FR2980866A1 - Procede de prevention d'usurpation d'adresse - Google Patents

Procede de prevention d'usurpation d'adresse Download PDF

Info

Publication number
FR2980866A1
FR2980866A1 FR1158790A FR1158790A FR2980866A1 FR 2980866 A1 FR2980866 A1 FR 2980866A1 FR 1158790 A FR1158790 A FR 1158790A FR 1158790 A FR1158790 A FR 1158790A FR 2980866 A1 FR2980866 A1 FR 2980866A1
Authority
FR
France
Prior art keywords
address
machine
request
association
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1158790A
Other languages
English (en)
Inventor
Jean-Michel Combes
Marc Lacoste
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR1158790A priority Critical patent/FR2980866A1/fr
Priority to PCT/FR2012/052200 priority patent/WO2013045857A1/fr
Publication of FR2980866A1 publication Critical patent/FR2980866A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

L'invention concerne un procédé de prévention d'usurpation d'une adresse IP d'une première machine, ladite adresse IP ayant été préalablement configurée, le procédé comprenant : - une étape d'interception d'une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine, -une étape de mémorisation dans une table d'association, d'une association entre l'adresse IP reçue et un premier paramètre de liaison physique sur laquelle la requête est reçue, - une étape ultérieure d'interception d'un paquet IP en provenance d'une deuxième machine, un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, - un blocage du paquet IP reçu si un champ adresse source du paquet IP comprend l'adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.

