EP1849261A1 - Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil - Google Patents

Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Info

Publication number
EP1849261A1
EP1849261A1 EP06709328A EP06709328A EP1849261A1 EP 1849261 A1 EP1849261 A1 EP 1849261A1 EP 06709328 A EP06709328 A EP 06709328A EP 06709328 A EP06709328 A EP 06709328A EP 1849261 A1 EP1849261 A1 EP 1849261A1
Authority
EP
European Patent Office
Prior art keywords
access point
address
list
frames
probe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP06709328A
Other languages
German (de)
English (en)
Inventor
Roland Duffau
Jérôme RAZNIEWSKI
Laurent Butti
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1849261A1 publication Critical patent/EP1849261A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning

Abstract

Une sonde (4) est installée pour capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès (1) du réseau. Les trames captées sont analysées pour établir une liste de stations (5) associées au point d'accès. Une autre liste de stations associées au point d'accès est obtenue auprès de ce dernier. Les deux listes de stations sont comparées pour détecter une éventuelle usurpation de l'adresse du point d'accès (1 ).

Description

PROCEDE, DISPOSITIF ET PROGRAMME PE DETECTION D'USURPATION D'ADRESSE DANS UN RESEAU SANS FIL
La présente invention concerne les technologies d'accès sans fil à des réseaux de télécommunications. Elle s'applique notamment aux technologies de type IEEE 802.11 normalisées par Nnstitute of Electrical and Electronics Engineers (IEEE). Les technologies IEEE 802.11 sont très utilisées dans les réseaux d'entreprise, résidentiels ainsi que dans les zones d'usage intensif ("hot spots"). Plus particulièrement, l'invention se rapporte au piratage de réseaux sans fil par usurpation d'adresse de point d'accès.
Par le terme "trame", on désigne ici un ensemble de données formant un bloc transmis dans un réseau et renfermant des données utiles et des informations de service, généralement situées dans une zone d'en-tête du bloc.
Selon le contexte, une trame peut être qualifiée de paquet de données, de datagramme, de bloc de données, ou autre expression de ce type.
Avec le succès et la démocratisation des technologies d'accès sans fil, des techniques de piratage ou d'attaque sont apparues.
Actuellement, un des risques les plus importants pour ce type de réseaux est l'attaque par point d'accès illégitime, qui consiste à créer un faux point d'accès en usurpant complètement les caractéristiques, notamment l'adresse de couche MAC ("Médium Access Control"), d'un point d'accès légitime, contrôlé par l'administrateur du réseau sans fil. Les faux points d'accès n'usurpant pas une adresse MAC d'un point d'accès légitime sont relativement faciles à détecter par simple vérification d'adresse MAC.
Le point d'accès est un élément primordial de la communication entre un client et un réseau. De ce fait, c'est un point critique, et donc intéressant pour les attaquants. Des attaques mettant en œuvre de faux points d'accès sont apparues avec pour objectifs:
• de récupérer des identifiants de connexion pour des utilisateurs qui sont authentifiés au moyen de "portails captifs" en se faisant passer pour un point d'accès légitime afin d'intercepter des données d'identification telles que les identifiants de connexion;
• d'intercepter des communications en réalisant une attaque de type "man in the middle", c'est-à-dire en simulant le comportement d'un point d'accès légitime vis-à-vis de l'utilisateur sans fil et celui d'un utilisateur sans fil vis-à-vis du point d'accès légitime afin d'intercepter toutes les communications; et
• d'ouvrir tout un réseau d'entreprise en laissant un point d'accès directement connecté au réseau de l'entreprise en mode ouvert, c'est-à- dire sans aucune authentification ni chiffrement de la voie radio, ce point d'accès acceptant par défaut toute demande de connexion.
Ces attaques sont difficilement détectables quand elles mettent en œuvre une technique d'usurpation d'adresse MAC. Il est alors plus difficile de distinguer deux équipements différents de la même catégorie émettant à partir d'une même adresse MAC. L'arrivée des nouveaux standards plus sécurisés (IEEE 802.11i) n'empêchera pas l'utilisation de points d'accès illégitimes car l'intérêt pour l'attaquant sera toujours présent.
