FR2881592A1 - Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique - Google Patents

Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique Download PDF

Info

Publication number
FR2881592A1
FR2881592A1 FR0501042A FR0501042A FR2881592A1 FR 2881592 A1 FR2881592 A1 FR 2881592A1 FR 0501042 A FR0501042 A FR 0501042A FR 0501042 A FR0501042 A FR 0501042A FR 2881592 A1 FR2881592 A1 FR 2881592A1
Authority
FR
France
Prior art keywords
address
network
data
stimulus
spoofing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0501042A
Other languages
English (en)
Inventor
Laurent Butti
Roland Duffau
Franck Veysset
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0501042A priority Critical patent/FR2881592A1/fr
Priority to PCT/FR2006/000160 priority patent/WO2006082296A2/fr
Publication of FR2881592A1 publication Critical patent/FR2881592A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Collating Specific Patterns (AREA)

Abstract

L'invention concerne un procédé de détection d'usurpation d'adresse pour laisser passer ou non des données à destination d'un réseau (1, 8). A réception de données émises par un dispositif (5) connecté à un médium d'accès (2) audit réseau, un filtre(7) effectue les étapes suivantes:-a) émettre un stimulus à destination du dispositif, destiné à obtenir une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif;-b) réceptionner une réponse du dispositif (5) et l'analyser pour former une empreinte d'identification du dispositif comprenant une adresse de réseau dudit dispositif et une signature représentative des caractéristiques de fonctionnement du dispositif;-c) comparer l'empreinte formée avec une empreinte valide d'identification du dispositif;-d) si l'empreinte formée comporte une adresse correspondant à l'empreinte valide d'identification du dispositif mais avec une signature différente de celle de l'empreinte valide d'identification du dispositif, détecter une usurpation de l'adresse de réseau dudit dispositif.