Description

Procédé de prévention d'usurpation d'adresse L'invention concerne un procédé de prévention d'usurpation d'adresses dans un réseau IP.
L'invention trouve une application particulièrement intéressante dans la prévention de certains types d'attaque basés sur une usurpation d'adresse, par exemple des attaques par déni de service, au cours desquelles un terminal qui souhaite perpétrer une telle attaque masque son identité, c'est-à-dire son adresse IP, en usurpant l'adresse IP et donc l'identité d'un autre terminal. Ainsi, il devient difficile de localiser le terminal en tant que source de l'attaque.
Il existe différents mécanismes permettant de prévenir l'usurpation d'adresses IP. Un premier mécanisme connu, que nous ne détaillerons pas ici, permet de détecter une usurpation d'adresses entre machines de sous-réseaux différents, par analyse des préfixes réseau des champs adresse source des messages. Il existe également un mécanisme connu qui permet de détecter une usurpation d'adresse d'une première machine par une deuxième machine à l'intérieur d'un même sous- réseau. Ce mécanisme, appelé « SAVI » (pour « Source Address Validation Improvement »), en cours de standardisation à l' « IETF » (pour « Internet Engineering Task Force »), détecte une usurpation d'adresse dans un sous-réseau à l'intérieur duquel toutes les machines ont le même préfixe d'adresse IP. Ce mécanisme est mis en oeuvre lorsque l'adresse IP est attribuée à une machine, conformément à l'une des deux méthodes suivantes : soit l'adresse est obtenue auprès d'un serveur « DHCP » (pour « Dynamic Host Configuration Protocol »), dans le cas d'une adresse IPv4, ou d'une adresse IPv6, soit l'adresse est définie par auto-configuration de la machine, dans le cas d'une adresse IPv6. Le mécanisme SAVI va être décrit pour les deux méthodes d'attribution d'adresse IP, en relation avec les figures lA et 1B. Un équipement 10 qui met en oeuvre le mécanisme SAVI est positionné au plus près des machines, notées Ml, M2, et M3, .... L'équipement 10 est en coupure des échanges entre les machines Ml, M2, M3, ... et d'autres équipements d'un réseau 12, par exemple le réseau Internet. Le mécanisme peut être mis en oeuvre par un équipement dédié, ou par un équipement réseau connu, tel qu'un routeur, un switch, un « DSLAM » (pour « Digital Subscriber Line Access Multiplexer »), un réseau privé virtuel (ou « VPN », pour Virtual Private Network »), etc. Dans l'exemple décrit en relation avec la figure lA, l'équipement 10 est un équipement dédié appelé par la suite « dispositif SAVI ».
Selon la figure 1A, dans le cas de l'obtention d'une adresse IP auprès d'un serveur DHCP 11, une machine, par exemple M1 requiert auprès du serveur DHCP 11 une adresse IP en diffusant une requête DHCP_DISCOVER. Le serveur DHCP 11 qui reçoit la requête diffuse à l'attention de la machine M1 une offre DHCP_OFFER qui comprend une adresse IP proposée par le serveur DHCP 11. La machine Ml, si elle accepte cette adresse, répond à cette offre en envoyant une requête DHCP_REQUEST qui comprend l'adresse IP qui vient de lui être proposée. Le message DHCP_REQUEST qui transite par le dispositif SAVI 10 permet à ce dernier d'enregistrer dans une table d'association BT (on parle habituellement de « Binding Table ») une correspondance entre, par exemple un numéro de port pl sur lequel le dispositif SAVI 10 reçoit le message DHCP_REQUEST de la machine Ml, et l'adresse IP qui a été attribuée et acceptée par la machine Ml. Le message DHCP_REQUEST, en clair, est analysé par le dispositif SAVI 10 et l'adresse IP associée à la machine M1 récupérée lors de cette analyse. Ainsi, le dispositif SAVI 10 gère la table d'association BT qui enregistre pour chaque machine Ml, M2, M3, ... qui se voit attribuer une adresse IP par le serveur DHCP 11 une correspondance entre un numéro de port du dispositif SAVI 10 sur lequel la machine communique sur le réseau, et l'adresse IP attribuée à ladite machine. Ensuite, si une machine, par exemple M3, usurpe l'adresse IP d'une autre machine, par exemple Ml, et envoie un datagramme IP sur le réseau comprenant comme adresse IP source l'adresse usurpée de la machine Ml, alors le dispositif SAVI détecte une incohérence. En effet, il y a alors incohérence entre l'adresse IP source contenue dans le datagramme et l'adresse IP normalement associée dans la table d'association BT au port réseau sur lequel il vient de recevoir le datagramme, en l'espèce le port p3 associé à la machine M3. Le dispositif SAVI 10 bloque alors le datagramme émis depuis la machine M3 qui comprend comme adresse source, l'adresse de la machine Ml.
Dans un cas d'attribution d'adresse IPv6 par auto-configuration, décrit en relation avec la figure 1B, une machine, par exemple Ml, reçoit d'un routeur 13 dans un message « Router Advertisment », un préfixe réseau pfx. La machine M1 génère alors un identifiant d'interface qui lui est propre, en tant que suffixe de l'adresse IPv6. La machine M1 concatène alors le préfixe réseau et le suffixe généré pour forger son adresse IP IP1. Une fois l'adresse IPv6 forgée par la machine Ml, celle-ci doit s'assurer que l'adresse IP est unique sur le réseau. A cette fin, elle met en oeuvre un mécanisme de détection d'adresse dupliquée appelé « DAD » (pour « Duplicate Address Detection »), décrit dans la « RFC » 4862 (pour « Request For Comment »). Avec ce mécanisme, la machine M1 émet à l'attention de ses voisins du même sous-réseau, ici les machines M2, M3, ..., un message de sollicitation comprenant l'adresse qu'il s'est forgé. Lors de la diffusion de ce message, l'équipement SAVI 10 enregistre dans une table d'association une correspondance temporaire entre l'adresse IP de la machine Ml, extraite du message de sollicitation, et le numéro de port sur lequel il a reçu ce message. Si aucune autre machine du sous-réseau ne répond à ce message de sollicitation pendant une durée prédéfinie, alors cela signifie que l'adresse IPv6 forgée par la machine Ml est unique dans le sous-réseau et que l'adresse IPv6 est valable pour la machine Ml. Au niveau de l'équipement SAVI, l'association entre l'adresse IP et le numéro de port est validée et devient définitive au terme de cette période prédéfinie pendant laquelle l'équipement SAVI n'a vu passer aucune réponse au message de sollicitation. Si au contraire, une machine du sous-réseau répond au message de sollicitation afin d'informer la machine Ml que l'adresse est déjà attribuée, alors