EP1849261A1 - Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil - Google Patents

Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Info

Publication number
EP1849261A1
EP1849261A1 EP06709328A EP06709328A EP1849261A1 EP 1849261 A1 EP1849261 A1 EP 1849261A1 EP 06709328 A EP06709328 A EP 06709328A EP 06709328 A EP06709328 A EP 06709328A EP 1849261 A1 EP1849261 A1 EP 1849261A1
Authority
EP
European Patent Office
Prior art keywords
access point
address
list
frames
probe
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP06709328A
Other languages
German (de)
English (en)
Inventor
Roland Duffau
Jérôme RAZNIEWSKI
Laurent Butti
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1849261A1 publication Critical patent/EP1849261A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning

Definitions

  • the present invention relates to wireless access technologies to telecommunications networks. It applies in particular to IEEE 802.11 type technologies standardized by the Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 technologies are widely used in corporate and residential networks as well as in areas of intensive use (“hot spots"). More particularly, the invention relates to the hacking of wireless networks by spoofing of access point addresses.
  • IEEE 802.11 type technologies standardized by the Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 technologies are widely used in corporate and residential networks as well as in areas of intensive use (“hot spots"). More particularly, the invention relates to the hacking of wireless networks by spoofing of access point addresses.
  • frame is meant here a set of data forming a block transmitted in a network and containing useful data and service information, generally located in a header area of the block.
  • a frame may be described as a data packet, datagram, data block, or other expression of this type.
  • the access point is an essential element of communication between a client and a network. Therefore, it is a critical point, and therefore interesting for attackers. Attacks using fake access points appeared with the following objectives:
  • a known technique for detecting MAC address spoofing relies on the analysis of the Sequence Number ("Sequence Number") field of the IEEE 802.11 frames. These sequence numbers, managed at low level in the radio card, are necessarily incremented by one unit for each transmitted frame. This makes it possible to locate important variations between several successive frames sent by the same MAC address. By comparing these variations with predefined thresholds, it is possible to detect anomalies in the frames appearing coming from a MAC address, and to deduce the probable usurpation of this address by an attacker.
  • Sequence Number Sequence Number
  • This technique requires the management of very precise and delicate thresholds to position. It is difficult to implement on its own and to ensure the absence of false positives (false alarms) and false negatives (non detected).
  • the main difficulty lies in the management of frame losses, for example during a long-distance transmission. Indeed, some frames are lost, which leads to false positive problems because the sequence numbers vary greatly from frame to frame. It is necessary to manage the detection thresholds very finely. Therefore, this technique is often insufficient and must be combined with one or more others to correlate the alarms and thus have a higher confidence in the alarms raised.
  • An object of the present invention is to provide a new method of address spoofing detection in an IEEE 802.11 type wireless network or the like.
  • the invention thus proposes a method for detecting address spoofing in a wireless network, comprising the following steps:
  • the method uses cross-referencing of information collected by probes that pick up the frames transmitted over the wireless network and by legitimate access points controlled by the network administrator. If an illegitimate access point successfully spoofs the MAC address of a legitimate access point and has one or more wireless stations associated with it, that legitimate access point will not generally consider that these stations are associated with it.
  • probes can be deployed in the coverage area of the wireless network to capture the frames and establish the first lists for at least one access point. Each first list established is then compared to the second list obtained from the legitimate access point to detect a possible address spoofing in the network.
  • Another aspect of the invention relates to an address spoofing detection device in a wireless network for carrying out the above method.
  • This device comprises:
  • the credentials received may include the first list, or alternatively build the first list.
  • the first list is established directly by the probe before being transmitted to the address spoof detection device.
  • the probe is arranged to establish itself the first list.
  • the first list can be established by the device detection of address spoofing, from the identification information received from the probe.
  • the device then comprises means for analyzing the identification information to establish the first list.
  • identification information therefore designates the first list itself as well as information making it possible to establish this first list, for example the source and destination fields of the captured frames.
  • the invention also proposes a system for detecting address spoofing in a wireless network comprising the above device and a probe arranged to restart the establishment of new identification information relating to the stations associated with the point d. access, after transmission of the previous identification information.
  • Each set sent by the probe after a time interval ⁇ t is therefore representative of the network activity observed during this time interval only.
  • the invention also proposes a computer program to be installed in an interface device with at least one access point of a wireless network and with a probe for helping to detect address spoofing in the network without wire, for execution by a processing unit of this device.
  • This program includes instructions for performing the following steps during a program execution by the processing unit: receiving from the probe identification information from frames picked up by the probe on the wireless network, the captured frames having an address field that includes an access point address, the identification information corresponding to a first list of stations associated with the access point; obtaining from said access point a second list of stations associated therewith; and compare the first and second station lists.
  • FIG. 1 is a block diagram of a wireless network in which the invention is implemented
  • FIG. 2 is a block diagram of an access point of this network, which is to detect a possible address spoofing
  • FIG. 3 is a block diagram of an exemplary probe for an address spoof detection system according to an embodiment of the invention.
  • FIG. 4 is a block diagram of an exemplary detection device according to the invention.
  • FIG. 5 is a flowchart of an executable program in the device of FIG. 4.
  • the invention is described hereinafter in its particular application to the detection of MAC address spoofing in an IEEE 802.11 type wireless network.
  • beacons The well-known method of associating an IEEE 802.11 client with an access point (AP) is as follows.
  • the client station listens to the radio channel to search for specific frames called beacons ("Beacon").
  • the client examines the information contained in this type of frame, in particular the network name (SSID, "Service Set Identifier") and the parameters specific to the deployed network.
  • the client sends Probe Request ("Probe Request") frames containing the desired network name (SSID).
  • the access point (s) concerned responds to the request by returning a "Probe Response" frame indicating their presence.
  • the client selects the access point and asks to authenticate with him. If authentication succeeds, the client requests to associate with the access point. If the association succeeds, the client is able to send and receive data through the access point to which it is connected.
