus, when two BEACON frames are received, it should be verified that the time tag is incremented by a duration corresponding to the interval information. In addition, it is possible that some frames are lost for various reasons. To avoid false alarms due to a loss of frame, it is possible to simply check that the time difference between two frames is equal to a non-zero multiple of the interval information. If two frames are received with the same time tag, that is, if the time difference between the two frames is zero, it is clear that the frame has been issued twice by a legitimate access point and an illegitimate access point.
Une façon de procéder pour repérer ce type d'attaque est la suivante :One way to identify this type of attack is:
a) Ecoute de la voie radio de manière passive. Cette écoute peut se faire sur tous les canaux de la bande de fréquence utilisée selon le standard IEEE802.11 ou sur un seul canal à la fois en effectuant des sauts de canal de manière régulière. Dans le cas de sauts de canal, il est évident que de nombreuses trames seront perdus mais comme les trames . BEACON . sont émises de manière répétitive, il est clair que l'on pourra recevoir deux trames dans le cas d'une attaque et que l'on pourra comparer les étiquettes temporelles pour vérifier leur conformité.a) Listen to the radio channel passively. This listening can be done on all channels of the frequency band used according to the IEEE802.11 standard or on one channel at a time by making channel jumps on a regular basis. In the case of channel jumps, it is obvious that many frames will be lost but like the frames . BEACON. are issued repeatedly, it is clear that we can receive two frames in the case of an attack and that we can compare time labels to verify their compliance.
b) Stockage des trames correspondant à des trames BEACON reçues dans un tableau d'une mémoire pendant une durée donnée. Il n'est pas nécessaire de stocker les trames de manière indéfinie car plusieurs trames provenant d'un point d'accès légitime apportent la même information. Et si un point d'accès n'envoie plus de trame pendant une certaine durée, c'est parce qu'il n'est plus en fonctionnement. Il convient d'utiliser une fenêtre temporelle glissante d'étude qui soit suffisamment importante pour permettre un balayage de tous les canaux si l'on écoute un seul canal à la fois, et suffisamment importante pour s'affranchir d'éventuelles pertes de trames à cause de la qualité de transmission mais suffisamment courte pour ne pas avoir à utiliser inutilement de l'espace mémoire. A titre d'exemple une durée donnée maximale de 10 secondes peut convenir.b) Storing frames corresponding to BEACON frames received in an array of a memory for a given duration. It is not necessary to store the frames indefinitely because several frames from a legitimate access point provide the same information. And if an access point does not send more frame for a certain duration, it is because it is no longer in operation. A slippery study time window should be used which is large enough to allow scanning of all channels if only one channel is being listened to at a time, and large enough to overcome possible frame losses. because of the transmission quality but short enough not to need to use memory space unnecessarily. For example, a given maximum duration of 10 seconds may be suitable.
c) A réception d'une trame BEACON, et après avoir stocké la trame dans le tableau, on recherche dans le tableau une trame BEACON précédente ayant une même adresse MAC de point d'accès, c'est-à-dire une même adresse d'émetteur.c) On receipt of a BEACON frame, and after storing the frame in the array, we search in the array for a previous BEACON frame with the same access point MAC address, ie the same address emitter.
d) Lorsqu'une trame BEACON envoyée par le même point d'accès a été trouvée, on compare l'étiquette temporelle de la trame qui vient d'être reçue avec l'étiquette temporelle de la trame précédente, et on calcule la différence entre les deux étiquettes temporelles : - Si la valeur de la différence entre les étiquettes temporelles est différente d'un multiple de l'information d'intervalle, alors les trames actuelles et précédentes ont été émises par deux équipements différents : détection du point d'accès illégitime. Ou si la valeur de la différence entre les étiquettes temporelles est égale à zéro, alors la même trame a été émise deux fois, ce qui est un signe d'une attaque active d'un point d'accès illégitime qui a synchronisé son étiquette temporelle avec celle du point d'accès, légitime,- mais le faux point d'accès est quand même -détecté. Il convient alors d'émettre une alarme et d'effacer les deux trames concernées du tableau pour réinitialiser la détection.d) When a BEACON frame sent by the same access point has been found, the time tag of the frame that has just been received is compared with the time tag of the previous frame, and the difference between the two temporal labels: - If the value of the difference between the time tags is different from a multiple of the interval information, then the current and previous frames were issued by two different devices: detection of the illegitimate access point. Or if the value of the difference between the time labels is equal to zero, then the same frame was emitted twice, which is a sign of an active attack of an illegitimate access point that synchronized its time tag. with that of the access point, legitimate, - but the false access point is still -detected. It is then necessary to emit an alarm and delete the two frames concerned from the table to reset the detection.
- Si, par contre la valeur retournée est égale à un multiple non nul de l'information d'intervalle, alors la trame est bien valide et envoyée par un équipement dont l'adresse MAC n'a pas été usurpée. On peut effacer la trame précédente du tableau et ne garder que la dernière trame reçue.- If, on the other hand, the value returned is equal to a non-zero multiple of the interval information, then the frame is valid and sent by a device whose MAC address has not been usurped. We can delete the previous frame of the table and keep only the last frame received.
e) on recommence à l'étape a).e) we start again at step a).
Le procédé décrit précédemment peut être amélioré en considérant un seuil de détection supplémentaire. Comme on l'a vu précédemment, un point d'accès illégitime peut se synchroniser avec le point d'accès légitime. La détection se fait alors sur la répétition d'une étiquette temporelle. Toutefois, il est possible qu'un point d'accès illégitime anticipe cette détection en fournissant une étiquette temporelle qui utilise une étiquette temporelle très éloignée de l'étiquette temporelle du point d'accès légitime tout en conservant une différence d'étiquette qui soit un multiple de l'information d'intervalle. A cet effet, on ajoute une comparaison avec un seuil de différence maximale qui est égal à la fenêtre temporelle glissante d'étude. Le seuil est ajouté simplement en considérant que le multiple de l'information intervalle doit être inférieur à un entier prédéfini correspondant à la fenêtre temporelle glissante d'étude divisée par l'information d'intervalle. Dans ce cas là, il convient de conserver toutes les trames mémorisées qui sont reçues pendant une durée correspondant à la fenêtre temporelle glissante d'étude.The method described above can be improved by considering an additional detection threshold. As we saw earlier, an illegitimate access point can synchronize with the legitimate access point. The detection is then done on the repetition of a time tag. However, it is possible for an illegitimate access point to anticipate this detection by providing a time tag that uses a time tag far removed from the time tag of the legitimate access point while maintaining a label difference that is a multiple of interval information. For this purpose, a comparison is added with a maximum difference threshold which is equal to the sliding time window of study. The threshold is added simply by considering that the multiple of the interval information must be less than a predefined integer corresponding to the sliding study time slot divided by the interval information. In this case, it is necessary to keep all the stored frames that are received for a period corresponding to the sliding time window of study.