Description

PROCEDE ET DISPOSITIF DE DETECTION D'USURPATIONS
D'ADRESSE DANS UN RESEAU INFORMATIQUE L'invention se rapporte aux réseaux informatiques et en particulier à l'accès à un réseau informatique lorsque celui-ci dispose d'une connexion filaire ou sans fil qui est accessible à un public non trié. Plus particulièrement, l'invention se préoccupe de détecter des usurpations d'adresses de réseau pour accéder au réseau.
Pour accéder à un réseau informatique, il est connu d'identifier les personnes ou les dispositifs désirant se connecter au réseau pour utiliser certaines ressources.
Une authentification de client permet de déterminer si le client est autorisé à se connecter et permet de lui attribuer les privilèges qui lui sont associés pour se déplacer dans le réseau et accéder aux données qui lui sont autorisées. Une fois qu'un client a été authentifié, l'utilisation de son adresse IP (de l'anglais Internet Protocol ), éventuellement accompagnée d'une adresse MAC (de l'anglais Medium Access Control ), permettent d'identifier le client et de lui faire bénéficier des privilèges qui lui sont attribués.
Une technique d'intrusion dans un réseau sécurisé consiste à usurper l'adresse IP et éventuellement l'adresse MAC d'un client authentifié. Ce type d'usurpation d'identité est plus facile à réaliser avec les réseaux sans fil disposés dans les endroits publics. En effet, il est alors possible d'intercepter par radio l'adresse MAC et également l'adresse IP d'un client connecté à un réseau et d'utiliser son adresse IP et son adresse MAC pour se connecter en même temps que lui au même réseau et bénéficier des mêmes privilèges que le client légitime. Afin d'éviter que des clients illégitimes ne profitent indûment du réseau, il est nécessaire d'en contrôler l'accès.
Tout d'abord, il faut s'assurer que seuls des clients autorisés par le gestionnaire du réseau peuvent l'utiliser. Cette première étape est réalisée lors de l'authentification du client qui tente de se connecter sur le réseau. Ensuite, il convient de maintenir une relation d'authentification avec le client, c'est-à-dire de s'assurer que le client autorisé qui utilise le réseau est bien le même que celui qui s'est authentifié afin d'éviter qu'un client non autorisé usurpe l'identité du client autorisé. Pour maintenir le contrôle sur un client autorisé et connecté, plusieurs techniques permettent de contrôler l'accès.
Une première technique est une technique physique. Les prises de connexion au réseau ne peuvent être accessibles qu'à des personnes pouvant rentrer dans un local fermé. Ainsi, seules les personnes autorisées pourront se connecter à partir d'une machine dont l'adresse IP sera reconnue comme étant une adresse sécurisée. Pour des réseaux complètement ouverts, notamment à travers Inteinet, il existe des techniques basées sur la cryptographie pour échanger des données entre un utilisateur et un serveur. Cet échange de données est conditionné par la possession d'un secret permettant de mettre en oeuvre les techniques cryptographiques.
Actuellement, on voit apparaître des points d'accès accessibles à tout public, par exemple dans les gares ou aéroports mais également dans les entreprises, où des liaisons sans fil sont disponibles afin d'éviter les branchements et débranchements d'ordinateurs par des personnes amenées à se déplacer fréquemment. Egalement en entreprise, il est possible qu'un client souhaite se connecter à travers le réseau de l'entreprise visitée à sa propre entreprise en passant par Internet. Dans ce cadre de liaison sans fil toutes les communications sont facilement interceptables sans que l'on puisse contrôler nécessairement la liaison physique au réseau. Par ailleurs, l'utilisation de la cryptographie n'est pas bien appliquée à ce type de liaison car les moyens de cryptographie du réseau qui reçoit la connexion et de l'utilisateur qui désire s'y connecter doivent être adaptés l'un à l'autre, ce qui peut poser des problèmes avec les réseaux où l'utilisateur se connecte. De plus, l'utilisation de la cryptographie rajoute du temps de traitement et de la redondance d'informations qui réduit la vitesse de communication.
Un mécanisme de portail captif a été développé pour apporter une solution se substituant aux solutions de sécurisation précédemment énoncées. Le principe du portail captif met en oeuvre un dispositif de filtrage, également appelé pare-feu (firewall) pour filtrer les adresses IP et également les adresses MAC lorsque celles-ci sont utilisées. Lors d'une connexion, si l'adresse IP et éventuellement l'adresse MAC ne sont pas enregistrées dans le dispositif de filtrage, aucun message électronique ou paquet de données en provenance de ces adresses ne peut passer le filtre. Lors de la première présentation d'une adresse IP non autorisée, le client est invité à ouvrir son navigateur Internet et est automatiquement redirigé vers un portail d'authentification d'un gestionnaire du réseau, d'où le nom de portail captif. Ce portail permet au client de s'authentifier de manière sécurisée, par exemple en utilisant le protocole SSL (de l'anglais Secure Sockets Layer ). Toutes les autres requêtes du client non authentifiées seront bloquées par le dispositif de filtrage tant que l'authentification n'aura pas réussi. En cas d'authentification réussie, et dans le cas où le client authentifié est autorisé à accéder à un réseau, une mise à jour des règles de filtrage du dispositif de filtrage est effectuée pour laisser passer des paquets de données en provenance de l'adresse IP accompagnée éventuellement de l'adresse MAC correspondant au client identifié. Comme le contrôle d'accès par adresse MAC et adresse IP est relativement faible dans le cas d'un réseau ouvert, le portail captif peut utiliser un contrôle d'accès supplémentaire par jetons échangés au niveau applicatif. Le portail captif garde en effet un canal de communication sécurisé ouvert avec le client, toujours à l'aide du protocole SSL. Périodiquement, le client doit présenter un jeton d'authentification grâce à ce canal. Le défaut de présentation de ce jeton entraîne la modification du dispositif de filtrage et le remet dans un état bloquant pour l'adresse IP. Ainsi, un client non autorisé et usurpant l'adresse IP et éventuellement l'adresse MAC d'un client autorisé ne pourra pas présenter ce jeton et verra sa connexion terminée. Le jeton peut également être présenté sur requête si l'utilisateur tente d'accéder à des ressources sensibles.
Le portail captif est particulièrement bien adapté pour être utilisé dans le cadre de réseaux sans fil, par exemple utilisant la technologie IEEE802.11 mais également dans le cas d'un réseau filaire dont une partie du réseau serait mise à disposition du visiteur par une entreprise. Ceci est d'autant plus vrai qu'actuellement les réseaux de type sans fil utilisant le standard IEEE802.11 n'ont pas de mécanisme de sécurité prévu contre l'intrusion. De même, un réseau de type Ethernet (IEEE802.3) misant sur l'impossibilité physique de s'y connecter, ne dispose pas lui non plus de moyens de sécurisation en cas de mise à disposition d'une prise de connexion.