Il existe donc un besoin pour un procédé de détection d'usurpation d'adresse MAC de point d'accès.
Une technique connue de détection d'usurpation d'adresse MAC repose sur l'analyse du champ de numéro de séquence ("Séquence Number") des trames IEEE 802.11. Ces numéros de séquence, gérés à bas niveau dans la carte radio, sont obligatoirement incrémentés d'une unité à chaque trame émise. Ceci permet de repérer des variations importantes entre plusieurs trames successives émises par une même adresse MAC. En comparant ces variations à des seuils prédéfinis, on peut détecter des anomalies dans les trames apparaissant en provenance d'une adresse MAC, et en déduire la probable usurpation de cette adresse par un attaquant.
Cette technique nécessite la gestion de seuils très précis et délicats à positionner. Il est difficile de la mettre en œuvre à elle seule et de s'assurer de l'absence de faux positifs (fausses alarmes) et de faux négatifs (attaques non détectées). La difficulté principale réside dans la gestion des pertes de trames, par exemple lors d'une transmission à longue distance. En effet, certaines trames sont alors perdues, ce qui entraîne des problèmes de faux positifs car les numéros de séquence varient fortement d'une trame à l'autre. Il est nécessaire de gérer les seuils de détection de manière très fine. C'est pourquoi cette technique est souvent insuffisante et doit être combinée avec une ou plusieurs autres afin de corréler les alarmes et d'avoir ainsi une confiance plus élevée dans les alarmes levées.
Un but de la présente invention est de proposer une nouvelle méthode de détection d'usurpation d'adresse dans un réseau sans fil de type IEEE 802.11 ou analogue.
L'invention propose ainsi un procédé de détection d'usurpation d'adresse dans un réseau sans fil, comprenant les étapes suivantes:
- capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau;
- analyser les trames captées pour établir une première liste de stations associées audit point d'accès;
- obtenir dudit point d'accès une seconde liste de stations qui lui sont associées; et - comparer les première et seconde listes de stations.
Le procédé utilise un recoupement d'informations collectées par des sondes qui captent les trames transmises sur le réseau sans fil et par des points d'accès légitimes contrôlés par l'administrateur du réseau. Si un point d'accès illégitime réussit à usurper l'adresse MAC d'un point d'accès légitime et à se faire associer une ou plusieurs stations sans fil à sa place, ce point d'accès légitime ne considérera généralement pas que ces stations lui sont associées.
En recherchant des stations de la première liste, reçue d'une sonde, qui manquent dans la seconde liste reçue du point d'accès, on peut donc détecter la présence d'un point d'accès illégitime usurpant l'adresse MAC d'un point d'accès légitime. Une alarme pourra ainsi être déclenchée si la première liste inclut au moins une station absente de la seconde liste. Pour éviter certains cas de fausse alarme, on peut prévoir que l'obtention et la comparaison des première et seconde listes soient répétées régulièrement, et qu'une alarme soit déclenchée si P comparaisons consécutives montrent que la première liste inclut au moins une station absente de la seconde liste, P étant un nombre égal ou supérieur à deux.
Pour renforcer la probabilité de détection, on peut déployer plusieurs sondes dans la zone de couverture du réseau sans fil, pour capter les trames et établir les premières listes relativement à au moins un point d'accès. Chaque première liste établie est alors comparée à la seconde liste obtenue du point d'accès légitime pour détecter une éventuelle usurpation d'adresse dans le réseau.
Un autre aspect de l'invention se rapporte à un dispositif de détection d'usurpation d'adresse dans un réseau sans fil pour la mise en œuvre du procédé ci-dessus. Ce dispositif comprend:
- des moyens pour recevoir d'au moins une sonde des informations d'identification provenant de trames captées par ladite sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau, lesdites informations d'identification reçues correspondant à une première liste de stations associées audit point d'accès;