Pour la détection d'attaques utilisant des trames PROBE RESPONSE, il convient de noter que ces messages sont des messages ponctuels émis en réponse à une trame PROBE REQUEST émis par un dispositif client. Ce mécanisme est mis en œuvre lorsque les points d'accès fonctionnent en mode "caché". Normalement, à une trame PROBE REQUEST correspond une unique trame PROBE RESPONSE. Toutefois, il est possible que la trame PROBE RESPONSE ne soit pas correctement reçu par le dispositif client et que celui-ci réitère sa demande et qu'un même point d'accès émette quelques trames PROBE RESPONSE à destination d'un même dispositif client. Ces messages sont peu nombreux et relativement rapprochés dans le temps car ils correspondent aux répétitions de trames PROBE REQUEST qui sont par exemple émis toutes les 100 ms par le dispositif client en l'absence de réponse.For the detection of attacks using PROBE RESPONSE frames, it should be noted that these messages are one-off messages sent in response to a PROBE REQUEST frame issued by a client device. This mechanism is implemented when access points operate in "hidden" mode. Normally, a PROBE REQUEST frame corresponds to a single PROBE RESPONSE frame. However, it is possible that the PROBE RESPONSE frame is not correctly received by the client device and that the latter repeats its request and that the same access point sends a few PROBE RESPONSE frames to the same client device. These messages are few and relatively close in time because they correspond to the repetitions of PROBE REQUEST frames which are for example issued every 100 ms by the client device in the absence of response.
Afin de couvrir le cas où plusieurs trames PROBE RESPONSE sont envoyées, il convient de comparer les étiquettes temporelles de deux trames PROBE RESPONSE. Deux cas peuvent survenir en cas d'attaque. Dans un premier cas, l'étiquette temporelle de trame PROBE RESPONSE du point d'accès illégitime correspond à la durée depuis son initialisation. La probabilité que cette étiquette temporelle soit proche de celle du point d'accès légitime est relativement faible ainsi, on peut considérer que si deux étiquettes temporelles sont trop éloignées dans le temps, par exemple d'une durée supérieure à quelques secondes, il ne peut s'agir d'un même point d'accès. Dans un deuxième cas, pour s'affranchir de l'étiquette temporelle, le point d'accès illégitime pourrait utiliser la même étiquette temporelle qu'une trame PROBE RESPONSE. Dans ce deuxième cas, la détection de deux trames PROBE RESPONSE ayant la même étiquette temporelle signifie que les deux trames ne proviennent pas d'un unique point d'accès.In order to cover the case where several PROBE RESPONSE frames are sent, it is necessary to compare the time tags of two PROBE RESPONSE frames. Two cases can occur in case of an attack. In a first case, the PROBE RESPONSE frame time tag of the illegitimate access point corresponds to the duration since its initialization. The probability that this temporal label is close to that of the legitimate access point is relatively low, so it can be considered that if two time labels are too far apart in time, for example of a duration greater than a few seconds, it can not be the same access point. In a second case, to overcome the time tag, the illegitimate access point could use the same time tag as a PROBE RESPONSE frame. In this second case, the detection of two PROBE RESPONSE frames having the same time tag means that the two frames do not come from a single access point.
On pourrait considérer un troisième cas où le point d'accès illégitime se synchroniserait avec le point d'accès légitime afin de fournir des messages temporels cohérents. Toutefois, si l'on considère le temps nécessaire pour synchroniser le point d'accès illégitime avec le point d'accès légitime, il est peu probable qu'une telle synchronisation puisse être réalisée avec succès car il y a peu de messages envoyés sur une durée assez brève. Une façon de procéder pour repérer ce type d'attaques est la suivante :A third case could be considered where the illegitimate access point would synchronize with the legitimate access point to provide consistent time messages. However, considering the time required to synchronize the illegitimate access point with the legitimate access point, it is unlikely that such synchronization could be successfully achieved because there are few messages sent on a rather short duration. One way to identify such attacks is:
a) Ecoute de la voie radio de manière passive. Cette écoute se fait préférentiellement sur tous les canaux de la bande de fréquence utilisée selon le standard IEEE802.11 afin d'éviter toute perte de trame.a) Listen to the radio channel passively. This listening is preferably done on all the channels of the frequency band used according to the standard IEEE802.11 to avoid any loss of frame.
b) Stockage des trames correspondant à des trames PROBEb) Storage of frames corresponding to PROBE frames
RESPONSE dans un tableau d'une mémoire pendant une durée donnée. Il n'est pas nécessaire de stocker les trames de manjère indéfinie car ces trames., sont de nature ponctuelle. Il convient d'utiliser une fenêtre temporelle glissante d'étude qui soit suffisamment importante pour être sûr qu'aucune trame PROBE RESPONSE puisse être prise en compte après une première trame mais suffisamment courte pour ne pas avoir à utiliser inutilement de l'espace mémoire. A titre d'exemple une durée donnée maximale de 10 secondes peut convenir.RESPONSE in an array of a memory for a given duration. It is not necessary to store frames indefinitely because these frames are of a one-off nature. It is necessary to use a slippery time window of study which is important enough to be sure that no PROBE RESPONSE frame can be taken into account after a first frame but short enough not to need to use memory space unnecessarily. For example, a given maximum duration of 10 seconds may be suitable.
c) A réception d'une trame PROBE RESPONSE, et après avoir stocké sa trame dans le tableau, on recherche dans le tableau une trame correspondant à une trame PROBE RESPONSE précédente ayant une même adresse MAC de point d'accès, c'est-à-dire une même adresse d'émetteur, et une même adresse MAC de dispositif utilisateur, c'est-à-dire une même adresse de destination.c) On receipt of a PROBE RESPONSE frame, and after having stored its frame in the array, the array is searched for a frame corresponding to a previous PROBE RESPONSE frame having the same access point MAC address, ie ie the same sender address, and the same user device MAC address, i.e. the same destination address.