  • the attacker When using an illegitimate access point on the radio channel, the attacker usually uses a technique of complete spoofing of the access point: same network name (SSID), same MAC address. But he does not use usually not the same radio channel for radio interference issues.
  • SSID network name
  • MAC address MAC address
  • the IEEE 802.11 network schematized in FIG. 1 comprises a certain number of access points 1 distributed over the coverage area of the network.
  • these access points are connected to a network of IP 2 type which may be the Internet.
  • IP 2 type which may be the Internet.
  • two other modules 3, 4 are connected to the access points 1 either directly or via the IP network 2, namely a detection device, or analyzer,
  • FIG. 2 schematically shows the constituent elements of a legitimate access point 1 of the wireless network.
  • Circuits 10 provide the interface with the wired portion of the network, while the radio circuits 11 cooperating with the antenna 12 of the access point are responsible for transmitting and receiving signals on the wireless interface .
  • the protocols of the IEEE 802.11 standard, in particular the MAC protocol allow the client stations 5 to access the wireless network, in a manner known per se.
  • These protocols are typically implemented by the execution of appropriate programs by a processor 13 or logical circuits of the access point 1.
  • these programs further comprise a software module 14 which builds and maintains the list of clients 5 associated with access point 1.
  • This list denoted L2 contains the MAC addresses of all clients 5 that are associated with access point 1 at the instant in question. It is based on client associations and disassociations observed by the MAC layer of the access point.
  • This list L2 is transmitted to the analyzer 3 through the network 2, either at the request of the analyzer 3, or spontaneously periodically.
  • Each probe 4 (FIG. 3) is a passive listening device for the track radio. It comprises circuits 40 for interfacing with the wired part of the network and radio circuits 41 for applying the reception processes to the signals picked up by the antenna 42 of the probe.
  • the probe 4 also comprises a processor 43 which executes programs implementing the reception part of the IEEE 802.11 protocols, in particular the MAC protocol.
  • the MAC layer of the probe 4 examines the source address, destination address and frame type fields that are contained in the frames picked up by the antenna 42.
  • the processor 43 also executes a software module 44 which, in a first variant of the invention, constructs lists of clients respectively associated with a certain number of access points 1. These access points are those whose MAC address is observed in the source and / or destination address fields of the captured frames. The other address field of the captured frame makes it possible to identify the client who issued it or for which it is intended.
  • the software module transmits to the analyzer identification information relating to clients associated with the access point.
  • the analyzer establishes the list of clients associated with the access point from the credentials received.
  • the lists of associated clients are built for different access point addresses over a predefined duration ⁇ t which is for example of the order of a few minutes.
  • This duration ⁇ t can be specified by the analyzer 3, which can in particular adapt it according to the number of associations observed or the usurpation detection statistics.
  • Each identification of an "association success" frame originating from an access point 1 (that is to say having as source MAC address the BSSID ("Basic Service Set Identifier") of a device already identified as being an access point), the module 44 of the probe adds, in the list L1 corresponding to this access point 1, the destination MAC address found in this frame, if the latter address is not not already present in list L1; and / or • the IEEE 802.11 data frames received from a device identified as an access point are examined by the module 44 of the probe which adds, in the list L1 corresponding to this access point, the destination MAC address found in these frames, if the latter address is not already present in the list L1.
  • the BSSID Basic Service Set Identifier
  • a threshold defined as the minimum number N of frames of this type that the probe must capture to validate the fact.
  • N the minimum number of frames of this type that the probe must capture to validate the fact.
  • the probe 4 also determines when a client 5 disconnects from an access point 1, and removes the address of this client from the corresponding list L1. For this, it can for example detect requests for "disassembly” or “désauthentification” to the MAC address of a device identified as an access point. It then deletes the source MAC address of this request from the corresponding list, which corresponds to the client that disconnects.
  • FIG. 4 schematically shows the constitution of an analyzer device 3 which supervises the spoofing detection process and triggers alarms in the event of detection, so that the wireless network administrator can take the appropriate measures.
  • the analyzer 3 comprises circuits 30 for interfacing with the wired part of the network and a processor 35 which, by means of appropriate programs, carries out the checking and comparison operations making it possible to detect address spoofing.
  • the processor 35 periodically retrieves, with the periodicity ⁇ t, the lists L1, L2 established by the probes 4 and the access points 1.
  • the sending of the lists L1, L2 can be carried out spontaneously by the probes 4 and / or access points 1 with the periodicity ⁇ t, or in response to a request from the analyzer 3.
  • the analyzer 3 uses for example mechanisms present in the equipment of access point type, by a protocol such as SNMP ("Simple Network Management Protocol ").
  • the analyzer 3 deduces that there is an impersonation of this access point. This means that the additional clients found by the probe are not associated with the legitimate access point, but with an access point 8 having impersonated the legitimate access point.
  • the analyzer 3 then triggers an alarm to warn the administrator. It can also handle the triggered alarm itself by automatically performing a predefined action by the administrator;
  • probe 4 has not seen some frames, so its list of clients identified as associates is less important than the L2 list of actually associated clients. This is the case that we seek to avoid by multiplying the association identification techniques of a client 5 to an access point 1;
  • the detection program executed in the analyzer 3 is, for example, in accordance with FIG.
  • the method according to the invention provides results all the better that there is no loss of frames on the radio channel.
  • the loss can affect disassembly or de-authentication request frames. If this is the case, the probe 4 will display a list L1 of potentially larger clients than the access point 1, and the analyzer 3 will conclude to a spoof of MAC address when there is none .
  • the method according to the invention makes it possible to detect the theft of equipment identity without going through a heavy analysis of the frames. This detection is very light in analysis time.
  • this method makes it possible to detect an address theft even if the attacker 8 is away from the legitimate equipment 1, because of the centralization of the analysis. Multiple and potentially distant probes can be used.
  • the embodiment that has been described may receive various modifications without departing from the scope of the invention.
  • the method is particularly applicable to all types of wireless network type IEEE 802.11 or the like.
  • the analyzer 3 can of course be produced in the same machine as a probe 4 or an access point 1. There are also very varied ways of connecting the probes 4 to the network. Some of these Probes 4 can be collocated with access points 1 and share some of their resources.