l'équipement SAVI efface la correspondance temporaire qu'il a enregistrée. Une fois que toutes les adresses IP ont été forgées pour les machines du sous-réseau, et que l'équipement SAVI possède donc une table d'association complète et à jour, la prévention d'usurpation d'adresse est alors opérée de la même manière que précédemment. Cependant, à chaque mécanisme d'attribution d'adresse IP utilisé, en l'espèce l'auto- configuration IPv6, ou l'attribution d'une adresse IPv4 ou IPv6 via un serveur DHCP, correspond un équipement SAVI particulier ou/et une mise en oeuvre particulière. Ainsi, lorsque les deux mécanismes d'attribution d'adresse sont déployés dans un réseau, de premières machines forgeant leur adresse par auto-configuration et d'autres machines l'obtenant auprès d'un serveur DHCP, alors il est nécessaire de mettre en oeuvre les deux mécanismes, ce qui génère un surcoût. Par ailleurs, si aucune des deux méthodes d'attribution d'adresse n'est employée, alors aucune solution n'existe pour prévenir des attaques par déni de service. C'est le cas par exemple lorsque l'adresse IP d'un équipement est configurée manuellement. L'invention remédie aux inconvénients présentés ci-dessus en proposant un procédé de prévention d'usurpation d'une adresse IP d'une première machine, ladite adresse IP ayant été préalablement configurée, le procédé comprenant : - une étape d'interception d'une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine, - une étape de mémorisation dans une table d'association, d'une association entre l'adresse IP reçue et un premier paramètre de liaison physique sur laquelle la requête est reçue, - une étape ultérieure d'interception d'un paquet IP en provenance d'une deuxième machine (M2), un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, - un blocage du paquet IP reçu si un champ adresse source du paquet IP comprend l'adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé. Avec le procédé de l'invention, un seul mécanisme de prévention d'usurpation d'adresse convient à différentes méthodes de configuration d'adresse IP. En effet, selon que les machines obtiennent leur adresse IP auprès d'un serveur DHCP, dans le cas des adresses IPv4 ou IPv6, ou par auto-configuration dans le cas des adresses IPv6, il n'est plus nécessaire de mettre en oeuvre différents mécanismes de prévention d'usurpation d'adresse. Ainsi, le mécanisme de l'invention évite des surcoûts liés à la mise en oeuvre dans un réseau de plusieurs mécanismes.
Dans un exemple de réalisation, l'adresse IP de la première machine a été configurée selon une méthode connue parmi le groupe comprenant : une auto-configuration d'adresse IPv6, une configuration manuelle, l'obtention d'une adresse auprès d'un serveur DHCP. Le mécanisme de l'invention est adapté à toutes les méthodes de configuration d'adresse IP connues. En particulier, le mécanisme de l'invention est également adapté à un réseau où des machines configurent leur adresse IP manuellement. Or, aucune solution de prévention d'usurpation d'adresse n'était proposée jusqu'à présent dans ce cas. Ainsi, l'invention propose une solution à un problème jusqu'alors non résolu de prévention d'usurpation d'adresse dans le cas d'une configuration manuelle d'adresse IP. Selon un exemple de réalisation, le serveur d'enregistrement est un serveur de noms de 20 domaine. Dans un autre exemple de réalisation, le procédé comprend en outre : - une étape d'interception d'une deuxième requête d'enregistrement de l'adresse IP en provenance de la première machine, la requête comprenant une nouvelle adresse IP, - une étape de mise à jour de la table d'association par remplacement dans l'association 25 entre l'adresse IP et le premier paramètre physique, de l'adresse IP de la première machine par la nouvelle adresse IP. Le procédé de l'invention permet de tenir compte d'éventuelles mises à jour d'adresse IP. Une telle mise à jour peut se produire lorsqu'un nouveau préfixe réseau est transmis depuis un routeur. Dans ce cas il est nécessaire que les machines dont les paquets sont routés par ce 30 routeur mettent à jour leur adresse, conformément à ce nouveau préfixe. Ainsi, on est assuré que la table d'association est toujours à jour. Dans un exemple de réalisation, le procédé comprend en outre la réception d'un message de validation de l'adresse IP de la machine en provenance du serveur d'enregistrement, consécutive à la transmission de ladite requête au serveur d'enregistrement, et conditionnant 35 l'étape de mémorisation.
Dans cet exemple, la mémorisation d'une association d'ancrage dans la table d' association est conditionnée par l'enregistrement de l' adresse IP de la machine dans le serveur d'enregistrement. Ainsi, la validité de la table d' association est prouvée. En effet, seules les associations correspondant à des adresses IP correctement enregistrées auprès du serveur d'enregistrement sont mémorisées. Selon un exemple de réalisation, le procédé comprenant une sécurisation des échanges entre le serveur d'enregistrement et la machine conforme à un schéma de cryptographie à clé publique, le procédé comprend une étape de vérification d'une signature du message de validation de l'adresse IP reçu du serveur d'enregistrement.
Ce mode de réalisation est adapté à une sécurisation des échanges entre les machines et le serveur d'enregistrement nommé SIG(0). Dans un exemple de réalisation, l'association mémorisée au cours de l'étape de mémorisation comprend également un nom pleinement qualifié de la première machine. Ce mode de réalisation renforce la sécurité du procédé et permet de pallier une usurpation d'adresse IP durant la phase d'enregistrement auprès du serveur d'enregistrement. En effet, pour tromper le mécansiem de l'invention, il faudrait qu'une machine qui usurpe une adresse IP, usurpe également le FQDN enregistré dans le serveur DNS. Or, si un mécanisme de sécurisation DNS est utilisé, en l'espère TSIG, ou SIG(0), cela n'est pas possible car la machine qui usurpe ne peut signer les requêtes d'enregistrement à la place d'une autre machine.