- des moyens pour obtenir dudit point d'accès une seconde liste de stations associées audit point d'accès; et
- des moyens pour comparer les première et seconde listes de stations.
Les informations d'identification reçues peuvent comprendre la première liste, ou bien encore permettre de construire la première liste.
Dans le premier cas, la première liste est établie directement par la sonde avant d'être transmise au dispositif de détection d'usurpation d'adresse. La sonde est agencée pour établir elle-même la première liste.
Dans le second cas, la première liste peut être établie par le dispositif de détection d'usurpation d'adresse, à partir des informations d'identification reçues de la sonde. Le dispositif comprend alors des moyens d'analyse des informations d'identification pour établir la première liste.
L'expression « informations d'identification» désigne donc tout aussi bien la première liste elle-même que des informations permettant d'établir cette première liste, par exemple les champs de source et de destination des trames captées.
L'invention propose également un système de détection d'usurpation d'adresse dans un réseau sans fil comprenant le dispositif ci-dessus et une sonde agencée pour recommencer à zéro l'établissement de nouvelles informations d'identification relatives aux stations associées au point d'accès, après transmission des informations d'identification précédentes. Chaque ensemble envoyé par la sonde au bout d'un intervalle de temps Δt est donc représentatif de l'activité réseau observée pendant cet intervalle de temps uniquement.
L'invention propose aussi un programme d'ordinateur à installer dans un dispositif interface avec au moins un point d'accès d'un réseau sans fil et avec une sonde d'aide à la détection d'usurpation d'adresse dans le réseau sans fil, pour exécution par une unité de traitement de ce dispositif. Ce programme comprend des instructions pour exécuter les étapes suivantes lors d'une exécution du programme par l'unité de traitement: recevoir de la sonde des informations d'identification provenant de trames captées par la sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse du point d'accès, les informations d'identification correspondant à une première liste de stations associées au point d'accès; obtenir dudit point d'accès une seconde liste de stations qui lui sont associées; et comparer les première et seconde listes de stations.
D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après d'exemples de réalisation non limitatifs, en référence aux dessins annexés, dans lesquels : - la figure 1 est un schéma synoptique d'un réseau sans fil dans lequel l'invention est mise en œuvre;
- la figure 2 est un schéma synoptique d'un point d'accès de ce réseau, dont on cherche à détecter une éventuelle usurpation d'adresse; - la figure 3 est un schéma synoptique d'un exemple de sonde destinée à un système de détection d'usurpation d'adresse selon un mode de réalisation de l'invention; et
- la figure 4 est un schéma synoptique d'un exemple de dispositif de détection selon l'invention; et - la figure 5 est un organigramme d'un programme exécutable dans le dispositif de la figure 4.
L'invention est décrite ci-après dans son application particulière à la détection d'usurpation d'adresse MAC dans un réseau sans fil de type IEEE 802.11.
Le procédé bien connu d'association d'un client IEEE 802.11 à un point d'accès (AP, "Access Point") est le suivant. Dans une phase de découverte du point d'accès, la station cliente écoute la voie radio pour rechercher des trames spécifiques appelées balises ("Beacon"). Le client examine les informations contenues dans ce type de trame en particulier le nom de réseau (SSID, "Service Set Identifier") et les paramètres propres au réseau déployé. Ensuite, le client envoie des trames de recherche de points d'accès ("Probe Request") contenant le nom de réseau (SSID) recherché. Le ou les point(s) d'accès concerné(s) répond(ent) à la requête en renvoyant une trame "Probe Response" signalant leur présence. En fonction des éléments ainsi découverts, le client sélectionne le point d'accès voulu et demande à s'authentifier auprès de lui. Si l'authentification réussit, le client demande à s'associer auprès du point d'accès. Si l'association réussit, le client est capable d'envoyer et de recevoir des données via le point d'accès auquel il est connecté.