d) Lorsqu'une trame PROBE RESPONSE envoyée par le même point d'accès et à destination d'un même dispositif utilisateur a été trouvé, on compare l'étiquette temporelle de la trame qui vient d'être reçue avec l'étiquette temporelle de la trame précédente, et on calcule la différence entre les deux étiquettes temporelles : - Si la valeur de la différence en valeur absolue entre les étiquettes temporelles est supérieure à un seuil de quelques secondes, alors les trames actuelles et précédentes ont été émises par deux équipements différents : détection du point d'accès illégitime. Ou si la valeur de la différence entre les étiquettes temporelles est égale à zéro, alors la même trame a été émise deux fois, ce qui est un signe d'une attaque active d'un point d'accès illégitime. Il convient alors d'émettre une alarme θt d'effacer les deux trames concernées du tableau pour réinitialiser la détection.d) When a PROBE RESPONSE frame sent by the same access point and destined for the same user device has been found, the time tag of the frame just received is compared with the time tag of the previous frame, and the difference between the two time tags is calculated: - If the value of the difference in absolute value between the time tags is greater than a threshold of a few seconds, then the current and previous frames have been sent by two devices different: detection of illegitimate access point. Or if the value of the difference between the time labels is equal to zero, then the same frame was emitted twice, which is a sign of an active attack of an illegitimate access point. It is then necessary to emit an alarm θt delete the two frames concerned table to reset the detection.
- Si, par contre, la valeur de différence est inférieure au seuil et non nulle, alors la trame est bien valide et envoyée par un équipement dont l'adresse MAC n'a pas été usurpée. On peut effacer la trame précédente du tableau et ne garder que la dernière trame reçue.- If, on the other hand, the difference value is lower than the threshold and not zero, then the frame is valid and sent by a device whose MAC address has not been usurped. We can delete the previous frame of the table and keep only the last frame received.
e) on recommence à l'étape a).e) we start again at step a).
La mise en œuvre de la détection de point d'accès illégitime peut se faire à l'aide d'un ordinateur muni d'une interface radio conforme avec l'une des couches physiques du standard IEEE802.11 utilisant une liaison radio. Des couches physiques radio sont notamment définies par les standards IEEE802.Ha, IEEE802.11b ou encore IEEE802.11g. La figure 1 décrit un dispositif de détection comprenant un ordinateur 1 relié à une pluralité d'interfaces radio 2.The implementation of the illegitimate access point detection can be done using a computer equipped with a radio interface compliant with one of the physical layers of the IEEE802.11 standard using a radio link. Radio physical layers are defined in particular by the IEEE802.Ha, IEEE802.11b or IEEE802.11g standards. FIG. 1 describes a detection device comprising a computer 1 connected to a plurality of radio interfaces 2.
L'ordinateur 1 est par exemple un ordinateur standard qui comporte une unité centrale 10 reliée à un bus central 11. Une mémoire 12 qui peut comporter plusieurs circuits de mémoire est reliée au bus 11 pour coopérer avec l'unité centrale 10, la mémoire 12 servant à la fois de mémoire de données et de mémoire de programme. Des zones 13 et 14 sont prévues pour la mémorisation des trames BEACON et des trames PROBE RESPONSE. Une interface vidéo 15 est reliée au bus 11 afin de pouvoir afficher des messages pour un opérateur. Dans notre exemple, l'écran n'est pas représenté car celui- ci n'est pas nécessaire. Cependant, selon une variante de réalisation, il est possible d'utiliser l'écran pour afficher des alarmes à un opérateur lorsqu'un point d'accès illégitime est détecté.The computer 1 is for example a standard computer which comprises a central unit 10 connected to a central bus 11. A memory 12 which may comprise several memory circuits is connected to the bus 11 to cooperate with the central unit 10, the memory 12 serving both data memory and program memory. Zones 13 and 14 are provided for storing BEACON frames and PROBE RESPONSE frames. A video interface 15 is connected to the bus 11 in order to be able to display messages for an operator. In our example, the screen is not shown because it is not necessary. However, according to an alternative embodiment, it is possible to use the screen to display alarms to an operator when an illegitimate access point is detected.
Un circuit de gestion des périphériques 16 est relié au bus 11 pour réaliser la liaison avec différents périphériques selon une technique connue. Parmi les périphériques qui pourraient être reliés au circuit de gestion de périphérique, seul les principaux sont représentés : une interface réseau 17 qui permet de communiquer avec un réseau filaire non représenté, un disque dur 18 servant de mémoire morte principale pour les programmes et données, un lecteur de disquette 19, un lecteur de CDROM 20, un clavier 21 , une souris 22 et un port standard d'interface 23. Le lecteur de disquette 19, le lecteur de CDROM 20, le clavier 21 et la souris 22 sont amovibles, ils peuvent être supprimés après installation d'un logiciel de détection d'usurpation de point d'accès dans le disque dur 18. Le disque dur 18 peut être remplacé par un autre type de mémoire morte équivalent, tel que par exemple une mémoire de type Flash. Le port d'interface standard 23 est un port compatible avec un standard de communication entre l'ordinateur et des. interfaces externes. Dans notre exemple, le port d'interface 23 est par exemple un port au standard PCMCIA ou un port au standard USB.A peripheral management circuit 16 is connected to the bus 11 to link with different peripherals according to a known technique. Among the devices that could be connected to the device management circuit, only the main are represented: a network interface 17 which makes it possible to communicate with a not shown wired network, a hard disk 18 serving as the main read-only memory for the programs and data, a floppy diskette reader 19, a CDROM reader 20, a keyboard 21, a mouse 22 and a standard interface port 23. The floppy diskette reader 19, the CDROM reader 20, the keyboard 21 and the mouse 22 are removable. can be deleted after installation of an access point spoof detection software in the hard disk 18. The hard disk 18 can be replaced by another type of equivalent read-only memory, such as for example a Flash memory type . The standard interface port 23 is a port compatible with a standard of communication between the computer and des. external interfaces. In our example, the interface port 23 is for example a PCMCIA standard port or a USB standard port.