Comme il a été indiqué précédemment, le filtrage par adresse IP et 30 éventuellement par adresse MAC est une protection faible. En effet, ces protections sont très faciles à contourner car il suffit d'usurper l'adresse IP et l'adresse MAC d'un client autorisé lorsque ledit client est connecté. L'utilisation du jeton d'authentification est relativement efficace mais présente quelques limitations. En effet, pour que le jeton puisse être échangé, il faut impérativement que le dispositif client et le serveur d'authentification du réseau soient capables de dialoguer en permanence pour pouvoir échanger le jeton. Or, une application fortement utilisée par des clients sur des accès de type sans fil, par exemple dans les aéroports, consiste à monter un tunnel entre leur ordinateur et leur entreprise. Le tunnel est une sorte de réseau privé virtuel utilisé pour des raisons de sécurité afin d'être sûr que, sur un réseau ouvert, par exemple de type Internet, il ne soit pas possible qu'un intrus puisse intervenir. Justement pour des raisons de sécurité, la plupart des applications de réseaux privés virtuels interdisent toute communication à destination ou en provenance du client autre que celle qui passe à l'intérieur du tunnel ainsi créé. Ce réseau virtuel fonctionne en mode bloquant. Il n'est pas possible dans ce cas de maintenir un échange de jetons d'authentification entre le dispositif client et un serveur d'authentification propre au point de connexion du dispositif client. Par ailleurs, l'utilisation du jeton ne résout que partiellement le problème d'usurpation d'identité car il est toujours possible à un attaquant d'établir une connexion au travers du portail captif en utilisant l'adresse IP et éventuellement MAC d'un client légitime pendant une fenêtre de temps correspondant à la dernière présentation du jeton par le dispositif client légitime. Le dispositif client légitime peut en outre renvoyer des jetons autant de fois qu'il est possible à la place du dispositif illégitime, maintenant ainsi le passage au travers du dispositif de filtrage.
Le but de l'invention est de renforcer l'accès à un réseau dans le cas d'attaques qui tentent d'usurper l'adresse de réseau d'un client légitime. A cet effet, l'invention prévoit d'émettre un stimulus vers le terminal client et d'analyser une réponse dépendante de ses caractéristiques de fonctionnement et du stimulus pour former une empreinte d'identification de ce terminal. Outre le filtrage basé sur l'adresse de réseau du terminal, un filtrage supplémentaire basé sur cette empreinte est réalisé. Comme cette empreinte tient compte du comportement dynamique du terminal, elle est particulièrement représentative de ses caractéristiques de fonctionnement.
Plus précisément, l'invention concerne un procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, dans lequel, à réception de données émises par un dispositif connecté à un médium d'accès audit réseau, on effectue les étapes suivantes: -a) émettre un stimulus à destination dudit dispositif, destiné à obtenir du dispositif une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif; -b) réceptionner une réponse du dispositif au stimulus et l'analyser pour former une empreinte d'identification du dispositif comprenant au moins une adresse de réseau dudit dispositif et une signature représentative des caractéristiques de fonctionnement du dispositif; -c) comparer l'empreinte formée avec une empreinte valide d'identification du dispositif; -d) si l'empreinte formée comporte une adresse correspondant à l'empreinte valide d'identification du dispositif mais avec une signature différente de celle de l'empreinte valide d'identification du dispositif, détecter une usurpation de l'adresse de réseau dudit dispositif.
Le fraudeur ne peut anticiper les stimuli et l'empreinte générée est ainsi 20 particulièrement fiable.
Selon une variante, ladite signature comprend une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système d'exploitation dudit dispositif.
Ces types d'informations sont particulièrement représentatifs du fonctionnement du dispositif et sont en pratique difficiles à contourner par un fraudeur.
Selon encore une variante, suite à une détection d'usurpation d'adresse, un critère de filtrage est modifié pour interdire le passage de toutes les données provenant de l'adresse réseau.
La détection d'usurpation d'adresse permet ainsi de bloquer des données émises par un fraudeur.
Selon encore une variante, suite à une détection d'usurpation d'adresse, au moins une étape parmi les étapes suivantes est exécutée: -blocage des données reçues dans le filtre de données, - émission d'une alarme; modification des critères de filtrage pour interdire le passage de données provenant de l'adresse usurpée.
Une réaction appropriée est ainsi adoptée lors d'une détection d'usurpation d'adresse.
Selon encore une autre variante, le procédé comprend une phase d'authentification dudit dispositif incluant la formation de l'empreinte valide d'identification du dispositif par les étapes a) et b) mentionnées précédemment.
L'empreinte valide formée correspond ainsi bien au dispositif authentifié.
On peut également prévoir que l'adresse de réseau comporte une adresse IP et/ou MAC. Les données peuvent être envoyées selon le protocole TCP et/ou IP.
L'invention concerne également un dispositif de détection d'usurpation d'adresse à l'aide d'un moyen de filtrage apte à laisser passer ou non des données à 25 destination d'un réseau en fonction de critères de filtrage, comportant: -un moyen d'identification apte à identifier l'adresse de réseau d'un dispositif connecté à un médium d'accès au réseau; -un moyen d'émission d'un stimulus destiné à générer une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif; -un moyen de détection apte à identifier des paramètres de la réponse au stimulus représentatifs du fonctionnement du dispositif, et apte à former une empreinte d'identification du dispositif comprenant son adresse de réseau et une signature représentative des caractéristiques de fonctionnement du dispositif; -un moyen de comparaison apte à comparer l'empreinte formée avec une empreinte valide d'identification du dispositif; -un moyen de décision apte à détecter une usurpation d'adresse si l'empreinte formée comporte une adresse correspondant à une empreinte valide mais avec une signature différente de celle de l'empreinte valide.
Un tel dispositif permet de générer des stimuli qu'un fraudeur ne peut 10 anticiper et de décider d'une usurpation d'adresse sur la base d'une empreinte générée particulièrement fiable.