Lors de l'utilisation d'un point d'accès illégitime sur la voie radio, l'attaquant utilise généralement une technique d'usurpation complète du point d'accès: même nom de réseau (SSID), même adresse MAC. Mais il n'utilise généralement pas le même canal radio pour des questions d'interférences radio.
Le réseau IEEE 802.11 schématisé sur la figure 1 comporte un certain nombre de points d'accès 1 répartis sur la zone de couverture du réseau. Dans l'exemple représenté, ces points d'accès sont reliés à un réseau de type IP 2 qui peut être l'Internet. Pour la mise en œuvre de l'invention, deux autres modules 3, 4 sont reliés aux points d'accès 1 soit directement, soit par l'intermédiaire du réseau IP 2, à savoir un dispositif de détection, ou analyseur,
3 qui supervise le processus de détection et procède aux comparaisons de listes qui sont à la base de la détection, et une ou plusieurs sondes 4 déployées de façon à être à portée radio des points d'accès 1 ou des stations clientes 5 qui communiquent avec eux.
La figure 2 montre schématiquement les éléments constitutifs d'un point d'accès légitime 1 du réseau sans fil. Des circuits 10 assurent l'interface avec la partie filaire du réseau, tandis que les circuits radio 11 coopérant avec l'antenne 12 du point d'accès sont en charge de l'émission et de la réception des signaux sur l'interface sans fil. Entre ces circuits d'interface 10, 11 , les protocoles de la norme IEEE 802.11 , en particulier le protocole MAC permettent aux stations clientes 5 d'accéder au réseau sans fil, de façon connue en soi.
Ces protocoles sont typiquement mis en œuvre par l'exécution de programmes appropriés par un processeur 13 ou des circuits logiques du point d'accès 1. Pour la mise en œuvre de l'invention, ces programmes comprennent en outre un module logiciel 14 qui construit et tient à jour la liste des clients 5 qui sont associés au point d'accès 1. Cette liste, notée L2, contient les adresses MAC de tous les clients 5 qui sont associés au point d'accès 1 à l'instant considéré. Elle est établie en fonction des associations et désassociations de clients observées par la couche MAC du point d'accès. Cette liste L2 est transmise à l'analyseur 3 à travers le réseau 2, soit sur requête de l'analyseur 3, soit spontanément de manière périodique.
Chaque sonde 4 (figure 3) est un dispositif d'écoute passive de la voie radio. Elle comporte des circuits 40 pour l'interface avec la partie filaire du réseau et des circuits radio 41 pour appliquer les traitements de réception aux signaux captés par l'antenne 42 de la sonde. La sonde 4 comprend également un processeur 43 qui exécute des programmes mettant en œuvre la partie réception des protocoles IEEE 802.11 , notamment du protocole MAC.
En particulier, la couche MAC de la sonde 4 examine les champs d'adresse de source, d'adresse de destination et de type de trame qui sont contenus dans les trames captées par l'antenne 42.
Le processeur 43 exécute également un module logiciel 44 qui, dans une première variante de l'invention, construit des listes de clients respectivement associés à un certain nombre de points d'accès 1. Ces points d'accès sont ceux dont l'adresse MAC est observée dans les champs d'adresse de source et/ou de destination des trames captées. L'autre champ d'adresse de la trame captée permet d'identifier le client qui l'a émise ou auquel elle est destinée.
Dans une deuxième variante de l'invention non représentée, le module logiciel transmet à l'analyseur des informations d'identification relatives aux clients associés au point d'accès. L'analyseur établit la liste de clients associés au point d'accès à partir des informations d'identification reçues.
Les listes de clients associés, notées L1, sont construites pour différentes adresses de point d'accès sur une durée prédéfinie Δt qui est par exemple de l'ordre de quelques minutes. Cette durée Δt peut être spécifiée par l'analyseur 3, qui peut notamment l'adapter en fonction du nombre d'associations observées ou des statistiques de détection d'usurpation.