Dans l'exemple préféré, au moins une interface radio 2 est connectée au port d'interface 23, mais selon différentes variantes, il est possible d'utiliser plusieurs interfaces radio 2. Classiquement, les interfaces radio compatibles avec le standard IEEE802.11 disposent de moyens radio ne permettant que d'écouter simultanément un nombre réduit de canaux radio.In the preferred example, at least one radio interface 2 is connected to the interface port 23, but according to different variants, it is possible to use several radio interfaces 2. Conventionally, the radio interfaces compatible with the IEEE802.11 standard have radio means only allowing to listen simultaneously a reduced number of radio channels.
Si l'on désire écouter la totalité de la bande de communication, il convient de disposer d'un nombre suffisant d'interfaces pour écouter la totalité des canaux de la bande. Lors de la mise en service d'un programme de détection d'usurpation de point d'accès radio, la ou les interfaces sont configurées pour écouter tout le trafic radio sur chaque canal écouté.If it is desired to listen to the entire communication band, it is necessary to have a sufficient number of interfaces to listen to all the channels of the band. When commissioning a radio access point spoofing detection program, the one or more interfaces are configured to listen to all radio traffic on each listened channel.
Si l'on se contente d'une écoute réduite, par exemple si on se limite aux attaques basées uniquement sur les trames BEACON, une seule interface suffit. Lors de la mise en service d'un programme de détection, cette interface sera configurée pour écouter tous les messages échangés sur un canal, et le programme changera régulièrement de canal pour écouter de manière séquentielle tous les canaux.If one is satisfied with a reduced listening, for example if one limits oneself to the attacks based only on the BEACON frames, a single interface is enough. When activating a detection program, this interface will be configured to listen to all messages exchanged on a channel, and the program will change channels regularly to listen sequentially to all channels.
La figure 2 illustre un organigramme de fonctionnement d'un programme mettant en œuvre la détection d'usurpation de point d'accès. Dans cet exemple préféré, on effectue la détection des deux types de trames avec une écoute globale de toute la bande de communication radio.Figure 2 illustrates an operating flow chart of a program implementing access point spoofing detection. In this preferred example, the two types of frames are detected with global listening of the entire radio communication band.
Le programme commence par une étape 100, au cours de laquelle les interfaces radio 2 sont configurées en écoute globale pour recevoir et décoder toutes les trames véhiculées par radio sur les canaux écoutés. Au cours de cette étape 100, les interfaces radio sont positionnées sur des canaux afin de couvrir la totalité des canaux utilisables par un réseau sans fil dans un espace donné. Le dispositif de détection se trouve ensuite dans une étape d'écoute 101.The program begins with a step 100, during which the Radio interfaces 2 are configured in global listening mode to receive and decode all the frames conveyed by radio on the listened channels. During this step 100, the radio interfaces are positioned on channels to cover all the channels usable by a wireless network in a given space. The detection device is then in a listening stage 101.
L'étape d'écoute 101 est une étape d'attente pour toutes les interfaces radio 2. Si une TnΛën^cë raâio ήë rëçόït aucune trame, ceîie-ci reste à l'écoute. Si une interface radio 2 reçoit une trame, alors elle le décode et transmet la trame à l'unité centrale 10. Le test 102 illustre ce changement d'état pour une interface radio 2. Il est à noter que plusieurs interfaces peuvent recevoir des trames en même temps et que des trames peuvent être retardées dans le traitement au niveau du gestionnaire d'interfaces qui sert de tampon entre les interfaces radio 2 et l'unité centrale 10. Ce type de mise en attente dépend du système d'exploitation de l'ordinateur et ne sera pas décrit.The listening step 101 is a waiting step for all the radio interfaces 2. If a message does not contain any frames, it remains in tune. If a radio interface 2 receives a frame, then it decodes it and transmits the frame to the central unit 10. The test 102 illustrates this change of state for a radio interface 2. It should be noted that several interfaces can receive frames at the same time and that frames can be delayed in the processing at the level of the interface manager which serves as a buffer between the radio interfaces 2 and the central unit 10. This type of standby depends on the operating system of the computer and will not be described.
A réception d'une trame, l'unité centrale identifie, au cours du test 103, s'il s'agit d'une trame BEACON ou d'une trame PROBE REQUEST. S'il ne s'agit pas d'une trame BEACON ou PROBE REQUEST, alors l'opération s'arrête là et le dispositif revient à l'étape d'écoute 101. S'il s'agit d'une trame BEACON ou PROBE REQUEST, la trame est alors stockée dans la mémoire 12 au cours d'une étape de stockage 104.On receiving a frame, the central unit identifies, during the test 103, whether it is a BEACON frame or a PROBE REQUEST frame. If it is not a BEACON or PROBE REQUEST frame, then the operation stops there and the device returns to the listening step 101. If it is a BEACON frame or PROBE REQUEST, the frame is then stored in the memory 12 during a storage step 104.
Durant l'étape de stockage 104, les trames BEACON sont stockées dans un premier tableau correspondant à la zone mémoire 13, et les trames PROBE REQUEST sont stockées dans un deuxième tableau correspondant à la zone mémoire 14. Au cours de cette étape de stockage, les tableaux sont épurés afin d'effacer les trames mémorisées qui seraient trop anciennes afin d'éviter un stockage inutile de données. Les trames considérées trop anciennes sont celles qui ont été stockées pendant une durée supérieure à la fenêtre temporelle d'étude. Puis on effectue une étape de comparaison 105.During the storage step 104, the BEACON frames are stored in a first array corresponding to the memory zone 13, and the PROBE REQUEST frames are stored in a second array corresponding to the memory zone 14. During this storage step, the tables are purified in order to erase the stored frames that are too old to avoid unnecessary storage of data. Frames considered too old are those that have been stored for a period longer than the study window. Then a comparison step 105 is performed.
L'étape de comparaison 105 consiste à comparer la dernière trame mémorisée avec la totalité des trames présentes dans le tableau où elle a été mémorisée. Ainsi pour les trames BEACON, on recherche dans le tableau toutes les trames BEACON précédentes ayant une même adresse MAC d'émetteur, puis, pour les trames identifiées, on vérifie la conformité des étiquettes temporelles, comme indiqué précédemment. Pour les trames PROBE RESPONSE, on recherche dans le tableau toutes les trames correspondant à de précédentes trames PROBE RESPONSE ayant une même adresse MAC d'émetteur et une même adresse MAC de destination, pour les trames- identifiées, on vérifie la-conformité des-étiquettes temporelles. comme . indiqué précédemment. En fin de comparaison, on effectue le test 106.The comparison step 105 consists in comparing the last stored frame with all the frames present in the table where it has been stored. Thus, for the BEACON frames, all the previous BEACON frames having the same transmitter MAC address are searched in the table, then, for the identified frames, the conformity of the time tags is checked, as indicated above. For the PROBE RESPONSE frames, all the frames corresponding to previous PROBE RESPONSE frames having the same transmitter MAC address and the same destination MAC address are searched in the table, for the identified frames, the conformity of the frames is verified. time labels. as . indicated previously. At the end of the comparison, the test 106 is carried out.