Abstract

Une sonde (4) est installée pour capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès (1) du réseau. Les trames captées sont analysées pour établir une liste de stations (5) associées au point d'accès. Une autre liste de stations associées au point d'accès est obtenue auprès de ce dernier. Les deux listes de stations sont comparées pour détecter une éventuelle usurpation de l'adresse du point d'accès (1 ).

Description

PROCEDE, DISPOSITIF ET PROGRAMME PE DETECTION D'USURPATION D'ADRESSE DANS UN RESEAU SANS FIL
La présente invention concerne les technologies d'accès sans fil à des réseaux de télécommunications. Elle s'applique notamment aux technologies de type IEEE 802.11 normalisées par Nnstitute of Electrical and Electronics Engineers (IEEE). Les technologies IEEE 802.11 sont très utilisées dans les réseaux d'entreprise, résidentiels ainsi que dans les zones d'usage intensif ("hot spots"). Plus particulièrement, l'invention se rapporte au piratage de réseaux sans fil par usurpation d'adresse de point d'accès.
Par le terme "trame", on désigne ici un ensemble de données formant un bloc transmis dans un réseau et renfermant des données utiles et des informations de service, généralement situées dans une zone d'en-tête du bloc.
Selon le contexte, une trame peut être qualifiée de paquet de données, de datagramme, de bloc de données, ou autre expression de ce type.
Avec le succès et la démocratisation des technologies d'accès sans fil, des techniques de piratage ou d'attaque sont apparues.
Actuellement, un des risques les plus importants pour ce type de réseaux est l'attaque par point d'accès illégitime, qui consiste à créer un faux point d'accès en usurpant complètement les caractéristiques, notamment l'adresse de couche MAC ("Médium Access Control"), d'un point d'accès légitime, contrôlé par l'administrateur du réseau sans fil. Les faux points d'accès n'usurpant pas une adresse MAC d'un point d'accès légitime sont relativement faciles à détecter par simple vérification d'adresse MAC.
Le point d'accès est un élément primordial de la communication entre un client et un réseau. De ce fait, c'est un point critique, et donc intéressant pour les attaquants. Des attaques mettant en œuvre de faux points d'accès sont apparues avec pour objectifs:
• de récupérer des identifiants de connexion pour des utilisateurs qui sont authentifiés au moyen de "portails captifs" en se faisant passer pour un point d'accès légitime afin d'intercepter des données d'identification telles que les identifiants de connexion;
• d'intercepter des communications en réalisant une attaque de type "man in the middle", c'est-à-dire en simulant le comportement d'un point d'accès légitime vis-à-vis de l'utilisateur sans fil et celui d'un utilisateur sans fil vis-à-vis du point d'accès légitime afin d'intercepter toutes les communications; et
• d'ouvrir tout un réseau d'entreprise en laissant un point d'accès directement connecté au réseau de l'entreprise en mode ouvert, c'est-à- dire sans aucune authentification ni chiffrement de la voie radio, ce point d'accès acceptant par défaut toute demande de connexion.
Ces attaques sont difficilement détectables quand elles mettent en œuvre une technique d'usurpation d'adresse MAC. Il est alors plus difficile de distinguer deux équipements différents de la même catégorie émettant à partir d'une même adresse MAC. L'arrivée des nouveaux standards plus sécurisés (IEEE 802.11i) n'empêchera pas l'utilisation de points d'accès illégitimes car l'intérêt pour l'attaquant sera toujours présent.
Il existe donc un besoin pour un procédé de détection d'usurpation d'adresse MAC de point d'accès.
Une technique connue de détection d'usurpation d'adresse MAC repose sur l'analyse du champ de numéro de séquence ("Séquence Number") des trames IEEE 802.11. Ces numéros de séquence, gérés à bas niveau dans la carte radio, sont obligatoirement incrémentés d'une unité à chaque trame émise. Ceci permet de repérer des variations importantes entre plusieurs trames successives émises par une même adresse MAC. En comparant ces variations à des seuils prédéfinis, on peut détecter des anomalies dans les trames apparaissant en provenance d'une adresse MAC, et en déduire la probable usurpation de cette adresse par un attaquant.
Cette technique nécessite la gestion de seuils très précis et délicats à positionner. Il est difficile de la mettre en œuvre à elle seule et de s'assurer de l'absence de faux positifs (fausses alarmes) et de faux négatifs (attaques non détectées). La difficulté principale réside dans la gestion des pertes de trames, par exemple lors d'une transmission à longue distance. En effet, certaines trames sont alors perdues, ce qui entraîne des problèmes de faux positifs car les numéros de séquence varient fortement d'une trame à l'autre. Il est nécessaire de gérer les seuils de détection de manière très fine. C'est pourquoi cette technique est souvent insuffisante et doit être combinée avec une ou plusieurs autres afin de corréler les alarmes et d'avoir ainsi une confiance plus élevée dans les alarmes levées.
Un but de la présente invention est de proposer une nouvelle méthode de détection d'usurpation d'adresse dans un réseau sans fil de type IEEE 802.11 ou analogue.
L'invention propose ainsi un procédé de détection d'usurpation d'adresse dans un réseau sans fil, comprenant les étapes suivantes:
- capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau;
- analyser les trames captées pour établir une première liste de stations associées audit point d'accès;
- obtenir dudit point d'accès une seconde liste de stations qui lui sont associées; et - comparer les première et seconde listes de stations.
Le procédé utilise un recoupement d'informations collectées par des sondes qui captent les trames transmises sur le réseau sans fil et par des points d'accès légitimes contrôlés par l'administrateur du réseau. Si un point d'accès illégitime réussit à usurper l'adresse MAC d'un point d'accès légitime et à se faire associer une ou plusieurs stations sans fil à sa place, ce point d'accès légitime ne considérera généralement pas que ces stations lui sont associées.