Pour déterminer les clients 5 associés à un point d'accès 1 , une sonde
4 peut utiliser par exemple une des méthodes suivantes (la liste n'est pas exhaustive):
• à chaque identification d'une trame de type "association success" provenant d'un point d'accès 1 (c'est-à-dire possédant comme adresse MAC source le BSSID (« Basic Service Set Identifier ») d'un équipement déjà identifié comme étant un point d'accès), le module 44 de la sonde ajoute, dans la liste L1 correspondant à ce point d'accès 1, l'adresse MAC de destination trouvée dans cette trame, si cette dernière adresse n'est pas déjà présente dans la liste L1 ; et/ou • les trames de données IEEE 802.11 captées en provenance d'un équipement identifié comme étant un point d'accès sont examinées par le module 44 de la sonde qui ajoute, dans la liste L1 correspondant à ce point d'accès, l'adresse MAC de destination trouvée dans ces trames, si cette dernière adresse n'est pas déjà présente dans la liste L1.
Pour optimiser cette dernière méthode d'identification, sachant notamment que les trames de données peuvent être usurpées par un attaquant, on peut utiliser un seuil, défini comme étant le nombre minimum N de trames de ce type que la sonde doit capter pour valider le fait que le client 5 ayant l'adresse considérée est bien associé au point d'accès 1. Par exemple on peut ne valider l'identification d'un client dans la liste L1 que lorsque la sonde 4 a observé au moins cent trames de données émises par le point d'accès 1 à son attention (N = 100).
D'autre part, la sonde 4 détermine aussi quand un client 5 se déconnecte d'un point d'accès 1 , et supprime l'adresse de ce client de la liste L1 correspondante. Pour cela, elle peut par exemple détecter les requêtes de "désassociation" ou de "désauthentification" à destination de l'adresse MAC d'un équipement identifié comme étant un point d'accès. Elle supprime alors de la liste correspondante l'adresse MAC source de cette requête, qui correspond au client qui se déconnecte.
Lorsqu'une sonde 4 a envoyé sa liste L1 à l'analyseur 3, elle recommence de zéro le processus de création d'une nouvelle liste. Chaque liste envoyée par une sonde au bout d'un intervalle de temps Δt est donc représentative de l'activité réseau observée pendant cet intervalle de temps uniquement. Ainsi si un client s'était désassσcié d'un point d'accès légitime pendant l'intervalle Δt précédent, et si la sonde n'avait pas pu observer cette désassociation à cause d'une perte de paquets, ce client ne sera pas rajouté à Ia liste créée pendant l'intervalle Δt suivant. On limite ainsi la détection de faux positifs.
La figure 4 montre schématiquement la constitution d'un dispositif analyseur 3 qui supervise le processus de détection d'usurpation et déclenche des alarmes en cas de détection, afin que l'administrateur du réseau sans fil puisse prendre les mesures appropriées.
L'analyseur 3 comporte des circuits 30 pour l'interface avec la partie filaire du réseau et un processeur 35 qui, à l'aide de programmes appropriés, procède aux opérations de contrôle et de comparaison permettant de détecter les usurpations d'adresse.
A travers l'interface 30, le processeur 35 récupère périodiquement, avec la périodicité Δt, les listes L1 , L2 établies par les sondes 4 et les points d'accès 1. L'envoi des listes L1 , L2 peut être effectué spontanément par les sondes 4 et/ou les points d'accès 1 avec la périodicité Δt, ou en réponse à une requête de l'analyseur 3.
Pour contacter les points d'accès 1 et récupérer les listes L2 de clients 5 qui leur sont associés, l'analyseur 3 utilise par exemple des mécanismes présents dans les équipements de type point d'accès, par un protocole tel que SNMP ("Simple Network Management Protocol").
II est avantageux que l'envoi des listes par les points d'accès et les sondes soit synchronisé, pour minimiser la probabilité que les listes L1 , L2 présentent des différences qui ne soient pas liées à la présence d'un usurpateur.