Selon une variante, le dispositif forme ladite empreinte d'identification en incluant dans ladite signature une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système d'exploitation dudit dispositif.
Ces types d'informations sont particulièrement représentatifs du fonctionnement du dispositif et sont en pratique difficiles à contourner par un 20 fraudeur.
Selon encore une variante, le dispositif comporte au moins un moyen parmi les moyens suivants: - un moyen de mise à jour apte à modifier un critère de filtrage pour interdire 25 le passage des données correspondant à l'adresse de réseau pour laquelle une usurpation d'adresse est détectée; un moyen d'alarme apte à émettre une alarme lorsqu'une usurpation d'adresse est détectée.
Une réaction appropriée est ainsi adoptée lors d'une détection d'usurpation 30 d'adresse.
L'invention porte encore sur un système informatique comprenant une pluralité de ressources reliées à un même médium de communication comportant un dispositif de détection d'usurpation d'adresse tel que décrit ci-dessus et reliant le médium de communication à un médium d'accès.
Selon une variante, ledit médium d'accès comprend au moins un point d'accès radio ou une prise de connexion pour permettre la connexion d'un dispositif avec ou sans fil.
L'invention porte par ailleurs sur un programme d'ordinateur enregistré sur un support lisible par ordinateur, ce programme comportant des portions de code de logiciel pour l'exécution des étapes d'un procédé tel que décrit ci-dessus lorsque ledit programme est exécuté par un ordinateur.
L'invention sera mieux comprise et d'autres particularités et avantages apparaîtront à la lecture de la description qui va suivre, la description faisant référence aux dessins annexés parmi lesquels: -la figure 1 représente un réseau disposant d'un accès accessible au public selon l'invention; -la figure 2 représente un algorithme mis en oeuvre par le dispositif de filtrage sur les paquets de données le traversant.
La figure 1 représente un réseau d'entreprise mettant en oeuvre l'invention. Le réseau d'entreprise est constitué d'un réseau de type Intranet 1 qui dispose d'un certain nombre de ressources dont la plupart ne sont pas représentées, toutes ces ressources étant reliées à un médium de communication. Ce réseau Intranet dispose en outre d'une partie de réseau 2 accessible au public par l'intermédiaire d'un médium d'accès, tel qu'un point d'accès 3 ou une prise de connexion 4 permettant à des terminaux 5 et 6 de se connecter au réseau Intranet 1. Un dispositif de filtrage 7 s'interpose entre ce médium d'accès de la partie de réseau 2 et le médium de communication du réseau Intranet 1. Le réseau Intranet 1 est par ailleurs relié au réseau Internet 8 par l'intermédiaire d'un deuxième dispositif de filtrage 9. Afin de gérer la connexion des terminaux 5 et 6 sur la partie de réseau 2 pour la connexion à Intranet 1, un dispositif de détection 10, un serveur d'authentification 11, un dispositif de comparaison 12, un dispositif de décision 13 et un dispositif de stimulation 14 sont également reliés au réseau Intranet 1.
Le réseau Intranet 1 est par exemple un réseau fonctionnant selon une norme de réseau local de type filaire, par exemple la norme IEEE802.3. Un tel type de réseau dispose d'au moins un serveur pour gérer les différents accès au réseau, et d'une pluralité de terminaux utilisateurs et de ressources qui communiquent entre eux par l'intermédiaire dudit réseau. Le serveur d'authentification 11 sert notamment à gérer les accès au réseau Intranet et sert d'une part à valider la connexion d'utilisateurs à l'intérieur du réseau mais également à valider la connexion d'utilisateurs se connectant à l'aide de terminaux 5 et 6 par l'intermédiaire de la partie de réseau 2. La partie de réseau 2 est une partie publique ou semi-publique qui permet à des utilisateurs de passage sur un site soit de se connecter au moyen d'un câble sur la prise 4, soit au moyen d'une liaison sans fil par l'intermédiaire du point d'accès 3. Le point d'accès 3 est par exemple un point d'accès sans fil conforme à la norme IEEE802.11.
Lesdits premier et deuxième dispositifs de filtrage 7 et 9 servent à filtrer les échanges de messages et plus généralement de tout paquet de données entre le réseau Intranet et, d'une part, la partie de réseau 2 et, d'autre part, le réseau Internet 8. Ces dispositifs de filtrage 7 et 9 sont également connus sous l'appellation pare-feu (en anglais firewall ).
Selon l'invention, un dispositif de détection 10, un dispositif de comparaison 12, un dispositif de décision 13 et un dispositif de stimulation 14 sont connectés au réseau Intranet 1 pour contrôler le premier dispositif de filtrage 7. Les dispositifs 10, 12, 13 et 14 sont présentés comme des dispositifs indépendants à la figure 1, cependant ceux-ci peuvent être intégrés dans un serveur qui peut être le même serveur que le serveur d'authentification 11. Eventuellement, ce serveur peut également comprendre le filtre 7 et constituera un serveur d'accès à part entière disposant d'une première connexion pour se relier sur le réseau Intranet 1 et d'une deuxième connexion pour se relier à la partie de réseau 2.
Dans le cadre de l'invention, on s'intéressera plus particulièrement aux communications entre le filtre 7, le dispositif de détection 10, le serveur d'authentification 11, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14. Dans la réalité, le serveur d'authentification 11 peut également communiquer avec bien d'autres éléments du réseau Intranet 1, et les dispositifs 10, 12, 13 et 14 peuvent également être mis en commun avec le filtre 9. Cependant, pour simplifier la description, il ne sera décrit que la partie concernant le filtre 7 dédié à l'interconnexion entre la partie de réseau 2 et le réseau Intranet 1, l'interaction avec le filtre 9 étant similaire. Les communications entre le dispositif de filtrage 7, le dispositif de détection 10, le serveur d'authentification 11, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14 passent par le réseau Intranet 1. Cependant, certains échanges entre ces dispositifs ont été identifiés au moyen de flèches.
Il va être maintenant expliqué comment un terminal 5 ou 6 se connecte au réseau Intranet 1 et comment celui-ci va être supervisé durant toute la durée de sa connexion au réseau Intranet 1 à l'aide de la figure 2. Cet organigramme est mis en oeuvre conjointement par le filtre 7, le dispositif de détection 10, le serveur d'authentification 11, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14.
L'organigramme de la figure 2 commence par une étape 100 de début qui consiste en l'envoi d'un paquet de données par un terminal à destination d'une ressource du réseau Intranet 1 à partir de la partie de réseau 2. A titre d'exemple, on considère que le terminal 5 souhaite se connecter de manière légitime par l'intermédiaire du point d'accès 3 à la partie de réseau 2 pour accéder à des ressources du réseau Intranet 1.