Le test 106 clôture le traitement effectué sur la trame, si l'étiquette temporelle est conforme avec l'étiquette temporelle de chaque trame ayant fait l'objet de la comparaison, alors l'unité centrale revient à l'étape d'écoute 101. Si la différence n'est pas conforme à une différence attendue comme précédemment définie, alors on effectue une étape d'alarme 107.The test 106 closes the processing carried out on the frame, if the time tag is compliant with the time tag of each frame that has been compared, then the central unit returns to the listening step 101. If the difference does not conform to an expected difference as previously defined, then an alarm step 107 is performed.
L'étape d'alarme 107 consiste à notifier une alarme indiquant qu'un point d'accès est en train de faire l'objet d'une attaque par usurpation d'adresse. La notification de l'alarme se fait préférentiellement par l'envoi d'un message électronique, via l'interface de réseau 17, à un serveur de réseau qui contrôle les points d'accès radio. Si le dispositif de détection est relié à un écran de contrôle, il est également possible d'afficher l'alarme sur l'écran de contrôle. Puis comme indiqué précédemment, les trames mémorisées faisant l'objet de l'alarme sont effacées du tableau où elles étaient mémorisées et on retourne à l'étape d'écoute 101.The alarm step 107 consists of notifying an alarm indicating that an access point is being attacked by address spoofing. The notification of the alarm is preferably done by sending an electronic message, via the network interface 17, to a network server that controls the radio access points. If the detection device is connected to a control screen, it is also possible to display the alarm on the control screen. Then, as indicated previously, the stored frames that are the subject of the alarm are erased from the table where they were stored and we return to the listening step 101.
La figure 3 représente un réseau sans fil disposé dans une salle 200 de grande dimension. Un serveur 201 supervise un réseau filaire 202. Des points d'accès 203 à 208 sont reliés au réseau filaire 202 et servent de passerelles entre le réseau sans fil et le réseau filaire. Les points d'accès 203 à 208 sont disposés dans la salle 200 à différent endroits afin d'obtenir un bonne couverture radio.Figure 3 shows a wireless network disposed in a large room 200. A server 201 supervises a wired network 202. Access points 203 to 208 are connected to the wired network 202 and serve as bridges between the wireless network and the wired network. Access points 203 to 208 are located in room 200 at different locations to obtain good radio coverage.
Un point d'accès fonctionnant, par exemple, dans la gamme de fréquence située à 5 GHz peut couvrir quelques centaines de m2. Par ailleurs, les signaux à 5 GHZ traversent peu les obstacles telles que des cloisons et la couverture d'un point d'accès peut être réduite à quelques dizaines de m2. Pour couvrir une salle de correspondance d'aéroport ou un plateau de bureaux, plusieurs points d'accès sont nécessaires.An access point operating, for example, in the frequency range at 5 GHz can cover a few hundred m 2 . Otherwise, 5 GHZ signals pass through obstacles such as partitions and the coverage of an access point can be reduced to a few tens of m 2 . To cover an airport correspondence room or an office shelf, several access points are required.
Dans l'exemple de la figure 3, on a considéré que les conditions de transmission étaient idéales pour représenter respectivement les zones de couverture 213 à 218 des points d'accès 203 à 208.In the example of FIG. 3, it was considered that the transmission conditions were ideal for representing respectively the coverage areas 213 to 218 of the access points 203 to 208.
Afin de s'assurer, qu'aucune attaque par usurpation d'adresse de point d'accès n'ait lieu, il convient de placer des dispositifs de détection 221 et 222. Chaque dispositif de détection 221 ou 222 correspond, par exemple au dispositif représenté sur la figure 1 et met en œuvre un programme correspondant à l'organigramme de la figure 2.In order to ensure that no access point address spoofing attack takes place, detection devices 221 and 222 should be placed. Each detection device 221 or 222 corresponds, for example, to the device. represented in FIG. 1 and implements a program corresponding to the flowchart of FIG. 2.
Les dispositifs de détection 221 et 222 sont reliés au réseau 202 et disposent chacun d'une couverture radio 231 et 232 représentée en traits discontinus. Normalement, les dispositifs de détection sont également placés pour assurer une couverture radio sur la totalité de la salle 200. Toutefois, il est possible que des régions de la salle 200 ne soient pas physiquement accessibles à un dispositif cherchant à s'introduire dans le réseau et donc il n'est pas nécessaire de les couvrir. De même, une zone qui ne serait pas couverte par au moins l'un des points d'accès peut ne pas être contrôlée car l'intrus doit forcément être dans une zone couverte par un point d'accès pour recevoir des trames du point d'accès légitime.The detection devices 221 and 222 are connected to the network 202 and each have a radio coverage 231 and 232 shown in broken lines. Normally, the detection devices are also placed to provide radio coverage over the entire room 200. However, it is possible that regions of the room 200 are not physically accessible to a device seeking to enter the network. and therefore it is not necessary to cover them. Similarly, an area that is not covered by at least one of the access points may not be controlled because the intruder must necessarily be in an area covered by an access point to receive frames from the point of access. legitimate access.
Le placement des dispositifs de détection est soumis aux mêmes contraintes de couverture radio que les points d'accès. Cependant, les points d'accès doivent également assurer un certain débit de données qui peut imposer de nombreux recoupements de leurs couvertures. Les dispositifs ne sont pas soumis à ce problème de débit minimum à assurer et peuvent donc être moins nombreux que les points d'accès. Les dispositifs de détection ayant des zones communes de couverture fournissent en outre deux alarmes au lieu d'une si un intrus est placé dans une zone commune, ce qui fiabilise la détection. The placement of the detection devices is subject to the same radio coverage constraints as the access points. However, access points must also provide a certain amount of data that can impose many overlaps of their coverage. The devices are not subject to this problem of minimum flow rate to ensure and may be less numerous than the access points. Detection devices having common coverage areas also provide two alarms instead of one if an intruder is placed in a common area, which makes the detection more reliable.

