FR3110802A1 - Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants. - Google Patents

Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants. Download PDF

Info

Publication number
FR3110802A1
FR3110802A1 FR2005506A FR2005506A FR3110802A1 FR 3110802 A1 FR3110802 A1 FR 3110802A1 FR 2005506 A FR2005506 A FR 2005506A FR 2005506 A FR2005506 A FR 2005506A FR 3110802 A1 FR3110802 A1 FR 3110802A1
Authority
FR
France
Prior art keywords
address
equipment
client equipment
client
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR2005506A
Other languages
English (en)
Other versions
FR3110802B1 (fr
Inventor
Xavier Le Guillou
Dimitri Bricheteau
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2005506A priority Critical patent/FR3110802B1/fr
Publication of FR3110802A1 publication Critical patent/FR3110802A1/fr
Application granted granted Critical
Publication of FR3110802B1 publication Critical patent/FR3110802B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity

Abstract

L’invention concerne un procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication. Un tel procédé met en œuvre, au niveau de l’équipement d’accès :- sur réception d’une demande d’autorisation d’attribution d’une adresse IP à un équipement client, comprenant au moins une adresse MAC de l’équipement client, l’obtention d’une empreinte de l’équipement client, dite empreinte courante, par analyse des interfaces actives de l’équipement client avec ledit premier réseau de communication;- la mise en correspondance de l’empreinte courante avec une empreinte de référence stockée en mémoire; et- la décision d’autoriser ou de refuser l’attribution d’une adresse IP audit équipement client en fonction d’un résultat de la mise en correspondance. FIGURE 2