On considère dans un premier temps que le paquet de données est un message légitime émis par le terminal 5 avant que celui-ci ne soit authentifié. Préalablement à l'envoi de ce premier paquet de données, le terminal 5 a établi une communication radio avec le point d'accès 3. Cette connexion radio n'est pas détaillée car elle se déroule par exemple selon la norme IEEE802.11. Le terminal 5 se connectant par l'intermédiaire du point d'accès 3, celui-ci dispose d'une adresse IP, généralement attribuée par un serveur DHCP (Dynamic Host Configuration Protocol), ainsi qu'une adresse MAC qui est son adresse dans le réseau sans fil. Le paquet de données partant du terminal 5 traverse donc le point d'accès 3 pour être transposé sur la partie de réseau 2 sous forme électronique et est adressé à une ressource située au niveau du réseau Intranet 1. Le paquet de données envoyé traverse alors le dispositif de filtrage 7 qui vérifie si le paquet de données provient d'un utilisateur ou d'un terminal utilisateur autorisé. Ceci est fait au cours d'une étape de test 101.
L'étape 101 consiste pour le dispositif de filtrage 7 à vérifier l'adresse d'envoi du paquet de données. Dans le paquet de données reçu, le paquet de données contient l'adresse de réseau de l'expéditeur. Dans ce cas présent, l'adresse de réseau est constituée de l'adresse IP et de l'adresse MAC. Le dispositif de filtrage 7 ayant récupéré cette adresse de réseau, il vérifie parmi ses règles ou critères de filtrage si cette adresse est une adresse autorisée. Si l'adresse est autorisée, c'est que le terminal a été préalablement authentifié. Si l'adresse ne fait pas partie des règles de filtrage qui autorisent l'accès au réseau, c'est que le terminal n'a pas été authentifié comme terminal autorisé à accéder au réseau Intranet 1.
Si l'adresse de réseau ne correspond pas à un tenninal déjà authentifié, alors commence une étape d'authentification 102. Au cours de cette étape d'authentification 102, le dispositif de filtrage 7 redirige le terminal 5 vers le serveur d'authentification 11. Un dialogue est ensuite établi entre le terminal 5 et le serveur d'authentification 1l à travers le filtre 7. Seule cette connexion est autorisée par le filtre 7 pour le terminal répondant à l'adresse du terminal 5. L'authentification se fait généralement par la présentation d'un couple identifiant d'utilisateur et mot de passe à l'aide d'un formulaire de type protégé par exemple à l'aide du protocole SSL. Cette authentification est une authentification bien connue dans le domaine d'Internet et ne nécessite pas de plus amples explications. Le serveur d'authentification 11 ayant reçu l'identifiant de l'utilisateur et son mot de passe de manière cryptée, il vérifie si cette authentification est réussie au cours d'une étape de test 103.
Si l'authentification a réussi, alors le serveur d'authentification 11 change les règles du dispositif de filtrage 7, au cours d'une étape 104, et lui indique que le terminal répondant à l'adresse de réseau du terminal 5 est autorisé à se connecter à différentes ressources présentes dans le réseau Intranet 1. Evidemment, ces ressources peuvent être limitées à une petite partie seulement des ressources du réseau Intranet 1 en fonction des droits d'accès découlant de celles attribuées à l'utilisateur.
Après avoir changé les règles du dispositif de filtrage, une empreinte de référence pour l'identification du terminal 5, qui sera par la suite considérée comme valide, est établie à l'étape 105. Dans un premier temps, le dispositif de stimulation 14 émet un stimulus à destination du terminal 5. Le stimulus est prévu pour que la réponse du terminal 5 soit dépendante de ce stimulus et des caractéristiques de fonctionnement de ce terminal. Le terminal 5 émet une réponse, reçue par le dispositif de détection 10. Le dispositif de détection 10 analyse la réponse et identifie des éléments caractéristiques du fonctionnement du terminal en réponse au stimulus. En comparant par exemple ces éléments au contenu d'une base de connaissance, le dispositif de détection 10 génère une signature représentative des caractéristiques de fonctionnement du terminal 5, tels que la nature de son système d'exploitation ou les services dont il dispose. Le dispositif de détection 10 forme l'empreinte valide comprenant l'adresse réseau (adresse IP et éventuellement adresse MAC) et la signature du terminal. Cette empreinte valide est mémorisée pour une future détection d'usurpation. L'empreinte peut être mémorisée sous toute forme appropriée, par exemple une table associant l'adresse réseau et la signature du terminal. Une fois que l'étape 105 est terminée, l'algorithme de la figure 2 est terminé dans l'attente d'un nouveau paquet de données.
Le stimulus et la réponse du terminal peuvent être constitués de plusieurs paquets de données. Le stimulus est par exemple un paquet TCP, UDP ou ICMP. Le dispositif de filtrage 7 vérifie par exemple si un paquet de données envoyé par le terminal 5 en réponse au stimulus comporte des éléments permettant d'identifier le système d'exploitation (OS) du terminal. L'OS d'un terminal peut-être déterminé à partir des paquets TCP qui contiennent des éléments d'information permettant d'identifier l'OS, tels que les paquets disposant d'un drapeau SYN, ACK, SYN/ACK ou RST à 1. Par ailleurs, il existe également des informations permettant d'identifier l'OS qui sont contenues dans des champs des en-têtes des trames TCP/IP (couches 3 et 4 du modèle OSI). En exploitant les caractéristiques propres des piles TCP/IP développées dans chaque système d'exploitation, on peut déterminer une signature qui lui est propre. Le stimulus peut également viser à obtenir des informations sur les logiciels ou services exécutés sur le terminal 5. Le stimulus peut notamment déterminer si le terminal 5 est protégé par un pare-feu. Le stimulus peut également mesurer des caractéristiques physiques ou réseau de la réponse du terminal, notamment le délai de retransmission de données en cas de non acquittement de lapart du destinataire au bout d'un temps prédéterminé . La réponse du terminal 5 peut notamment dépendre de plusieurs caractéristiques de fonctionnement du terminal. En pratique, toute technique de prise d'empreinte ( fingerprinting en anglais) par émission de stimuli peut être adaptée à l'invention. Plusieurs stimuli peuvent être émis afin de recouper les analyses réalisées sur les réponses obtenues. L'empreinte formée est ainsi plus sûre et des faux positifs peuvent ainsi être évités.
Si l'authentification a échoué, les règles de filtrage restent inchangées et le terminal répondant à l'adresse du terminal 5 n'est pas autorisé à accéder à des ressources du réseau Intranet 1. L'algorithme se termine et le filtre 7 attend un nouveau paquet de données.