Claims

R E V E N D I C A T I O N S
1. Procédé de détection d'usurpation d'adresse dans un réseau sans fil, comprenant les étapes suivantes :A method of detecting address spoofing in a wireless network, comprising the steps of:
- obtention de trames (101) comprenant une adresse ι d'un ..dispositif, ayant. émis la trame et une étiquette temporelle représentative de l'instant d'émission de la trame par ledit dispositif;- obtaining frames (101) comprising an address of a .. ι device having. transmitted the frame and a time tag representative of the instant of emission of the frame by said device;
- analyse (105) des étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission; etanalyzing (105) the time tags included in the frames having the same transmission device address; and
- détection (106) d'une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.detecting (106) a spoofing of said address as a function of the analysis of said time tags.
2. Procédé selon la revendication 1 , dans lequel les trames comportent en outre une information d'intervalle temporel séparant l'envoi de deux trames successives par le dispositif d'émission, et dans lequel l'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission comporte les étapes suivante :2. The method according to claim 1, wherein the frames further comprise time interval information separating the sending of two successive frames by the transmission device, and in which the analysis of the time tags of two frames corresponding to the same transmission device address comprises the following steps:
- calcul d'une différence entre les étiquettes temporelles des deux trames,calculating a difference between the time tags of the two frames,
- comparaison de la différence calculée avec l'intervalle temporel,comparison of the calculated difference with the time interval,
- détection de l'usurpation de l'adresse de l'émetteur lorsque la différence calculée n'est pas égale à un multiple de l'intervalle temporel.detection of the spoofing of the address of the transmitter when the calculated difference is not equal to a multiple of the time interval.
3. Procédé selon la revendication 2, dans lequel le multiple est inférieur à un entier prédéfini.The method of claim 2, wherein the multiple is less than a predefined integer.
4. Procédé selon l'une des revendications 1 ou 2, dans lequel le réseau sans fil est de type IEEE 802.11 et dans lequel les trames sont des trames BEACON. 4. Method according to one of claims 1 or 2, wherein the wireless network is IEEE 802.11 type and wherein the frames are BEACON frames.
5. Procédé selon la revendication 1 , dans lequel les trames comportent en outre une adresse de destination, et dans lequel l'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission et ayant une même adresse de destination comporte les étapes suivante :The method according to claim 1, wherein the frames further comprise a destination address, and wherein the analysis of the time tags of two frames corresponding to the same transmission device address and having the same destination address comprises the following steps:
- calcul d'une différence entre les étiquettes temporelles des deux trames,calculating a difference between the time tags of the two frames,
- comparaison de la différence calculée avec un seuil,- comparison of the calculated difference with a threshold,
- ^êtectioTi dë rusurpàiïόrrdè Tâdresse de l'émetteur lorsque la différence calculée est supérieure ou égale audit seuil.- Addressing the issuer's distress when the calculated difference is greater than or equal to the threshold.
6. Procédé selon l'une des revendications 2 à 5, dans lequel on détecte une usurpation d'adresse si la différence entre les étiquettes temporelles des deux trames est nulle.6. Method according to one of claims 2 to 5, wherein it detects an address spoofing if the difference between the time tags of the two frames is zero.
7. Procédé selon la revendication 5 ou selon la revendication 6 lorsqu'elle dépend de la revendication 5, dans lequel le réseau sans fil est de type IEEE 802.11 et dans lequel les trames sont des trames PROBE RESPONSE.The method of claim 5 or claim 6 when dependent on claim 5, wherein the wireless network is of IEEE 802.11 type and wherein the frames are PROBE RESPONSE frames.
8. Programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à une interface sans fil, le programme comprenant des portions de code pour l'exécution des étapes du procédé selon l'une quelconque des revendications précédentes lorsque le programme est exécuté sur ledit ordinateur.A computer program on a data carrier and loadable in the internal memory of a computer associated with a wireless interface, the program comprising portions of code for performing the steps of the method according to any of the claims. when the program is running on that computer.
9. Dispositif de détection d'une usurpation d'adresse dans un réseau sans fil, comprenant:9. Device for detecting an address spoofing in a wireless network, comprising:
- des moyens d'obtention de trames (2, 16, 23), lesdites trames comprenant une adresse d'un dispositif ayant émis la trame et une étiquette temporelle représentative de l'instant d'émission de la trame par le dispositif; etmeans for obtaining frames (2, 16, 23), said frames comprising an address of a device having transmitted the frame and a temporal tag representative of the instant of transmission of the frame by the device; and
- des moyens d'analyse (10, 12-14) des d'étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission, lesdits moyens d'analyse étant aptes à détecter une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.- means of analysis (10, 12-14) of time tags included in the frames having the same transmission device address, said analysis means being able to detect a spoofing of said address as a function of the analysis of said time tags.
10. dispositif selon la revendication 9, dans lequel les trames comportent en outre une information d'intervalle temporel séparant l'envoi de deux trames successives par le dispositif d'émission, et dans lequel les moyens d'analyse comportent : -_ des. moyens de calcul aptes à calculer une différence entre- les-étiquettes temporelles de deux trames ayant une même adresse de dispositif d'émission, - des moyens de comparaison aptes à comparer la différence calculée avec l'intervalle temporel,The apparatus of claim 9, wherein the frames further include time interval information separating the sending of two successive frames by the transmitting device, and wherein the analyzing means comprises: calculation means capable of calculating a difference between the time tags of two frames having the same transmission device address; comparison means able to compare the calculated difference with the time interval;
- des moyens de détection aptes à détecter l'usurpation de l'adresse de l'émetteur lorsque la différence calculée n'est pas égale à un multiple de l'intervalle temporel.detection means able to detect the usurpation of the address of the transmitter when the calculated difference is not equal to a multiple of the time interval.
11. Dispositif selon la revendication 9, dans lequel les trames comportent en outre une adresse de destination, et dans lequel les moyens d'analyse comportent:Apparatus according to claim 9, wherein the frames further comprise a destination address, and wherein the analysis means comprises:
- des moyens de calcul aptes à calculer une différence entre les étiquettes temporelles de deux trames ayant une même adresse de dispositif d'émission et une même adresse de destination,calculation means able to calculate a difference between the time tags of two frames having the same transmission device address and the same destination address,
- des moyens de comparaison aptes à comparer la différence calculée avec un seuil,comparison means able to compare the calculated difference with a threshold,
- des moyens de détection aptes à détecter l'usurpation de l'adresse de l'émetteur lorsque la différence calculée est supérieure ou égale audit seuil.detection means able to detect the usurpation of the address of the transmitter when the calculated difference is greater than or equal to said threshold.
12. Système de surveillance pour un réseau sans fil, comprenant des moyens pour capter un ensemble de trames et un dispositif selon l'une quelconque des revendications 9 à 11. A monitoring system for a wireless network, comprising means for sensing a set of frames and a device according to any one of claims 9 to 11.
EP05805802A 2004-09-30 2005-09-21 Method, device a program for detecting an unauthorised connection to access points Withdrawn EP1794934A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0410352 2004-09-30
PCT/FR2005/002339 WO2006035140A1 (en) 2004-09-30 2005-09-21 Method, device a program for detecting an unauthorised connection to access points