En recherchant des stations de la première liste, reçue d'une sonde, qui manquent dans la seconde liste reçue du point d'accès, on peut donc détecter la présence d'un point d'accès illégitime usurpant l'adresse MAC d'un point d'accès légitime. Une alarme pourra ainsi être déclenchée si la première liste inclut au moins une station absente de la seconde liste. Pour éviter certains cas de fausse alarme, on peut prévoir que l'obtention et la comparaison des première et seconde listes soient répétées régulièrement, et qu'une alarme soit déclenchée si P comparaisons consécutives montrent que la première liste inclut au moins une station absente de la seconde liste, P étant un nombre égal ou supérieur à deux.
Pour renforcer la probabilité de détection, on peut déployer plusieurs sondes dans la zone de couverture du réseau sans fil, pour capter les trames et établir les premières listes relativement à au moins un point d'accès. Chaque première liste établie est alors comparée à la seconde liste obtenue du point d'accès légitime pour détecter une éventuelle usurpation d'adresse dans le réseau.
Un autre aspect de l'invention se rapporte à un dispositif de détection d'usurpation d'adresse dans un réseau sans fil pour la mise en œuvre du procédé ci-dessus. Ce dispositif comprend:
- des moyens pour recevoir d'au moins une sonde des informations d'identification provenant de trames captées par ladite sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau, lesdites informations d'identification reçues correspondant à une première liste de stations associées audit point d'accès;
- des moyens pour obtenir dudit point d'accès une seconde liste de stations associées audit point d'accès; et
- des moyens pour comparer les première et seconde listes de stations.
Les informations d'identification reçues peuvent comprendre la première liste, ou bien encore permettre de construire la première liste.
Dans le premier cas, la première liste est établie directement par la sonde avant d'être transmise au dispositif de détection d'usurpation d'adresse. La sonde est agencée pour établir elle-même la première liste.
Dans le second cas, la première liste peut être établie par le dispositif de détection d'usurpation d'adresse, à partir des informations d'identification reçues de la sonde. Le dispositif comprend alors des moyens d'analyse des informations d'identification pour établir la première liste.
L'expression « informations d'identification» désigne donc tout aussi bien la première liste elle-même que des informations permettant d'établir cette première liste, par exemple les champs de source et de destination des trames captées.
L'invention propose également un système de détection d'usurpation d'adresse dans un réseau sans fil comprenant le dispositif ci-dessus et une sonde agencée pour recommencer à zéro l'établissement de nouvelles informations d'identification relatives aux stations associées au point d'accès, après transmission des informations d'identification précédentes. Chaque ensemble envoyé par la sonde au bout d'un intervalle de temps Δt est donc représentatif de l'activité réseau observée pendant cet intervalle de temps uniquement.
L'invention propose aussi un programme d'ordinateur à installer dans un dispositif interface avec au moins un point d'accès d'un réseau sans fil et avec une sonde d'aide à la détection d'usurpation d'adresse dans le réseau sans fil, pour exécution par une unité de traitement de ce dispositif. Ce programme comprend des instructions pour exécuter les étapes suivantes lors d'une exécution du programme par l'unité de traitement: recevoir de la sonde des informations d'identification provenant de trames captées par la sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse du point d'accès, les informations d'identification correspondant à une première liste de stations associées au point d'accès; obtenir dudit point d'accès une seconde liste de stations qui lui sont associées; et comparer les première et seconde listes de stations.
D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après d'exemples de réalisation non limitatifs, en référence aux dessins annexés, dans lesquels : - la figure 1 est un schéma synoptique d'un réseau sans fil dans lequel l'invention est mise en œuvre;
- la figure 2 est un schéma synoptique d'un point d'accès de ce réseau, dont on cherche à détecter une éventuelle usurpation d'adresse; - la figure 3 est un schéma synoptique d'un exemple de sonde destinée à un système de détection d'usurpation d'adresse selon un mode de réalisation de l'invention; et
- la figure 4 est un schéma synoptique d'un exemple de dispositif de détection selon l'invention; et - la figure 5 est un organigramme d'un programme exécutable dans le dispositif de la figure 4.
L'invention est décrite ci-après dans son application particulière à la détection d'usurpation d'adresse MAC dans un réseau sans fil de type IEEE 802.11.
Le procédé bien connu d'association d'un client IEEE 802.11 à un point d'accès (AP, "Access Point") est le suivant. Dans une phase de découverte du point d'accès, la station cliente écoute la voie radio pour rechercher des trames spécifiques appelées balises ("Beacon"). Le client examine les informations contenues dans ce type de trame en particulier le nom de réseau (SSID, "Service Set Identifier") et les paramètres propres au réseau déployé. Ensuite, le client envoie des trames de recherche de points d'accès ("Probe Request") contenant le nom de réseau (SSID) recherché. Le ou les point(s) d'accès concerné(s) répond(ent) à la requête en renvoyant une trame "Probe Response" signalant leur présence. En fonction des éléments ainsi découverts, le client sélectionne le point d'accès voulu et demande à s'authentifier auprès de lui. Si l'authentification réussit, le client demande à s'associer auprès du point d'accès. Si l'association réussit, le client est capable d'envoyer et de recevoir des données via le point d'accès auquel il est connecté.