Le processus de comparaison de deux listes L1 , L2 concernant un même point d'accès 1 , identifié par son adresse MAC est par exemple le suivant:
1. si les deux listes ne sont pas identiques alors:
1a. si la liste L1 reçue d'une sonde 4 comporte un ou plusieurs clients 5 supplémentaires par rapport à la liste L2 reçue du point d'accès 1, alors l'analyseur 3 en déduit qu'il y a une usurpation d'identité de ce point d'accès. En effet, cela signifie que les clients supplémentaires trouvés par la sonde ne sont pas associés au point d'accès légitime, mais à un point d'accès 8 ayant usurpé l'identité du point d'accès légitime.
L'analyseur 3 déclenche alors une alarme pour prévenir l'administrateur. Il peut aussi traiter lui-même l'alarme déclenchée en effectuant automatiquement une action prédéfinie par l'administrateur;
1b. si la liste L1 reçue d'une sonde 4 comporte un ou plusieurs clients 5 manquant dans la liste L2 reçue du point d'accès 1, alors l'analyseur en conclut qu'il n'y a rien à signaler. Cela serait dû au fait:
1b1. que les clients en question se sont déconnectés du point d'accès dans l'intervalle de temps compris entre le moment de l'envoi de la liste L2 par le point d'accès et celui de l'envoi de la liste L1 par la sonde 4; ou
1b2. que la sonde 4 n'a pas vu certaines trames, de sorte que sa liste de clients identifiés comme associés est moins importante que la liste L2 des clients réellement associés. C'est ce cas qu'on cherche à éviter en multipliant les techniques d'identification d'association d'un client 5 à un point d'accès 1 ;
2. sinon, les listes L1 et L2 sont identiques et il n'y a rien à signaler.
Lorsqu'un tel processus de détection est appliqué, le programme de détection exécuté dans l'analyseur 3 est par exemple conforme à la figure 5.
Le procédé selon l'invention fournit des résultats d'autant meilleurs qu'il n'y a pas de perte de trames sur la voie radio.
Pour la détection d'association de clients 5 par la sonde 4, deux techniques ont été décrites: capture des trames "association success" et capture des trames de données IEEE 802.11 (avec utilisation d'un seuil N). La perte peut affecter la capture des trames "association success". Mais par contre, étant donné que les trames de données IEEE 802.11 sont redondantes, l'utilisation d'un seuil N (pour le nombre de trames de données IEEE 802.11 émises par un point d'accès 1 à destination d'un client 5) permet d'identifier correctement les clients associés, de sorte que la notion de perte de trames n'est plus critique.
Dans le cas de la détection de désassociation de clients 5 par la sonde
4, la perte peut toucher les trames de requête de désassociation ou de désauthentification. Si c'est le cas, la sonde 4 affichera une liste L1 de clients potentiellement plus grande que le point d'accès 1 , et l'analyseur 3 conclura à une usurpation d'adresse MAC alors qu'il n'y en a pas.
Pour éviter ces fausses alarmes, une réalisation avantageuse consiste à ne déclencher une alarme d'usurpation que lorsque P analyses successives donnent le même résultat, avec P entier égal ou supérieur à 2. Il suffira généralement de prendre P = 2, de sorte que le cycle de détection d'usurpation a pour durée 2.Δt. Ceci limite l'influence de la perte de trames sur la voie radio.
Il est remarquable que le procédé selon l'invention permette de détecter l'usurpation d'identité d'équipements sans passer par une analyse lourde des trames. Cette détection est très légère en temps d'analyse.
D'autre part, ce procédé permet de détecter une usurpation d'adresse même si l'attaquant 8 est éloigné de l'équipement légitime 1 , en raison de la centralisation de l'analyse. On peut recourir à des sondes 4 multiples et potentiellement distantes.
Le mode de réalisation qui a été décrit peut recevoir diverses modifications sans sortir du cadre de l'invention. Le procédé est notamment applicable à tous types de réseau sans fil de type IEEE 802.11 ou analogue.
En termes d'architecture, l'analyseur 3 peut naturellement être réalisé dans la même machine qu'une sonde 4 ou un point d'accès 1. Il existe aussi des façons très variées de relier les sondes 4 au réseau. Certaines de ces sondes 4 peuvent être colocalisées avec des points d'accès 1 et partager certaines de leurs ressources.