Publications (1)

Publication Number Publication Date
EP1794934A1 true EP1794934A1 (en) 2007-06-13

Family

ID=34953296

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05805802A Withdrawn EP1794934A1 (en) 2004-09-30 2005-09-21 Method, device a program for detecting an unauthorised connection to access points

Country Status (3)

Country Link
US (1) US20080250498A1 (en)
EP (1) EP1794934A1 (en)
WO (1) WO2006035140A1 (en)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536723B1 (en) 2004-02-11 2009-05-19 Airtight Networks, Inc. Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7630406B2 (en) * 2005-11-04 2009-12-08 Intel Corporation Methods and apparatus for providing a delayed attack protection system for network traffic
FR2903831A1 (en) * 2006-07-12 2008-01-18 France Telecom METHOD FOR DETECTING SIMUL ACCESS POINTS IN A WIRELESS NETWORK
EP1881435A1 (en) * 2006-07-18 2008-01-23 France Télécom Method and apparatus for network attack detection by determining temporal data correlations
US7971253B1 (en) * 2006-11-21 2011-06-28 Airtight Networks, Inc. Method and system for detecting address rotation and related events in communication networks
TWI327005B (en) * 2007-02-16 2010-07-01 Asustek Comp Inc Method for establishing a wireless local area network
US7970894B1 (en) 2007-11-15 2011-06-28 Airtight Networks, Inc. Method and system for monitoring of wireless devices in local area computer networks
US7876710B2 (en) * 2008-07-30 2011-01-25 Juniper Networks, Inc. Layer two MAC flushing/re-routing
US9645225B2 (en) * 2008-11-21 2017-05-09 Qualcomm Incorporated Network-centric determination of node processing delay
US8892127B2 (en) 2008-11-21 2014-11-18 Qualcomm Incorporated Wireless-based positioning adjustments using a motion sensor
US20100130230A1 (en) * 2008-11-21 2010-05-27 Qualcomm Incorporated Beacon sectoring for position determination
US20100135178A1 (en) 2008-11-21 2010-06-03 Qualcomm Incorporated Wireless position determination using adjusted round trip time measurements
US9125153B2 (en) * 2008-11-25 2015-09-01 Qualcomm Incorporated Method and apparatus for two-way ranging
US8768344B2 (en) 2008-12-22 2014-07-01 Qualcomm Incorporated Post-deployment calibration for wireless position determination
US8750267B2 (en) * 2009-01-05 2014-06-10 Qualcomm Incorporated Detection of falsified wireless access points
EP2207046B1 (en) 2009-01-12 2012-08-15 AMB i.t. Holding B.V. Transponder and detection device using transmission time stamps
US20110107417A1 (en) * 2009-10-30 2011-05-05 Balay Rajini I Detecting AP MAC Spoofing
US8484256B2 (en) * 2010-01-13 2013-07-09 International Business Machines Corporation Transformation of logical data objects for storage
US8781492B2 (en) 2010-04-30 2014-07-15 Qualcomm Incorporated Device for round trip time measurements
KR101453521B1 (en) * 2011-05-20 2014-10-24 주식회사 케이티 Wireless access point apparatus and method for detecting unauthorized wireless lan node
KR101807523B1 (en) * 2011-12-13 2017-12-12 삼성전자주식회사 Apparatus and method for identifying wireless network provider in wireless communication system
EP2810405B1 (en) * 2012-01-31 2017-01-11 Hewlett-Packard Enterprise Development LP Determination of spoofing of a unique machine identifier
US9081957B2 (en) * 2013-02-07 2015-07-14 Ryatheon BBN Technologies Corp Dynamic operational watermarking for software and hardware assurance
US20150373692A1 (en) * 2014-06-19 2015-12-24 Walkbase Ltd Anonymous fingerprint generation for mobile communication device
US9467863B2 (en) * 2014-10-15 2016-10-11 Portinet, Inc. Detection of spoof attacks on location broadcasting beacons
US20180124697A1 (en) 2016-10-28 2018-05-03 Alcatel-Lucent Usa Inc. Verification of cell authenticity in a wireless network using an extended time stamp
CN108134996A (en) * 2017-12-22 2018-06-08 成都飞鱼星科技股份有限公司 A kind of detection of illegal wireless access point and blocking-up method
US10512094B2 (en) * 2017-12-28 2019-12-17 Intel Corporation Assessment and mitigation of radio frequency interference of networked devices
US10547587B2 (en) * 2018-03-19 2020-01-28 Didi Research America, Llc Method and system for near real-time IP user mapping
US11349867B2 (en) * 2018-12-31 2022-05-31 Forescout Technologies, Inc. Rogue device detection including mac address spoofing detection
US11516765B2 (en) * 2019-11-14 2022-11-29 Qualcomm Incorporated False base station detection based on time of arrival or timing advance
US11432152B2 (en) * 2020-05-04 2022-08-30 Watchguard Technologies, Inc. Method and apparatus for detecting and handling evil twin access points
US20220191245A1 (en) * 2020-12-10 2022-06-16 Samsung Electronics Co., Ltd. Detection of spoofing or jamming attacks in wireless communication system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002078288A1 (en) * 2001-03-22 2002-10-03 Infosim Networking Solutions Ag Method, system, and end user device for identifying a sender in a network
WO2003032602A2 (en) * 2001-10-09 2003-04-17 Telefonaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and pdsn synchronization at a pcf