L'invention concerne aussi un dispositif de prévention d'usurpation d'une adresse IP d'une première machine, ladite machine ayant préalablement configuré son adresse IP, ledit dispositif comprenant : - des moyens de mémorisation, agencés pour mémoriser dans une table d' association une association entre l'adresse IP de la première machine et un premier paramètre de liaison physique sur laquelle une requête d'enregistrement est interceptée, - des moyens d'interception, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine, et pour intercepter un paquet IP en provenance d'une deuxième machine, un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, - des moyens de blocage, agencés pour bloquer le paquet IP reçu si un champ adresse source du paquet IP comprend l' adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé. L'invention concerne aussi un programme d'ordinateur destiné à être installé dans une mémoire d'un ordinateur, comprenant des instructions pour la mise en oeuvre des étapes du procédé de prévention d'usurpation d'adresses IP l'invention qui sont exécutées par le dispositif, lorsque le programme est exécuté par un processeur. L'invention porte également sur un support de données sur lequel est enregistré le programme d'ordinateur selon l'invention.
De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description de modes particuliers de réalisation en référence aux dessins annexés donnés à titre non limitatif, et dans lesquels : - les figures lA et 1B illustrent des méthodes de prévention d'usurpation d'adresse IP selon un mécanisme connu appelé SAVI selon que l'adresse IP est obtenue par une machine auprès d'un serveur DHCP, respectivement par auto-configuration de la machine ; - la figure 2 présente les étapes d'un mécanisme de prévention d'usurpation d'adresse IP selon un premier exemple de réalisation de l'invention ; - la figure 3 représente un équipement apte à mettre en oeuvre le procédé de prévention d'usurpation d'adresse IP selon l'invention. Le procédé de prévention d'usurpation d'adresse IP dans un réseau, selon un premier exemple de réalisation, va maintenant être décrit en relation avec la figure 2. Une pluralité de machines M1, M2, M3, ..., d'un sous-réseau IP (non représenté sur la figure 2) est reliée à un équipement 20 de prévention d'usurpation d'adresses IP selon l'invention. Il faut comprendre ici que l'équipement 20 est situé au plus proche des machines M1, M2, M3, ... et que des messages en provenance ou à destination des machines transitent par l'équipement 20. Un dispositif serveur d'enregistrement des noms de domaine 21 (le terme habituellement utilisé est le terme anglais « DNS » pour « Domain Name Server ») est destiné à mémoriser des enregistrements associés aux machines du réseau. Un enregistrement est une donnée qui comprend au moins une adresse IP de machine et une information propre à la machine, par exemple, un nom de machine pleinement qualifié, ou « FQDN » (de l'anglais « Fully Qualified Domain Name »), ou nom de domaine Le nom de domaine, ou FQDN, permet de nommer la machine M1 de manière compréhensible, par exemple www.MachineMl.com, plutôt qu'au moyen d'une adresse IP, difficile à mémoriser. Ainsi, lorsqu'un message est envoyé à www.MachineMl.com, le serveur d'enregistrement est interrogé afin d'obtenir l'adresse IP associée et d'acheminer correctement le message dans le réseau. Dans une étape initiale E0 de configuration, la machine M1 configure son adresse IP.
Une telle configuration peut être obtenue selon différents mécanismes connus : soit auprès d'un serveur « DHCP » (de l'anglais « Dynamic Host Configuration Protocol »), pour une adresse IPv4 ou IPv6, soit par auto-configuration, pour une adresse IPv6, soit par configuration manuelle de la machine, pour une adresse IPv4 ou IPv6.
Quelque soit le mécanisme de configuration utilisé, la machine M1 possède au terme de l'étape initiale E0 une adresse IP IP1. Dans une étape El d'enregistrement, la machine M1 s'enregistre auprès du serveur d'enregistrement 21 afin de déclarer qu'à son nom de machine pleinement qualifié, www.MachineMl.fr est associé l'adresse IP1 nouvellement configurée. A cet effet, la machine Ml envoie au serveur d'enregistrement 21 une requête d'enregistrement DNS comprenant au moins son adresse IP et son nom de machine pleinement qualifié. Cette requête est transmise conformément au protocole de mise à jour DNS dynamique (l'expression « Dynamic DNS Update » est habituellement utilisée), décrit dans la RFC 2136. L'équipement 20, en coupure des échanges entre le machine M1 et le réseau intercepte dans une étape E2 d'interception la requête d'enregistrement DNS envoyée par la machine Ml. Dans une étape E3 d'analyse, l'équipement 20 analyse la requête DNS et extrait de cette requête l'adresse IP1 de la machine Ml. Cette analyse est possible du fait que la requête DNS est un message en clair. En fin d'étape E3 d'analyse, l'équipement 20 retransmet la requête d'enregistrement au serveur d'enregistrement 21. Le serveur d'enregistrement 21 reçoit et enregistre alors l'enregistrement DNS en base dans une étape E4 de réception et de mise en base. Dans une étape E5 d'association, l'équipement 20 enregistre dans une table d'association (le terme habituellement utilisé est le terme anglais « Binding Table ») une association entre l'adresse IP IP1 de la machine Ml et un paramètre physique associé à la liaison physique sur laquelle fonctionne le réseau de la machine Ml. L'association consiste ainsi en un lien fort destiné à lier l'adresse IP, logique, de la machine M1 à une identité de la machine Ml, indépendante de l'adresse logique. Une telle association est connue aussi sous le nom d' « association d'ancrage » (le terme habituellement utilisé est le terme anglais « binding anchor »). En d'autres termes, le lien fort associe à l'adresse IP de la machine Ml une information qui permet de caractériser la communication entre la machine M1 et l'équipement 20. Le paramètre physique associé à la liaison physique est indépendant de l'adresse IP de la machine Ml. Par exemple, le lien fort, ou l'association d'ancrage associe à l'adresse IP de la machine M1 un numéro de port de l'équipement 20 par lequel l'équipement reçoit, respectivement transmet, les messages de, respectivement à, la machine Ml. Par exemple, l'adresse IP1 de la machine Ml est associé à un port noté pl, l'adresse de la machine M2 à un port noté p2, l'adresse de la machine M3 à un port noté p3, etc. Lorsque les étapes E0 de configuration, El d'enregistrement, E2 d'interception, E3 d'analyse et E5 d'association ont été exécutées pour les machines Ml, M2, M3, ... du même sous-réseau, l'équipement 20 possède dans sa table d'association, une association d'ancrage propre à chacune des machines Ml, M2, M3, ... qui à chaque adresse IP associe un numéro de port de l'équipement 20 qui caractérise le point par lequel chaque machine Ml, M2, M3, ... communique avec les autres machines, que ce soit les machines de ce sous-réseau ou les autres machines du réseau (non représentées sur la figure 2).