Lors de l'utilisation d'un point d'accès illégitime sur la voie radio, l'attaquant utilise généralement une technique d'usurpation complète du point d'accès: même nom de réseau (SSID), même adresse MAC. Mais il n'utilise généralement pas le même canal radio pour des questions d'interférences radio.
Le réseau IEEE 802.11 schématisé sur la figure 1 comporte un certain nombre de points d'accès 1 répartis sur la zone de couverture du réseau. Dans l'exemple représenté, ces points d'accès sont reliés à un réseau de type IP 2 qui peut être l'Internet. Pour la mise en œuvre de l'invention, deux autres modules 3, 4 sont reliés aux points d'accès 1 soit directement, soit par l'intermédiaire du réseau IP 2, à savoir un dispositif de détection, ou analyseur,
3 qui supervise le processus de détection et procède aux comparaisons de listes qui sont à la base de la détection, et une ou plusieurs sondes 4 déployées de façon à être à portée radio des points d'accès 1 ou des stations clientes 5 qui communiquent avec eux.
La figure 2 montre schématiquement les éléments constitutifs d'un point d'accès légitime 1 du réseau sans fil. Des circuits 10 assurent l'interface avec la partie filaire du réseau, tandis que les circuits radio 11 coopérant avec l'antenne 12 du point d'accès sont en charge de l'émission et de la réception des signaux sur l'interface sans fil. Entre ces circuits d'interface 10, 11 , les protocoles de la norme IEEE 802.11 , en particulier le protocole MAC permettent aux stations clientes 5 d'accéder au réseau sans fil, de façon connue en soi.
Ces protocoles sont typiquement mis en œuvre par l'exécution de programmes appropriés par un processeur 13 ou des circuits logiques du point d'accès 1. Pour la mise en œuvre de l'invention, ces programmes comprennent en outre un module logiciel 14 qui construit et tient à jour la liste des clients 5 qui sont associés au point d'accès 1. Cette liste, notée L2, contient les adresses MAC de tous les clients 5 qui sont associés au point d'accès 1 à l'instant considéré. Elle est établie en fonction des associations et désassociations de clients observées par la couche MAC du point d'accès. Cette liste L2 est transmise à l'analyseur 3 à travers le réseau 2, soit sur requête de l'analyseur 3, soit spontanément de manière périodique.
Chaque sonde 4 (figure 3) est un dispositif d'écoute passive de la voie radio. Elle comporte des circuits 40 pour l'interface avec la partie filaire du réseau et des circuits radio 41 pour appliquer les traitements de réception aux signaux captés par l'antenne 42 de la sonde. La sonde 4 comprend également un processeur 43 qui exécute des programmes mettant en œuvre la partie réception des protocoles IEEE 802.11 , notamment du protocole MAC.
En particulier, la couche MAC de la sonde 4 examine les champs d'adresse de source, d'adresse de destination et de type de trame qui sont contenus dans les trames captées par l'antenne 42.
Le processeur 43 exécute également un module logiciel 44 qui, dans une première variante de l'invention, construit des listes de clients respectivement associés à un certain nombre de points d'accès 1. Ces points d'accès sont ceux dont l'adresse MAC est observée dans les champs d'adresse de source et/ou de destination des trames captées. L'autre champ d'adresse de la trame captée permet d'identifier le client qui l'a émise ou auquel elle est destinée.
Dans une deuxième variante de l'invention non représentée, le module logiciel transmet à l'analyseur des informations d'identification relatives aux clients associés au point d'accès. L'analyseur établit la liste de clients associés au point d'accès à partir des informations d'identification reçues.
Les listes de clients associés, notées L1, sont construites pour différentes adresses de point d'accès sur une durée prédéfinie Δt qui est par exemple de l'ordre de quelques minutes. Cette durée Δt peut être spécifiée par l'analyseur 3, qui peut notamment l'adapter en fonction du nombre d'associations observées ou des statistiques de détection d'usurpation.
Pour déterminer les clients 5 associés à un point d'accès 1 , une sonde
4 peut utiliser par exemple une des méthodes suivantes (la liste n'est pas exhaustive):
• à chaque identification d'une trame de type "association success" provenant d'un point d'accès 1 (c'est-à-dire possédant comme adresse MAC source le BSSID (« Basic Service Set Identifier ») d'un équipement déjà identifié comme étant un point d'accès), le module 44 de la sonde ajoute, dans la liste L1 correspondant à ce point d'accès 1, l'adresse MAC de destination trouvée dans cette trame, si cette dernière adresse n'est pas déjà présente dans la liste L1 ; et/ou • les trames de données IEEE 802.11 captées en provenance d'un équipement identifié comme étant un point d'accès sont examinées par le module 44 de la sonde qui ajoute, dans la liste L1 correspondant à ce point d'accès, l'adresse MAC de destination trouvée dans ces trames, si cette dernière adresse n'est pas déjà présente dans la liste L1.
Pour optimiser cette dernière méthode d'identification, sachant notamment que les trames de données peuvent être usurpées par un attaquant, on peut utiliser un seuil, défini comme étant le nombre minimum N de trames de ce type que la sonde doit capter pour valider le fait que le client 5 ayant l'adresse considérée est bien associé au point d'accès 1. Par exemple on peut ne valider l'identification d'un client dans la liste L1 que lorsque la sonde 4 a observé au moins cent trames de données émises par le point d'accès 1 à son attention (N = 100).
D'autre part, la sonde 4 détermine aussi quand un client 5 se déconnecte d'un point d'accès 1 , et supprime l'adresse de ce client de la liste L1 correspondante. Pour cela, elle peut par exemple détecter les requêtes de "désassociation" ou de "désauthentification" à destination de l'adresse MAC d'un équipement identifié comme étant un point d'accès. Elle supprime alors de la liste correspondante l'adresse MAC source de cette requête, qui correspond au client qui se déconnecte.