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6745333B1 (en) * 2002-01-31 2004-06-01 3Com Corporation Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself
US7383577B2 (en) * 2002-05-20 2008-06-03 Airdefense, Inc. Method and system for encrypted network management and intrusion detection
US7523485B1 (en) * 2003-05-21 2009-04-21 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US7002943B2 (en) * 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7372809B2 (en) * 2004-05-18 2008-05-13 Time Warner Cable, Inc. Thwarting denial of service attacks originating in a DOCSIS-compliant cable network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002078288A1 (en) * 2001-03-22 2002-10-03 Infosim Networking Solutions Ag Method, system, and end user device for identifying a sender in a network
WO2003032602A2 (en) * 2001-10-09 2003-04-17 Telefonaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and pdsn synchronization at a pcf

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of WO2006035140A1 *

Also Published As

Publication number Publication date
WO2006035140A1 (en) 2006-04-06
US20080250498A1 (en) 2008-10-09

Similar Documents

Publication Publication Date Title
EP1794934A1 (en) Method, device a program for detecting an unauthorised connection to access points
EP1842389B1 (en) Method, device and programme for detecting IP spoofing in a wireless network
US9736174B2 (en) Method and apparatus for machine to machine network security monitoring in a communications network
EP2134115B1 (en) Detection of abnormal behavior of traffic transmitted from a mobile terminal in a radiocommunication network
JP2010508598A (en) Method and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis
CA2559645A1 (en) Open wireless access point detection and identification in a data network
EP1849261A1 (en) Method, device and program for detection of address spoofing in a wireless network
EP1905194B1 (en) Detecting double attachment between a wired network and at least one wireless network
WO2007010101A2 (en) Detecting an intrusion by alternative routing of data packets in a telecommunication network
FR2984674A1 (en) AUTO-CONFIGURATION OF EQUIPMENT FOR CONNECTION TO A SECURE WIRELESS NETWORK
EP2773067B1 (en) Method for improving the reliability of alert message generation on a synchronised data network
EP3747238B1 (en) Aggregating a plurality of radio connections in a wireless network
EP3850808B1 (en) Communication method
EP1881435A1 (en) Method and apparatus for network attack detection by determining temporal data correlations
FR3030959A1 (en) METHOD FOR TRANSMITTING AT LEAST ONE COMMUNICATION FRAME, RECEPTION METHOD, TRANSMITTING AND RECEIVING DEVICES, SOFTWARE MODULE PROGRAM AND CORRESPONDING SIGNAL.
FR2925810A1 (en) METHOD OF COMMUNICATING BETWEEN A TERMINAL AND A COMMUNICATION NETWORK
FR3109692A1 (en) A method of managing a pairing request phase between data processing devices.
WO2022238644A1 (en) Method for defending against an attempt to disconnect two entities, and associated system
US20190319970A1 (en) Network communications protocol for machine-to-machine self orchestration
FR3112002A1 (en) Method and device for detecting a security breach.
EP3970336A1 (en) Method for managing a piece of security information in a communication network, corresponding device, equipment for accessing the network and computer programs
WO2008006997A1 (en) Method of detecting simulated access points in a wireless network
WO2015135879A1 (en) Method for blocking access to a communication medium
WO2006048529A1 (en) System and method for transmitting messages in an electronic messaging communication network, using a transmission filter
FR2924294A1 (en) Authentication identifier e.g. medium access control address, and random sequence transmitting method for e.g. portable computer, involves sending authentication request nearer to communicating device by terminal

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070326

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

17Q First examination report despatched

Effective date: 20070830

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: FRANCE TELECOM

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20120403