Dans une étape ultérieure E6 de tentative d'usurpation de l'adresse IP de la machine M1 par la machine M2, la machine M2 émet des messages en usurpant l'adresse IP de la machine M1 (le terme habituellement utilisé pour une telle opération est le terme anglais « spoofing »). A cette fin, tous les champs adresse source des paquets IP qui constituent les messages transmis depuis la machine M2 sont falsifiés et comprennent l'adresse IP1 de la machine M1 au lieu de l'adresse IP de la machine M2 qui envoie les paquets. Dans une étape suivante E7 de détection et de réaction, l'équipement 20, en coupure des échanges en provenance et à destination des machines Ml, M2, M3, ..., intercepte les paquets IP envoyés par la machine M2. L'équipement 20 consulte alors sa table d'association mémorisée au cours de l'étape E5 d'association afin de vérifier que les données qui figurent dans les paquets IP sont cohérentes avec les données mémorisées dans la table d'association. A cette fin, l'équipement 20, qui reçoit les paquets sur un certain port, vérifie que l'adresse IP qui figure dans le champ adresse source des paquets reçus est identique à l'adresse IP qui est associée dans la table d'association au paramètre physique de valeur le numéro du port. Les paquets IP émis depuis la machine M2 sont reçus par l'équipement 20 sur le port p2. L'adresse IP associée au port p2 dans la table d'association est l'adresse IP2 de la machine M2. Ainsi, l'équipement 20 détecte aisément qu'il y a tentative d'usurpation de l'adresse IP1 de la machine Ml par la machine M2, puisque le champ adresse source des paquets IP comprend l'adresse IP1 et non l'adresse IP2 de la machine M2, comme attendu. L'équipement 20 bloque alors les paquets émis par la machine M2 au cours d'une étape E8 de blocage. Ainsi, la tentative d'usurpation d'adresse par la machine M2 ne peut aboutir. Dans un exemple de réalisation, une machine, par exemple la machine M1 change d'adresse IP. Par exemple, dans le cas où l'adresse IP de la machine M1 a été obtenue par auto-configuration et que le préfixe du réseau change, alors la machine M1 change d'adresse IP afin d'avoir une adresse cohérente avec le nouveau préfixe. Dans ce cas, la machine M1 transmet un message d'enregistrement DNS au serveur d'enregistrement 21 pour que celui-ci mette à jour sa table d'enregistrement. L'équipement 20 qui voit passer une telle requête met alors à jour la table d'association en remplaçant dans l'association d'ancrage concernée l'adresse IP de la machine M1 préalablement enregistrée par l'adresse IP nouvellement configurée. Dans les exemples de réalisation décrits ici, l'équipement 20 de prévention d'usurpation d'adresses est un équipement dédié. L'invention n'est pas limitée à ce mode de réalisation. Ainsi, dans un autre exemple de réalisation, le procédé de l'invention est mis en oeuvre dans un équipement réseau existant. Par exemple, le procédé peut être mis en oeuvre dans un commutateur réseau (on parle habituellement de « switch »), dans un routeur, etc. Dans le cas d'un routeur, le paramètre physique qui est associé à une adresse IP dans la table d'association est une adresse « MAC » (de l'anglais « Media Access Control ») des machines Ml, M2, M3, ..., ou une interface réseau. L'invention peut également être mise en oeuvre dans un réseau sans-fil. Dans cet exemple, si les échanges entre un point d'accès et les machines sont sécurisés au moyen de « WPA2 » (« de l'anglais « Wi-Fi Protected Access »), alors le paramètre physique associé aux adresses IP dans la table d'association est une association de sécurité (« Security Association » en anglais). Les paramètres physiques permettent d'identifier l'interface réseau de communication entre l'équipement 20 et les machines Ml, M2, M3... Il peut être un numéro de port, une adresse MAC, une association de sécurité, un canal radio, un index de VPN, etc. Dans un exemple de réalisation (non représenté sur la figure 2), les échanges entre les machines Ml, M2, M3, ... et le serveur d'enregistrement 21 sont sécurisés. Dans un premier mode de sécurisation de ces échanges, le serveur d'enregistrement 21 partage avec chacune des machines Ml, M2, M3, ... une clé secrète K1, K2, K3, ... Ce mode de sécurisation, appelé « TSIG » (pour « Transaction SIGnature ») est décrit dans la RFC 2845. Conformément à ce mode de sécurisation, la machine M1 signe, au moyen de la clé secrète partagée K1, la requête d'enregistrement DNS qu'elle envoie au serveur d'enregistrement 21 au cours de l'étape El d'enregistrement. Le serveur d'enregistrement 21 vérifie la signature de la requête au cours de l'étape E4 de réception et de mise en base. Dans un premier cas où la signature est valide, le serveur d'enregistrement 21 envoie à la machine M1 un message d'accusé de réception positif. Ce message, intercepté par l'équipement 20, permet à celui-ci de valider le lien d'ancrage entre l'adresse IP 1 de la machine M1 et le paramètre physique, en l'espèce le numéro de port, mémorisé au cours de l'étape E5 d'association. Dans ce mode de réalisation, le lien d'ancrage associé à l'adresse IP de la machine Ml et mémorisé au cours de l'étape E5 est temporaire. La mémorisation définitive de ce lien d'ancrage dans la table d'association est conditionnée par la réception d'un message d'accusé de réception positif du serveur d'enregistrement 21. Dans le cas contraire, c'est-à-dire si la signature de la requête n'est pas valide, le serveur d'enregistrement 21 envoie à la machine Ml un accusé de réception négatif. Cet accusé de réception est intercepté par l'équipement 20 qui efface alors dans la table d'association la liaison d'ancrage associée à la machine Ml lors de l'étape E5 d'association. En effet, l'adresse IP1 de la machine M1 ne pouvant être enregistrée dans le serveur d'enregistrement 21, elle n'est alors pas valide.