Lorsqu'une sonde 4 a envoyé sa liste L1 à l'analyseur 3, elle recommence de zéro le processus de création d'une nouvelle liste. Chaque liste envoyée par une sonde au bout d'un intervalle de temps Δt est donc représentative de l'activité réseau observée pendant cet intervalle de temps uniquement. Ainsi si un client s'était désassσcié d'un point d'accès légitime pendant l'intervalle Δt précédent, et si la sonde n'avait pas pu observer cette désassociation à cause d'une perte de paquets, ce client ne sera pas rajouté à Ia liste créée pendant l'intervalle Δt suivant. On limite ainsi la détection de faux positifs.
La figure 4 montre schématiquement la constitution d'un dispositif analyseur 3 qui supervise le processus de détection d'usurpation et déclenche des alarmes en cas de détection, afin que l'administrateur du réseau sans fil puisse prendre les mesures appropriées.
L'analyseur 3 comporte des circuits 30 pour l'interface avec la partie filaire du réseau et un processeur 35 qui, à l'aide de programmes appropriés, procède aux opérations de contrôle et de comparaison permettant de détecter les usurpations d'adresse.
A travers l'interface 30, le processeur 35 récupère périodiquement, avec la périodicité Δt, les listes L1 , L2 établies par les sondes 4 et les points d'accès 1. L'envoi des listes L1 , L2 peut être effectué spontanément par les sondes 4 et/ou les points d'accès 1 avec la périodicité Δt, ou en réponse à une requête de l'analyseur 3.
Pour contacter les points d'accès 1 et récupérer les listes L2 de clients 5 qui leur sont associés, l'analyseur 3 utilise par exemple des mécanismes présents dans les équipements de type point d'accès, par un protocole tel que SNMP ("Simple Network Management Protocol").
II est avantageux que l'envoi des listes par les points d'accès et les sondes soit synchronisé, pour minimiser la probabilité que les listes L1 , L2 présentent des différences qui ne soient pas liées à la présence d'un usurpateur.
Le processus de comparaison de deux listes L1 , L2 concernant un même point d'accès 1 , identifié par son adresse MAC est par exemple le suivant:
1. si les deux listes ne sont pas identiques alors:
1a. si la liste L1 reçue d'une sonde 4 comporte un ou plusieurs clients 5 supplémentaires par rapport à la liste L2 reçue du point d'accès 1, alors l'analyseur 3 en déduit qu'il y a une usurpation d'identité de ce point d'accès. En effet, cela signifie que les clients supplémentaires trouvés par la sonde ne sont pas associés au point d'accès légitime, mais à un point d'accès 8 ayant usurpé l'identité du point d'accès légitime.
L'analyseur 3 déclenche alors une alarme pour prévenir l'administrateur. Il peut aussi traiter lui-même l'alarme déclenchée en effectuant automatiquement une action prédéfinie par l'administrateur;
1b. si la liste L1 reçue d'une sonde 4 comporte un ou plusieurs clients 5 manquant dans la liste L2 reçue du point d'accès 1, alors l'analyseur en conclut qu'il n'y a rien à signaler. Cela serait dû au fait:
1b1. que les clients en question se sont déconnectés du point d'accès dans l'intervalle de temps compris entre le moment de l'envoi de la liste L2 par le point d'accès et celui de l'envoi de la liste L1 par la sonde 4; ou
1b2. que la sonde 4 n'a pas vu certaines trames, de sorte que sa liste de clients identifiés comme associés est moins importante que la liste L2 des clients réellement associés. C'est ce cas qu'on cherche à éviter en multipliant les techniques d'identification d'association d'un client 5 à un point d'accès 1 ;
2. sinon, les listes L1 et L2 sont identiques et il n'y a rien à signaler.
Lorsqu'un tel processus de détection est appliqué, le programme de détection exécuté dans l'analyseur 3 est par exemple conforme à la figure 5.
Le procédé selon l'invention fournit des résultats d'autant meilleurs qu'il n'y a pas de perte de trames sur la voie radio.
Pour la détection d'association de clients 5 par la sonde 4, deux techniques ont été décrites: capture des trames "association success" et capture des trames de données IEEE 802.11 (avec utilisation d'un seuil N). La perte peut affecter la capture des trames "association success". Mais par contre, étant donné que les trames de données IEEE 802.11 sont redondantes, l'utilisation d'un seuil N (pour le nombre de trames de données IEEE 802.11 émises par un point d'accès 1 à destination d'un client 5) permet d'identifier correctement les clients associés, de sorte que la notion de perte de trames n'est plus critique.
Dans le cas de la détection de désassociation de clients 5 par la sonde
4, la perte peut toucher les trames de requête de désassociation ou de désauthentification. Si c'est le cas, la sonde 4 affichera une liste L1 de clients potentiellement plus grande que le point d'accès 1 , et l'analyseur 3 conclura à une usurpation d'adresse MAC alors qu'il n'y en a pas.
Pour éviter ces fausses alarmes, une réalisation avantageuse consiste à ne déclencher une alarme d'usurpation que lorsque P analyses successives donnent le même résultat, avec P entier égal ou supérieur à 2. Il suffira généralement de prendre P = 2, de sorte que le cycle de détection d'usurpation a pour durée 2.Δt. Ceci limite l'influence de la perte de trames sur la voie radio.
Il est remarquable que le procédé selon l'invention permette de détecter l'usurpation d'identité d'équipements sans passer par une analyse lourde des trames. Cette détection est très légère en temps d'analyse.
D'autre part, ce procédé permet de détecter une usurpation d'adresse même si l'attaquant 8 est éloigné de l'équipement légitime 1 , en raison de la centralisation de l'analyse. On peut recourir à des sondes 4 multiples et potentiellement distantes.
Le mode de réalisation qui a été décrit peut recevoir diverses modifications sans sortir du cadre de l'invention. Le procédé est notamment applicable à tous types de réseau sans fil de type IEEE 802.11 ou analogue.
En termes d'architecture, l'analyseur 3 peut naturellement être réalisé dans la même machine qu'une sonde 4 ou un point d'accès 1. Il existe aussi des façons très variées de relier les sondes 4 au réseau. Certaines de ces sondes 4 peuvent être colocalisées avec des points d'accès 1 et partager certaines de leurs ressources.