Après avoir été authentifié, si le terminal 5 renvoie à nouveau un paquet de données pour accéder à l'une des ressources du réseau Intranet 1, alors ce paquet de données fait redémarrer l'organigramme de la figure 2 à l'étape de début 100. Lorsque le dispositif de filtrage 7 effectue le test de l'étape 101, il s'aperçoit que l'adresse correspondant au terminal 5 est une adresse authentifiée qui a le droit d'accéder à certaines ressources du réseau Intranet 1.
A chaque tentative de connexion et avec une certaine périodicité, le filtre 7 requiert d'établir si le terminal 5 est toujours un terminal autorisé, par une émission de 30 stimulus. La procédure de contrôle peut être réalisée à intervalles réguliers durant la connexion du terminal 5, les intervalles pouvant par exemple être définis par une horloge déclenchant le lancement du contrôle. Les intervalles peuvent être définis par un administrateur du dispositif de filtrage 7.
Lors de l'étape 106, comme lors de l'étape 105, le dispositif de stimulation 14 émet un stimulus à destination du terminal 5. De façon similaire à l'étape 105, le dispositif de détection forme une empreinte comprenant l'adresse réseau (adresse IP et adresse MAC) et la signature du terminal dépendante du stimulus et des caractéristiques de fonctionnement du terminal 5.
Lors de l'étape 107, le dispositif de comparaison 12 compare l'empreinte formée avec l'empreinte valide comportant la même adresse IP et la même adresse MAC. Afin que la comparaison soit significative et ne conduise pas à déterminer de façon erronée des usurpations, les stimuli sont déterminés à l'avance et relativement stables dans le temps, de sorte que l'empreinte valide et l'empreinte formée d'un terminal autorisé ne divergent pas.
Si l'empreinte formée n'est pas identique ou pas cohérente avec l'empreinte valide, alors le filtre procède à l'étape 108. L'étape 108, correspond à la réaction du filtre 7 suite à la détection d'une usurpation d'adresse de réseau. Différentes opérations peuvent être réalisées simultanément ou de manière optionnelle, suivant le niveau de sécurité requis. Le paquet de données peut simplement être bloqué au niveau du filtre 7. Au cours de cette étape 108, on peut également émettre une alarme soit au niveau du réseau, soit au niveau du terminal d'un opérateur supervisant le réseau pour indiquer qu'une attaque par usurpation d'adresse vient d'être détectée. Dans l'exemple, le filtre 7 est modifié pour interdire tous les paquets de données provenant de l'adresse de réseau pour laquelle deux empreintes différentes ont été trouvées. Cela signifie que si le terminal légitime désire à nouveau communiquer avec le réseau Intranet 1, celui-ci doit nécessairement repasser par une étape d'authentification. L'organigramme de la figure 2 est terminé, et le filtre 7 attend un nouveau paquet de données.
Si par contre pour une même adresse de réseau, l'empreinte formée est cohérente ou identique à l'empreinte valide, alors le dispositif de décision 13 effectue 30 l'étape 109. Le dispositif de décision 13 détermine alors s'il existe une autre connexion en cours avec une même adresse réseau et une même signature.
Si une telle connexion existe, l'étape 111 est réalisée: le paquet de données est autorisé à passer à travers le dispositif de filtrage 7 et les règles de filtrage du filtre 7 sont inchangées.
S'il n'y a pas d'autre connexion en cours avec l'empreinte formée à l'étape 106, le dispositif de décision 13 vérifie à l'étape 110 si une autre connexion est en cours avec la même adresse réseau et sans empreinte formée.
Si tel est le cas, le dispositif de décision 13 détermine qu'un autre terminal usurpe l'adresse réseau du terminal 105. L'étape 108 est alors effectuée.
Si aucune autre connexion n'est en cours avec l'adresse réseau du terminal 5, l'étape 111 est réalisée. Le dispositif de décision 13 mémorise l'empreinte formée pour réaliser ultérieurement le test de l'étape 109.
Les avantages d'un tel contrôle d'accès par rapport à l'état de la technique sont multiples. Tout d'abord, l'homme du métier remarquera que ce contrôle d'accès est utilisable sans aucun impact sur le client luimême car ce contrôle est tout à fait transparent pour lui. Un tel contrôle d'accès peut être couplé à un contrôle d'accès statique, dans lequel tous les paquets transmis au dispositif de filtrage 7 par le terminal 5 sont contrôlés. Dans ce cas, le risque de détection d'un faux positif (détection erronée d'une usurpation) est sensiblement réduit.
Par ailleurs, la seule modification à apporter par rapport à l'architecture d'un réseau de type Intranet intervient uniquement au niveau du dispositif de filtrage 7 pour que celui-ci prenne en compte la vérification d'empreinte en coopération avec le dispositif de détection 10, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14. La mise en oeuvre du procédé se fait par l'ajout d'un programme d'ordinateur dans le dispositif informatique assurant la fonction de dispositif de filtrage, ce programme d'ordinateur disposant d'instructions logicielles permettant d'exécuter le procédé.
Autre avantage, cette méthode de contrôle d'accès est relativement complexe à tromper car l'attaquant doit déjà déterminer quels paquets émis par le filtre contiennent les stimuli. Même en connaissant les paquets contenant les stimuli, l'attaquant ne peut connaître très précisément le comportement du terminal légitime en réponse aux stimuli et ne saura donc pas reproduire une réponse aboutissant à une même empreinte. Dans l'hypothèse où la signature générée identifie le système d'exploitation du terminal, l'homme du métier pourrait penser que de très nombreux ordinateurs disposent d'un OS semblable, et que de ce fait une détection basée sur cette signature ne permet pas d'avoir une fiabilité suffisamment importante pour s'affranchir d'un terminal illégitime. Il est vrai que la majeure partie des ordinateurs désirant se connecter à un réseau disposent d'un OS très semblable voire identique, mais ces OS-là sont des OS qui ne permettent pas des attaques complexes avec usurpation d'adresses IP et/ou MAC. En effet, pour réaliser ce type d'attaque, il faut disposer d'un OS permettant à l'utilisateur du terminal illégitime de substituer les adresses d'une connexion. Ces OS étant moins répandus, une signature identifiant l'OS est en pratique un critère relativement fiable.
Par ailleurs, bien que l'exemple présenté décrive la formation de l'empreinte valide suite à l'étape d'authentification, il est également possible dans le cadre de l'invention de former l'empreinte valide lors de la redirection du terminal vers le portail captif, c'est à dire avant le processus d'authentification. Il est préférable de former l'empreinte valide suite à l'étape d'authentification, ce qui évite un déni de service potentiel lors d'une saturation du système de contrôle d'accès due à des envois massifs de demandes d'authentification avec des adresses réseau différentes.