Dans un deuxième mode de sécurisation des échanges entre les machines et le serveur d'enregistrement 21, basé sur de la cryptographie asymétrique, le serveur d'enregistrement 21 et chaque machine Ml, M2, M3, ... possèdent un couple de clés privée/publique. Ce mode de sécurisation, appelé SIG(0) est décrit dans la RFC 2931. Avec ce mode de sécurisation, la machine M1 signe la requête qu'elle envoie au serveur d'enregistrement 21 au moyen de sa clé privée. Le serveur d'enregistrement 21 vérifie la signature au moyen de la clé publique de la machine M1 et dans un exemple de réalisation envoie à la machine M1 un accusé de réception positif ou négatif, selon le résultat de la vérification de la signature, signé au moyen de la clé privée du serveur. L'équipement 20 qui intercepte cet accusé de réception vérifie la signature de l'accusé de réception au moyen de la clé publique du serveur d'enregistrement 21. Cette vérification permet à l'équipement 20 de confirmer ou d'effacer la liaison d'ancrage associée à la machine M1 au cours de l'étape E5 d'association. Cette vérification conditionne la mémorisation du lien d'ancrage associé à la machine M1 dans la table d'association Dans ces deux modes de réalisation, l'équipement 20 s'appuie sur la sécurisation des échanges entre le serveur d'enregistrement 21 et les machines pour sécuriser la table d' association. Dans un autre exemple de réalisation, il est prévu de mémoriser dans la table d'association une troisième information, en plus de l'adresse IP et du paramètre physique représentatif de l'interface réseau de communication entre le dispositif 20 et les machines. Cette troisième information est le nom pleinement qualifié, ou FQDN des machines. La mémorisation du nom pleinement qualifié a lieu au cours de l'étape E5 d'association. En effet, le nom pleinement qualifié est compris dans la requête d'enregistrement transmise par la machine M1 au cours de l'étape El d'enregistrement et interceptée par le dispositif 20 au cours de l'étape E2. Le nom pleinement qualifié peut donc être extrait de la requête au cours de l'étape E3 d'analyse et mémorisé au cours de l'étape E5 de mémorisation. La présence du nom pleinement qualifié de la machine M1 permet de pallier une usurpation d'adresse IP qui interviendrait au moment de l'enregistrement d'une machine auprès du serveur d'enregistrement 21. En effet, dans ce cas, la machine M2 qui tente d'usurper l'adresse IP de la machine M1 envoie une requête d'enregistrement qui comprend l'adresse IP de la machine Ml. Ainsi, à l'adresse IP de la machine M1 est associée dans la table d'association le paramètre physique correspondant à l'interface de communication entre la machine M2 et le dispositif 20. Le nom pleinement qualifié qui a été envoyé dans la requête d'enregistrement et que l'on suppose être celui de la machine M2 est alors un élément différenciant supplémentaire lorsque des paquets IP émis par la machine M2 usurpent l'adresse IP de la machine Ml. Si TSIG ou SIG(0) est utilisé, la machine M2 ne possède pas la/les clé(s) nécessaire(s) pour envoyer une requête signée pour mener à bien l'enregistrement dans le serveur d'enregistrement 21. Dans ce cas, le serveur d'enregistrement répond que la mise à jour n'est pas valide et l'équipement 20 ne met alors pas à jour sa table d'association. Ainsi, les paquets IP envoyés depuis la machine M2 en falsifiant l'adresse IP de la machine M1 sont bloqués, conformément au procédé de l'invention.
Un équipement 20 de prévention d'usurpation d'adresses IP va maintenant être décrit en relation avec la figure 3. L'équipement 20 de prévention d'usurpation d'adresses est situé au plus proches des machines Ml, M2, M3, ... (non représentées sur la figure 3) et est en coupure des échanges de chacune des machines avec d'autres équipements du réseau, par exemple le serveur d'enregistrement 21. L'équipement 20 peut être un équipement dédié à la prévention d'usurpation d'adresses à l'intérieur d'un même sous-réseau. Dans un autre exemple de réalisation, l'équipement 20 est un équipement réseau, par exemple un switch, un routeur, etc. qui met en oeuvre le procédé de l'invention.
L'équipement 20 comprend : un microprocesseur 201, ou « CPU ») (de l'anglais « Central Processing Unit ») qui est une unité de traitement, une mémoire vive 202, ou « RAM » (pour « Random Access Memory ») qui permet de charger des instructions logicielles correspondant aux étapes du procédé de prévention d'usurpation d'adresses telles que décrites précédemment, et de les faire exécuter par le processeur 201, des moyens de mémorisation 203, par exemple une mémoire de type « ROM » (de l'anglais « Read Only Memory ») adaptée pour mémoriser la table d'association qui à chaque adresse IP de machine Ml, M2, M3, ... associe un paramètre physique de la liaison physique sur laquelle une requête d'enregistrement envoyée depuis la machine vers le serveur d'enregistrement 21 transite, des interfaces réseau 204, adaptées pour communiquer d'une part avec les machines Ml, M2, M3, ... et d'autre part avec d'autres équipements du réseau, tels que le serveur d'enregistrement 21, ou des machines d'autres sous-réseaux, des moyens d'interception 205, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance des machines Ml, M2, M3, ... et à destination du serveur d'enregistrement 21, la requête comprenant au moins l'adresse IP des machines. Les moyens d'interception 205 sont également agencés pour intercepter un paquet IP en provenance des machines, dans le but de vérifier qu'il n'y a pas usurpation d'une adresse IP, des moyens de blocage 206, agencés pour bloquer un paquet IP reçu d'une machine s'il s'avère que l'adresse source qui figure dans le paquet a été usurpée. Plus précisément les moyens de blocage 26 sont adaptés pour bloquer le paquet IP reçu d'une certaine machine sur une interface réseau correspondant à un paramètre physique donné, si l'adresse IP associée à ce paramètre physique de liaison physique dans la table d'association est différente de l'adresse IP qui figure dans le champ adresse source du paquet IP en cours d'analyse.
Les interfaces réseau 204, les moyens d'interception 205 et les moyens de blocage 206 sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé de prévention d'usurpation d'adresses IP précédemment décrites. L'invention concerne donc aussi : - un programme d'ordinateur comportant des instructions pour la mise en oeuvre du procédé de prévention d'usurpation d'adresse IP tel que décrit précédemment lorsque ce programme est exécuté par un processeur, et - un support d'enregistrement lisible par un dispositif de prévention d'usurpation d'adresse sur lequel est enregistré le programme d'ordinateur décrit ci-dessus. Les modules logiciels peuvent être stockés dans, ou transmis par un support de données.
Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication.