Claims

R E V E N D I C A T I O N S
1. Procédé de détection d'usurpation d'adresse dans un réseau sans fil, comprenant les étapes suivantes :
- capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès (1) du réseau; - analyser les trames captées pour établir une première liste (L1) de stations (5) associées audit point d'accès;
- obtenir dudit point d'accès une seconde liste (L2) de stations qui lui sont associées; et
- comparer les première et seconde listes de stations.
2. Procédé selon la revendication 1 , dans lequel une alarme est déclenchée si la première liste (L1) inclut au moins une station absente de la seconde liste (L2).
3. Procédé selon la revendication 1 , dans lequel l'obtention et la comparaison des première et seconde listes (L1 , L2) sont répétées régulièrement, et une alarme est déclenchée si P comparaisons consécutives montrent que la première liste inclut au moins une station (5) absente de la seconde liste, P étant un nombre au moins égal à deux.
4. Procédé selon l'une quelconque des revendications précédentes, dans lequel les trames captées comportent des trames de gestion confirmant l'association de stations (5) avec le point d'accès (1) et des trames de gestion mettant fin à l'association de stations avec ledit point d'accès.
5. Procédé selon l'une quelconque des revendications précédentes, dans lequel les trames captées comportent des trames de données ayant l'adresse dudit point d'accès (1) dans un champ d'adresse source, et les stations associées de la première liste (L1) sont identifiées d'après un champ d'adresse de destination desdites trames de données.
6. Procédé selon la revendication 5, dans lequel une station (5) n'est incluse dans la première liste (L1) qu'une fois que son adresse a été relevée au moins N fois dans le champ d'adresse de destination de trames de données ayant l'adresse dudit point d'accès (1) dans le champ d'adresse source, N étant une valeur de seuil prédéfinie.
7. Procédé selon l'une quelconque des revendications 1 à 4, dans lequel les trames captées comportent des trames de données ayant l'adresse dudit point d'accès (1) dans un champ d'adresse de destination, et les stations associées de la première liste (L1) sont identifiées d'après un champ d'adresse source desdites trames de données.
8. Procédé selon la revendication 7, dans lequel une station (5) n'est incluse dans la première liste (L1) qu'une fois que son adresse a été relevée au moins N fois dans le champ d'adresse source de trames de données ayant l'adresse dudit point d'accès (1) dans le champ d'adresse de destination, N étant une valeur de seuil prédéfinie.
9. Procédé selon l'une quelconque des revendications précédentes, dans lequel plusieurs sondes (4) sont déployées dans une zone de couverture du réseau sans fil pour capter lesdites trames et établir les premières listes (L1) relativement à au moins un point d'accès (1), et dans lequel chaque première liste établie est comparée à la seconde liste (L2) obtenue dudit point d'accès pour détecter une usurpation d'adresse dans le réseau.
10. Dispositif de détection d'usurpation d'adresse dans un réseau sans fil, comprenant:
- des moyens (30) pour recevoir d'au moins une sonde (4) des informations d'identification provenant de trames captées par ladite sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau, lesdites informations d'identification reçues correspondant à une première liste de stations associées audit point d'accès (1 ); - des moyens (30) pour obtenir dudit point d'accès une seconde liste (L2) de stations associées audit point d'accès; et
- des moyens (35) pour comparer les première et seconde listes de stations.
11. Dispositif de détection d'usurpation d'adresse selon la revendication 10, comprenant en outre
- des moyens d'analyse des informations d'identification reçues de la sonde (4), pour établir la première liste (L1).
12. Dispositif de détection d'usurpation d'adresse selon la revendication 10, dans lequel les informations d'identification reçues de la sonde comprennent la première liste.
13. Système de détection d'usurpation d'adresse dans un réseau sans fil, comprenant
- un dispositif de détection d'usurpation d'adresse selon l'une des revendications 10 à 12, et
- une sonde comprenant des moyens pour capter des trames transmises sur le réseau sans fil, ayant un champ d'adresse qui comporte une adresse d'un point d'accès du réseau, et des moyens de transmission au dispositif de détection d'usurpation d'adresse d'informations d'identification relatives aux stations associées audit point d'accès, lesdites informations d'identification provenant des trames captées, Ia sonde étant agencée pour recommencer à zéro l'établissement de nouvelles informations d'identification relatives aux stations associées au point d'accès.j après transmission des informations d'identification précédentes.
14. Programme d'ordinateur à installer dans un dispositif (3) interface avec au moins un point d'accès (1) d'un réseau sans fil et avec une sonde (4) d'aide à la détection d'usurpation d'adresse dans le réseau sans fil, pour exécution par une unité de traitement dudit dispositif, le programme comprenant des instructions pour exécuter les étapes suivantes lors d'une exécution du programme par ladite unité de traitement: - recevoir de la sonde des informations d'identification provenant de trames captées par la sonde sur le réseau sans fil, les trames captées ayant un champ d'adresse qui comporte une adresse du point d'accès, lesdites informations identification reçues correspondant à une première liste de stations associées audit pont d'accès; - obtenir dudit point d'accès une seconde liste (L2) de stations qui lui sont associées; et
- comparer les première et seconde listes de stations.
EP06709328A 2005-02-18 2006-02-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil Withdrawn EP1849261A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0501703 2005-02-18
PCT/FR2006/000353 WO2006087473A1 (fr) 2005-02-18 2006-02-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Publications (1)