Claims

R E V E N D I C A T I O N S
1. Procédé de détection d'usurpation d'adresse dans un réseau sans fil, comprenant les étapes suivantes :
- capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès (1) du réseau; - analyser les trames captées pour établir une première liste (L1) de stations (5) associées audit point d'accès;
- obtenir dudit point d'accès une seconde liste (L2) de stations qui lui sont associées; et
- comparer les première et seconde listes de stations.
2. Procédé selon la revendication 1 , dans lequel une alarme est déclenchée si la première liste (L1) inclut au moins une station absente de la seconde liste (L2).
3. Procédé selon la revendication 1 , dans lequel l'obtention et la comparaison des première et seconde listes (L1 , L2) sont répétées régulièrement, et une alarme est déclenchée si P comparaisons consécutives montrent que la première liste inclut au moins une station (5) absente de la seconde liste, P étant un nombre au moins égal à deux.
4. Procédé selon l'une quelconque des revendications précédentes, dans lequel les trames captées comportent des trames de gestion confirmant l'association de stations (5) avec le point d'accès (1) et des trames de gestion mettant fin à l'association de stations avec ledit point d'accès.
5. Procédé selon l'une quelconque des revendications précédentes, dans lequel les trames captées comportent des trames de données ayant l'adresse dudit point d'accès (1) dans un champ d'adresse source, et les stations associées de la première liste (L1) sont identifiées d'après un champ d'adresse de destination desdites trames de données.
6. Procédé selon la revendication 5, dans lequel une station (5) n'est incluse dans la première liste (L1) qu'une fois que son adresse a été relevée au moins N fois dans le champ d'adresse de destination de trames de données ayant l'adresse dudit point d'accès (1) dans le champ d'adresse source, N étant une valeur de seuil prédéfinie.
7. Procédé selon l'une quelconque des revendications 1 à 4, dans lequel les trames captées comportent des trames de données ayant l'adresse dudit point d'accès (1) dans un champ d'adresse de destination, et les stations associées de la première liste (L1) sont identifiées d'après un champ d'adresse source desdites trames de données.
8. Procédé selon la revendication 7, dans lequel une station (5) n'est incluse dans la première liste (L1) qu'une fois que son adresse a été relevée au moins N fois dans le champ d'adresse source de trames de données ayant l'adresse dudit point d'accès (1) dans le champ d'adresse de destination, N étant une valeur de seuil prédéfinie.
9. Procédé selon l'une quelconque des revendications précédentes, dans lequel plusieurs sondes (4) sont déployées dans une zone de couverture du réseau sans fil pour capter lesdites trames et établir les premières listes (L1) relativement à au moins un point d'accès (1), et dans lequel chaque première liste établie est comparée à la seconde liste (L2) obtenue dudit point d'accès pour détecter une usurpation d'adresse dans le réseau.
10. Dispositif de détection d'usurpation d'adresse dans un réseau sans fil, comprenant:
- des moyens (30) pour recevoir d'au moins une sonde (4) des informations d'identification provenant de trames captées par ladite sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau, lesdites informations d'identification reçues correspondant à une première liste de stations associées audit point d'accès (1 ); - des moyens (30) pour obtenir dudit point d'accès une seconde liste (L2) de stations associées audit point d'accès; et
- des moyens (35) pour comparer les première et seconde listes de stations.
11. Dispositif de détection d'usurpation d'adresse selon la revendication 10, comprenant en outre
- des moyens d'analyse des informations d'identification reçues de la sonde (4), pour établir la première liste (L1).
12. Dispositif de détection d'usurpation d'adresse selon la revendication 10, dans lequel les informations d'identification reçues de la sonde comprennent la première liste.
13. Système de détection d'usurpation d'adresse dans un réseau sans fil, comprenant
- un dispositif de détection d'usurpation d'adresse selon l'une des revendications 10 à 12, et
- une sonde comprenant des moyens pour capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau, et des moyens de transmission au dispositif de détection d'usurpation d'adresse d'informations d'identification relatives aux stations associées audit point d'accès, lesdites informations d'identification provenant des trames captées, Ia sonde étant agencée pour recommencer à zéro l'établissement de nouvelles informations d'identification relatives aux stations associées au point d'accès.j après transmission des informations d'identification précédentes.
14. Programme d'ordinateur à installer dans un dispositif (3) interface avec au moins un point d'accès (1) d'un réseau sans fil et avec une sonde (4) d'aide à la détection d'usurpation d'adresse dans le réseau sans fil, pour exécution par une unité de traitement dudit dispositif, le programme comprenant des instructions pour exécuter les étapes suivantes lors d'une exécution du programme par ladite unité de traitement: - recevoir de la sonde des informations d'identification provenant de trames captées par la sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse du point d'accès, lesdites informations identification reçues correspondant à une première liste de stations associées audit pont d'accès; - obtenir dudit point d'accès une seconde liste (L2) de stations qui lui sont associées; et
- comparer les première et seconde listes de stations.
EP06709328A 2005-02-18 2006-02-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil Withdrawn EP1849261A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0501703 2005-02-18
PCT/FR2006/000353 WO2006087473A1 (fr) 2005-02-18 2006-02-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Publications (1)