Claims (10)

  1. REVENDICATIONS1. Procédé de prévention d'usurpation d'une adresse IP d'une première machine (M1), ladite adresse IP ayant été préalablement configurée, le procédé comprenant : - une étape (E2) d'interception d'une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement (21), la requête comprenant au moins l'adresse IP de la première machine, - une étape (E5) de mémorisation dans une table d'association, d'une association entre l'adresse IP reçue et un premier paramètre de liaison physique sur laquelle la requête est reçue, - une étape ultérieure (E7) d'interception d'un paquet IP en provenance d'une deuxième machine (M2), un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, - un blocage (E8) du paquet IP reçu si un champ adresse source du paquet IP comprend l'adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.
  2. 2. Procédé de prévention selon la revendication 1, dans lequel l'adresse IP de la première machine a été configurée selon une méthode connue parmi le groupe comprenant : une auto-configuration d'adresse IPv6, une configuration manuelle, l'obtention d'une adresse auprès d'un serveur DHCP.
  3. 3. Procédé selon la revendication 1, dans lequel le serveur d'enregistrement est un serveur de noms de domaine. 25
  4. 4. Procédé selon la revendication 1, comprenant : - une étape d'interception d'une deuxième requête d'enregistrement de l'adresse IP en provenance de la première machine, la requête comprenant une nouvelle adresse IP, - une étape de mise à jour de la table d'association par remplacement dans l'association 30 entre l'adresse IP et le premier paramètre physique, de l'adresse IP de la première machine par la nouvelle adresse IP.
  5. 5. Procédé de prévention selon la revendication 1, comprenant en outre la réception d'un message de validation de l'adresse IP de la machine en provenance du serveur d'enregistrement,consécutive à la transmission de ladite requête au serveur d'enregistrement, et conditionnant l'étape de mémorisation.
  6. 6. Procédé selon la revendication 5, comprenant une sécurisation des échanges entre le serveur d'enregistrement et la machine conforme à un schéma de cryptographie à clé publique, le procédé comprenant en outre une étape de vérification d'une signature du message de validation de l'adresse IP reçu du serveur d'enregistrement.
  7. 7. Procédé selon la revendication 1, dans lequel l'association mémorisée au cours de l'étape de mémorisation comprend également un nom pleinement qualifié de la première machine.
  8. 8. Dispositif (20) de prévention d'usurpation d'une adresse IP d'une première machine (M1), ladite machine ayant préalablement configuré son adresse IP, ledit dispositif comprenant : - des moyens (203) de mémorisation, agencés pour mémoriser dans une table d'association une association entre l'adresse IP de la première machine et un premier paramètre de liaison physique sur laquelle une requête d'enregistrement est interceptée, - des moyens (206) d'interception, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement (21), la requête comprenant au moins l'adresse IP de la première machine, et pour intercepter un paquet IP en provenance d'une deuxième machine (M2), un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, - des moyens (206) de blocage, agencés pour bloquer le paquet IP reçu si un champ adresse source du paquet IP comprend l' adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.
  9. 9. Programme d'ordinateur destiné à être installé dans une mémoire d'un ordinateur, comprenant des instructions pour la mise en oeuvre des étapes du procédé de prévention d'usurpation d'adresses IP l'une des revendications 1 à 7 qui sont exécutées par le dispositif, lorsque le programme est exécuté par un processeur.
  10. 10. Support de données sur lequel est enregistré le programme d'ordinateur selon la revendication 9.
FR1158790A 2011-09-30 2011-09-30 Procede de prevention d'usurpation d'adresse Pending FR2980866A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1158790A FR2980866A1 (fr) 2011-09-30 2011-09-30 Procede de prevention d'usurpation d'adresse
PCT/FR2012/052200 WO2013045857A1 (fr) 2011-09-30 2012-09-28 Procede de prevention d'usurpation d'adresse