Publication Number Publication Date
EP1849261A1 true EP1849261A1 (fr) 2007-10-31

Family

ID=35159983

Family Applications (1)

Application Number Title Priority Date Filing Date
EP06709328A Withdrawn EP1849261A1 (fr) 2005-02-18 2006-02-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Country Status (3)

Country Link
US (1) US20080263660A1 (fr)
EP (1) EP1849261A1 (fr)
WO (1) WO2006087473A1 (fr)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI20075305L (fi) * 2007-05-02 2008-11-03 Eads Secure Networks Oy Datavirtojen hallinta tietoliikennejärjestelmässä
US8695095B2 (en) * 2011-03-11 2014-04-08 At&T Intellectual Property I, L.P. Mobile malicious software mitigation
US8700913B1 (en) 2011-09-23 2014-04-15 Trend Micro Incorporated Detection of fake antivirus in computers
CN103368738B (zh) * 2012-04-11 2017-02-15 华为技术有限公司 一种安全身份发现及通信方法
US10129751B2 (en) * 2012-05-25 2018-11-13 Comcast Cable Communications, Llc Wireless gateway supporting public and private networks
CN105992198B (zh) * 2015-06-15 2019-09-17 中国银联股份有限公司 一种确定无线局域网安全程度的方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2479854C (fr) * 2002-04-08 2010-08-24 Airmagnet, Inc. Surveillance d'un reseau local
US7382756B2 (en) * 2002-05-04 2008-06-03 Broadcom Corporation Integrated user and radio management in a wireless network environment
US7965842B2 (en) * 2002-06-28 2011-06-21 Wavelink Corporation System and method for detecting unauthorized wireless access points
US7634252B2 (en) * 2003-03-07 2009-12-15 Computer Assocaites Think, Inc. Mobility management in wireless networks
US7522908B2 (en) * 2003-04-21 2009-04-21 Airdefense, Inc. Systems and methods for wireless network site survey
US20050060576A1 (en) * 2003-09-15 2005-03-17 Kime Gregory C. Method, apparatus and system for detection of and reaction to rogue access points

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2006087473A1 *

Also Published As

Publication number Publication date
WO2006087473A1 (fr) 2006-08-24
US20080263660A1 (en) 2008-10-23

Similar Documents

Publication Publication Date Title
US20220045990A1 (en) Methods and systems for api deception environment and api traffic control and security
US7536723B1 (en) Automated method and system for monitoring local area computer networks for unauthorized wireless access
US7216365B2 (en) Automated sniffer apparatus and method for wireless local area network security
US7724717B2 (en) Method and apparatus for wireless network security
US7970894B1 (en) Method and system for monitoring of wireless devices in local area computer networks
WO2006035140A1 (fr) Procede, dispositif et programme de detection d'usurpation de point d'acces.
US7971253B1 (en) Method and system for detecting address rotation and related events in communication networks
US20070025245A1 (en) Method and apparatus for identifying wireless transmitters
WO2006079710A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
EP1849261A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
Garant et al. Mining botnet behaviors on the large-scale web application community
Jain et al. ETGuard: Detecting D2D attacks using wireless evil twins
EP1905194B1 (fr) Detection de double attachement entre un reseau filaire et au moins un reseau sans-fil
EP1902563A2 (fr) Detection d une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
Lu et al. Client-side evil twin attacks detection using statistical characteristics of 802.11 data frames
d'Estalenx et al. NURSE: eNd-UseR IoT malware detection tool for Smart homEs
FR3105486A1 (fr) Procédé de détection d’un comportement malveillant dans un réseau de communication, dispositif, équipement d’accès audit réseau, procédé de détection d’une attaque distribuée dans ledit réseau, dispositif, équipement nœud et programmes d’ordinateur correspondants
Idland Detecting mac spoofing attacks in 802.11 networks through fingerprinting on the mac layer
EP4338375A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe
Medeiros et al. Learning remote computer fingerprinting
Tao A novel intrusion detection system for detection of MAC address spoofing in wireless networks.
FR2888432A1 (fr) Procedes de protection des trames de gestion echangees entre deux equipements sans fil, de reception et d'emission de telles trames, programmes d'ordinateur et supports de donnees contenant ces programmes d'ordinateur
FR2995427A1 (fr) Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070813

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20120613

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20120830