Publication Number Publication Date
EP1849261A1 true EP1849261A1 (fr) 2007-10-31

Family

ID=35159983

Family Applications (1)

Application Number Title Priority Date Filing Date
EP06709328A Withdrawn EP1849261A1 (fr) 2005-02-18 2006-02-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Country Status (3)

Country Link
US (1) US20080263660A1 (fr)
EP (1) EP1849261A1 (fr)
WO (1) WO2006087473A1 (fr)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20075305L (fi) * 2007-05-02 2008-11-03 Eads Secure Networks Oy Datavirtojen hallinta tietoliikennejärjestelmässä
US8695095B2 (en) * 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
US8700913B1 (en) 2011-09-23 2014-04-15 Trend Micro Incorporated Detection of fake antivirus in computers
CN103368738B (zh) * 2012-04-11 2017-02-15 华为技术有限公司 一种安全身份发现及通信方法
US10129751B2 (en) * 2012-05-25 2018-11-13 Comcast Cable Communications, Llc Wireless gateway supporting public and private networks
CN105992198B (zh) * 2015-06-15 2019-09-17 中国银联股份有限公司 一种确定无线局域网安全程度的方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2322894T3 (es) * 2002-04-08 2009-07-01 Airmagnet, Inc. Monitorizacion de una red de area local.
US20040078598A1 (en) * 2002-05-04 2004-04-22 Instant802 Networks Inc. Key management and control of wireless network access points at a central server
US7965842B2 (en) * 2002-06-28 2011-06-21 Wavelink Corporation System and method for detecting unauthorized wireless access points
US7634252B2 (en) * 2003-03-07 2009-12-15 Computer Assocaites Think, Inc. Mobility management in wireless networks
US7522908B2 (en) * 2003-04-21 2009-04-21 Airdefense, Inc. Systems and methods for wireless network site survey
US20050060576A1 (en) * 2003-09-15 2005-03-17 Kime Gregory C. Method, apparatus and system for detection of and reaction to rogue access points

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2006087473A1 *

Also Published As

Publication number Publication date
WO2006087473A1 (fr) 2006-08-24
US20080263660A1 (en) 2008-10-23

Similar Documents

Publication Publication Date Title
US20220045990A1 (en) Methods and systems for api deception environment and api traffic control and security
US7536723B1 (en) Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7216365B2 (en) Automated sniffer apparatus and method for wireless local area network security
US7724717B2 (en) Method and apparatus for wireless network security
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
WO2006035140A1 (fr) Procede, dispositif et programme de detection d'usurpation de point d'acces.
US7971253B1 (en) Method and system for detecting address rotation and related events in communication networks
US20070025245A1 (en) Method and apparatus for identifying wireless transmitters
WO2006079710A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
EP1849261A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
Garant et al. Mining botnet behaviors on the large-scale web application community
Jain et al. ETGuard: Detecting D2D attacks using wireless evil twins
EP1905194B1 (fr) Detection de double attachement entre un reseau filaire et au moins un reseau sans-fil
WO2007010101A2 (fr) Detection d’une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
Lu et al. Client-side evil twin attacks detection using statistical characteristics of 802.11 data frames
d'Estalenx et al. NURSE: eNd-UseR IoT malware detection tool for Smart homEs
FR3105486A1 (fr) Procédé de détection d’un comportement malveillant dans un réseau de communication, dispositif, équipement d’accès audit réseau, procédé de détection d’une attaque distribuée dans ledit réseau, dispositif, équipement nœud et programmes d’ordinateur correspondants
Idland Detecting mac spoofing attacks in 802.11 networks through fingerprinting on the mac layer
WO2022238644A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe
Medeiros et al. Learning remote computer fingerprinting
Tao A novel intrusion detection system for detection of MAC address spoofing in wireless networks.
FR2888432A1 (fr) Procedes de protection des trames de gestion echangees entre deux equipements sans fil, de reception et d'emission de telles trames, programmes d'ordinateur et supports de donnees contenant ces programmes d'ordinateur
FR2995427A1 (fr) Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070813

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20120613

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20120830