Claims (13)

REVENDICATIONS
1. Procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, caractérisé en ce que, à réception de données émises par un dispositif connecté à un médium d'accès audit réseau, on effectue les étapes suivantes: - a) émettre un stimulus (106) à destination dudit dispositif, destiné à obtenir du dispositif une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif; -b) réceptionner une réponse du dispositif au stimulus et l'analyser pour former (106) une empreinte d'identification du dispositif comprenant au moins une adresse de réseau dudit dispositif et une signature représentative des caractéristiques de fonctionnement du dispositif; - c) comparer (107) l'empreinte formée avec une empreinte valide 15 d'identification du dispositif; - d) si l'empreinte formée comporte une adresse correspondant à l'empreinte valide d'identification du dispositif mais avec une signature différente de celle de l'empreinte valide d'identification du dispositif, détecter une usurpation de l'adresse de réseau dudit dispositif.
2. Procédé de détection d'usurpation d'adresse selon la revendication 1, dans lequel ladite signature comprend une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système 25 d'exploitation dudit dispositif.
3. Procédé de détection d'usurpation d'adresse selon la revendication 1 ou 2, dans lequel, suite à une détection d'usurpation d'adresse, un critère de filtrage est modifié (108) pour interdire le passage de toutes les données provenant de l'adresse réseau.
4. Procédé de détection d'usurpation d'adresse selon la revendication 1 ou 2, 5 dans lequel, suite à une détection d'usurpation d'adresse, au moins une étape parmi les étapes suivantes est exécutée: -blocage des données reçues dans le filtre de données, - émission d'une alarme; - modification des critères de filtrage (108) pour interdire le passage de 10 données provenant de l'adresse usurpée.
5. Procédé de détection d'usurpation d'adresse selon l'une quelconque des revendications précédentes, comprenant une phase d'authentification (102) dudit dispositif incluant la formation (105) de l'empreinte valide d'identification du dispositif par les étapes a) et b) de la revendication 1.
6. Procédé de détection d'usurpation d'adresse selon l'une quelconque des revendications précédentes, dans lequel l'adresse de réseau comporte une adresse IP et/ou MAC.
7. Procédé de détection d'usurpation d'adresse selon l'une quelconque des revendications précédentes, dans lequel les données sont envoyées selon le 20 protocole TCP et/ou IP.
8. Dispositif de détection d'usurpation d'adresse à l'aide d'un moyen de filtrage (7, 9) apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, comportant: -un moyen d'identification apte à identifier l'adresse de réseau d'un 25 dispositif connecté à un médium d'accès au réseau; caractérisé en ce qu'il comporte en outre: - un moyen d'émission (14) d'un stimulus destiné à générer une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif; - un moyen de détection (10) apte à identifier des paramètres de la réponse au stimulus représentatifs du fonctionnement du dispositif, et apte à former une empreinte d'identification du dispositif comprenant son adresse de réseau et une signature représentative des caractéristiques de fonctionnement du dispositif; - un moyen de comparaison (12) apte à comparer l'empreinte formée avec 10 une empreinte valide d'identification du dispositif; - un moyen de décision (13) apte à détecter une usurpation d'adresse si l'empreinte formée comporte une adresse correspondant à une empreinte valide mais avec une signature différente de celle de l'empreinte valide.
9. Dispositif de détection d'usurpation d'adresse selon la revendication 8 ou 9, formant ladite empreinte d'identification en incluant dans ladite signature une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système d'exploitation dudit dispositif.
10. Dispositif de détection d'usurpation d'adresse selon la revendication 8 ou 9, comportant au moins un moyen parmi les moyens suivants: -un moyen de mise à jour apte à modifier un critère de filtrage pour interdire le passage des données correspondant à l'adresse de réseau pour laquelle une usurpation d'adresse est détectée; -un moyen d'alarme apte à émettre une alarme lorsqu'une usurpation d'adresse est détectée.
11. Système informatique comprenant une pluralité de ressources reliées à un même médium de communication (2) caractérisé en ce qu'il comporte un dispositif de détection d'usurpation d'adresse selon l'une quelconque des revendications 8 à 10 reliant le médium de communication à un médium d'accès.
12. Système informatique selon la revendication 11, dans lequel ledit médium d'accès comprend au moins un point d'accès radio (3) ou une prise de connexion (4).
13. Programme d'ordinateur enregistré sur un support lisible par ordinateur, ledit programme comportant des portions de code de logiciel pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 7 lorsque ledit programme est exécuté par un ordinateur.
FR0501042A 2005-02-02 2005-02-02 Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique Pending FR2881592A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0501042A FR2881592A1 (fr) 2005-02-02 2005-02-02 Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique
PCT/FR2006/000160 WO2006082296A2 (fr) 2005-02-02 2006-01-24 Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0501042A FR2881592A1 (fr) 2005-02-02 2005-02-02 Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique