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1158790A FR2980866A1 (fr) 2011-09-30 2011-09-30 Procede de prevention d'usurpation d'adresse

Publications (1)

Publication Number Publication Date
FR2980866A1 true FR2980866A1 (fr) 2013-04-05

Family

ID=47071372

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1158790A Pending FR2980866A1 (fr) 2011-09-30 2011-09-30 Procede de prevention d'usurpation d'adresse

Country Status (2)

Country Link
FR (1) FR2980866A1 (fr)
WO (1) WO2013045857A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635067B (zh) 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JIANPING WU ET AL: "Source Address Validation: Architecture and Protocol Design", NETWORK PROTOCOLS, 2007. ICNP 2007. IEEE INTERNATIONAL CONFERENCE ON, IEEE, PI, 1 October 2007 (2007-10-01), pages 276 - 283, XP031157060, ISBN: 978-1-4244-1587-8 *
WU J BI TSINGHUA UNIV M BAGNULO UC3M F BAKER CISCO C VOGT J ET AL: "Source Address Validation Improvement Framework; draft-ietf-savi-framework-05.txt", SOURCE ADDRESS VALIDATION IMPROVEMENT FRAMEWORK; DRAFT-IETF-SAVI-FRAMEWORK-05.TXT, INTERNET ENGINEERING TASK FORCE, IETF; STANDARDWORKINGDRAFT, INTERNET SOCIETY (ISOC) 4, RUE DES FALAISES CH- 1205 GENEVA, SWITZERLAND, no. 5, 26 July 2011 (2011-07-26), pages 1 - 14, XP015077459 *

Also Published As

Publication number Publication date
WO2013045857A1 (fr) 2013-04-04

Similar Documents

Publication Publication Date Title
EP1779589B1 (fr) Systeme de suivi de l'usage d'adresses ip sur la base d'un identificateur de liaison authentifie
EP2415294B1 (fr) Procédé et dispositif de gestion d'une authentification d'un utilisateur
US20030110274A1 (en) Protecting against distributed denial of service attacks
EP1753173B1 (fr) Contrôle d'accès d'un équipement mobile à un réseau de communication IP par modification dynamique des politiques d'accès
US20100088399A1 (en) Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP
EP1965559B1 (fr) Procédé de sécurisation d'un flux de données
Man et al. Dns cache poisoning attack: Resurrections with side channels
FR3065605A1 (fr) Systeme et procede de communications
CN112398801A (zh) 数据处理方法及设备
EP1914960B1 (fr) Procédé de transmission de messages DHCP
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
US20090213752A1 (en) Detecting Double Attachment Between a Wired Network and At Least One Wireless Network
FR2980866A1 (fr) Procede de prevention d'usurpation d'adresse
EP3788762A1 (fr) Procédé d'envoi d'une information et de réception d'une information pour la gestion de réputation d'une ressource ip
FR3023099A1 (fr) Procede de protection d'un routeur contre des attaques
EP3949287B1 (fr) Passerelle et procédé de différentiation de trafic émis par la passerelle, dispositif et procédé gestion du trafic
ENISA ENISA
EP3815335A1 (fr) Procédés de vérification de la validité d'une ressource ip, serveur de contrôle d'accès, serveur de validation, noeud client, noeud relais et programme d'ordinateur correspondants
US20240007484A1 (en) Method for detecting a malicious device in a communication network, corresponding communication device and computer program
US20230328102A1 (en) Network security with server name indication
WO2023117802A1 (fr) Procédés d'identification d'au moins un serveur de mitigation et de protection d'un domaine client contre une attaque informatique, dispositifs et signal correspondants
WO2023242315A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d'ordinateur correspondants.
EP3070911A1 (fr) Procédé de contrôle d'accès à un réseau privé
EP2080404B1 (fr) Serveur descripteur de région et procédé de sélection d'un réseau sans fil
FR3112002A1 (fr) Procédé et dispositif de détection d'une faille de sécurité.