Publications (1)

Publication Number Publication Date
FR2881592A1 true FR2881592A1 (fr) 2006-08-04

Family

ID=34955163

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0501042A Pending FR2881592A1 (fr) 2005-02-02 2005-02-02 Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique

Country Status (2)

Country Link
FR (1) FR2881592A1 (fr)
WO (1) WO2006082296A2 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8151118B2 (en) 2007-01-29 2012-04-03 Microsoft Corporation Master-slave security devices
US8635680B2 (en) 2007-04-19 2014-01-21 Microsoft Corporation Secure identification of intranet network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003073724A2 (fr) * 2002-02-20 2003-09-04 Deep Nines, Inc. Systeme et procede pour la detection et pour l'elimination de mystification ip dans un reseau de transmission de donnees
WO2004025926A1 (fr) * 2002-09-16 2004-03-25 Cisco Technology, Inc. Procede et appareil destines a empecher l'usurpation d'adresses reseau
WO2004042999A1 (fr) * 2002-11-06 2004-05-21 Telefonaktiebolaget Lm Ericsson (Publ) Procede et agencement empechant une utilisation illegitime d'adresses ip

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003073724A2 (fr) * 2002-02-20 2003-09-04 Deep Nines, Inc. Systeme et procede pour la detection et pour l'elimination de mystification ip dans un reseau de transmission de donnees
WO2004025926A1 (fr) * 2002-09-16 2004-03-25 Cisco Technology, Inc. Procede et appareil destines a empecher l'usurpation d'adresses reseau
WO2004042999A1 (fr) * 2002-11-06 2004-05-21 Telefonaktiebolaget Lm Ericsson (Publ) Procede et agencement empechant une utilisation illegitime d'adresses ip

Also Published As

Publication number Publication date
WO2006082296A2 (fr) 2006-08-10
WO2006082296A3 (fr) 2006-09-28

Similar Documents

Publication Publication Date Title
EP1605660B1 (fr) Contrôle d'accès à un réseau d'un terminal source utilisant un tunnel en mode bloquant
EP1022922B1 (fr) Procédé d'authentification, avec établissement d'un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications
FR2844941A1 (fr) Demande d'acces securise aux ressources d'un reseau intranet
FR3041493A1 (fr) Equipement pour offrir des services de resolution de noms de domaine
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
US20150058980A1 (en) Methods and Apparatuses for Avoiding Damage in Network Attacks
FR2964812A1 (fr) Procede d'authentification pour l'acces a un site web
US7917941B2 (en) System and method for providing physical web security using IP addresses
CN114584386B (zh) 全局多级加密网络通信方法
WO2007006992A2 (fr) Mecanisme de protection des reseaux h.323 pour les fonctions d'etablissement d'appel
EP3549047B1 (fr) Procede d'authentification d'un equipement terminal, dispositif, equipement serveur et programme d'ordinateur associes
FR2881592A1 (fr) Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique
EP3087719B1 (fr) Procédé de ralentissement d'une communication dans un réseau
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique
FR2844943A1 (fr) Procede de production d'un premier identifiant isolant un utilisateur se connectant a un reseau telematique
EP2109284A1 (fr) Mécanisme de protection contre les attaques de refus de service par réacheminement de trafic.
EP3270315B1 (fr) Procédé de mise en relation sécurisée d'un premier dispositif avec un deuxième dispositif
WO2006134072A1 (fr) Procede de protection contre le piratage d'un terminal client utilisant une connexion securisee avec un serveur sur un reseau public
FR2895816A1 (fr) Systeme, dispositif portable et procede pour la configuration d'un dispositif communicant dans un reseau
FR2943482A1 (fr) Procede et systeme de securisation de demandes applicatives
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.
FR3076638A1 (fr) Procede de gestion d'un acces a une page web d'authentification
FR3076153A1 (fr) Procede pour creer une signature electronique a distance au moyen du protocole fido
FR2866496A1 (fr) Procede de controle d'acces a un reseau d'un terminal source utilisant un tunnel en mode bloquant
WO2006037864A2 (fr) Procede de controle d'acces a un reseau d'un terminal source utilisant un tunnel en mode bloquant, et programmes d'ordinateur pour sa mise en oeuvre