Description

Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.
Domaine technique de l'invention
Le domaine de l’invention est celui de la sécurité d’un réseau de communication, plus précisément du contrôle de l’attribution des adresses IP à des équipements clients souhaitant se connecter audit réseau de communication.
En particulier, l’invention s’applique à un réseau de communication local, par exemple sans fil, géré par un équipement d’accès à un réseau de communication étendu, par exemple Internet.
Art antérieur
Aujourd’hui, la mise en réseau d’un équipement client quelconque sur un réseau de communication utilisant des adresses réseau selon le protocole Internet ou IP (pour « Internet Protocol », en anglais), par exemple de type IPv4, implique généralement l’utilisation d’un protocole d’attribution dynamique des adresses IP, par exemple de type DHCP (pour « Dynamic Host Configuration Protocol », en anglais) décrit dans le document RFC2131 publié par l’IETF en mars 1997. Le protocole DHCP permet à la fois d’attribuer des adresses réseau dynamiques à certains équipement clients et de réserver certaines adresses réseau statiques à d’autres équipements clients. Dans les deux cas, l’équipement client dépourvu d’adresse réseau ou IP diffuse un message de découverte ou paquet de données de type datagramme, appelé DHCP DISCOVER, destiné au port 67 de n’importe quel équipement serveur configuré pour attribuer des adresses IP dans le réseau et à l’écoute sur ce port. Ce datagramme comporte entre autres l’adresse de liaison, appelée aussi adresse MAC du client (pour « Media Access Control », en anglais). Cette adresse MAC est un identifiant physique stocké dans une interface de l’équipement client, par exemple sa carte réseau. A moins qu’elle n’ait été modifiée par l’utilisateur de l’équipement client, elle est unique.
Tout équipement serveur DHCP ayant reçu ce datagramme, s’il est en mesure de proposer une adresse sur le réseau auquel appartient l’équipement client, envoie une réponse ou offre DHCP (DHCP OFFER) à l’attention du client (sur son port 68), identifié par son adresse physique. Cette offre comprend au moins l’adresse IP de l’équipement serveur, ainsi que l’adresse IP qu’il propose au client. Il se peut que plusieurs offres soient reçues par l’équipement client de différents équipements serveurs.
L’équipement client retient une des offres reçues, par exemple la première qui lui parvient, et diffuse sur le réseau un message ou datagramme de requête DHCP (DHCP REQUEST). Ce datagramme comporte l’adresse IP de l’équipement serveur dont il a retenu l’offre et l’adresse IP qu’il lui a proposée. Elle a pour effet de demander à l’équipement serveur de lui attribuer effectivement cette adresse IP. Elle peut requérir le cas échéant l’envoi d’un message d’information aux autres serveurs dont l’offre n’a pas été retenue.
A réception de cette requête DHCP REQUEST, l’équipement serveur DHCP élabore un message ou datagramme d’accusé de réception (DHCP ACKpouracknowledgement) qui confirme à l’équipement client l’attribution de l’adresse IP offerte. Ce message peut comprendre aussi un masque de sous-réseau, une durée de bail de cette adresse et éventuellement d’autres paramètres.
Dès réception de cet accusé-réception et de l’adresse IP, l’équipement client peut se connecter au réseau et communiquer avec d’autres équipements clients connectés au réseau.
Cette arrivée sur le réseau d’une nouvelle adresse IP entraîne la mise à jour par les équipements connectés de leurs tables ARP (pour « Address Resolution Protocol », en anglais) respectives, par observation du trafic. Lorsqu’une nouvelle adresse IP est rencontrée par un équipement client connecté au réseau, une requête ARP est diffusée à laquelle l’équipement client sera le seul à répondre en unicast, en fournissant son adresse MAC. La nouvelle association adresse IP – adresse MAC est alors enregistrée dans la table ARP de cet équipement. Cette mise à jour est faite pour toute nouvelle adresse IP interceptée, même si le trafic de données n’est pas destiné à l’équipement en question. Dans une table ARP, une adresse IP ne peut être associée qu’à une seule adresse MAC et vice versa. Aucune duplication n’est autorisée.
Un inconvénient de ce mécanisme d’attribution d’adresse IP est qu’il est déclaratif, c’est-à-dire qu’il s’appuie sur la déclaration par l’équipement client de son adresse MAC. Or, cette adresse a pu être modifiée par l’équipement client ou usurpée à un autre équipement client.
En cas d’usurpation, l’équipement client s’approprie l’adresse IP du propriétaire de l’adresse MAC et récupère son trafic de données.
En cas de modification de l’adresse MAC de son équipement client, un utilisateur peut obtenir une nouvelle adresse IP et contourner un planificateur wifi configuré pour bloquer l’accès à Internet pendant certaines plages horaires à des adresses MAC prédéterminées. Avec cette nouvelle adresse IP associer à son adresse MAC modifiée, il peut accéder à Internet en dehors des plages autorisées.
Un utilisateur peut aussi usurper l’adresse de liaison d’un autre équipement client qui n’appartient pas à la liste des équipements clients soumis à des plages horaires pour accéder à Internet. Il obtient facilement une adresse IP pour se connecter au réseau, sur la base de cette adresse de liaison usurpée.
Le protocole 802.1X tel que spécifié dans le document RFC 3580 intitulé « IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines », publié en 2003 par l’IETF, apporte une solution à ce problème à l’aide d’une solution d’authentification d’un équipement client dans un réseau, préalable à l’attribution d’une adresse IP. Il propose en effet de filtrer les connexions à un réseau de communication et d’identifier les équipements clients, avant qu’une adresse IP leur soit attribuée.
Néanmoins, cette solution d’authentification forte n’est pas compatible avec tous les types d’équipements clients, en particulier de nombreux objets communicants bon marché relevant de l’internet des objets ou IoT (pour « Internet of Thing », en anglais) et certains ordinateurs ou autres matériels dont composants matériels et/ou logiciels sont trop anciens.
Il existe donc un besoin d’une solution pour sécuriser l’attribution d’adresses IP dans un réseau de communication local géré par un équipement d’accès à un réseau étendu.
L’invention vient améliorer la situation.
Présentation de l'invention
L’invention répond à ce besoin à l’aide d’un procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication.
Ce procédé met en œuvre, au niveau de l’équipement d’accès :
- sur réception d’une demande d’autorisation d’attribution d’une adresse IP à un équipement client, comprenant au moins une adresse MAC de l’équipement client, l’obtention d’une empreinte de l’équipement client, dite empreinte courante, par analyse des interfaces actives de l’équipement client avec le premier réseau de communication;
- la mise en correspondance de l’empreinte courante avec une empreinte de référence stockée en mémoire; et
- la décision d’autoriser ou de refuser l’attribution d’une adresse IP audit équipement client en fonction d’un résultat de la mise en correspondance.
L’invention propose une approche tout-à-fait nouvelle et inventive de contrôle d’une attribution d’une adresse IP à un équipement client dans un réseau, qui s’appuie sur une identification de cet équipement client à l’aide d’une empreinte « comportementale » de cet équipement dans le premier réseau, générée par analyse de ses interfaces actives dans le premier réseau de communication. Avantageusement, cette analyse permet d’obtenir des informations relatives à un type de connexion, à un ou plusieurs ports ouverts et à un ou plusieurs programmes logiciels serveurs ou clients qui, en s’exécutant sur l’équipement client, écoutent en permanence ces ports ouverts. La décision d’autoriser ou non l’attribution d’une adresse IP à cet équipement client est conditionnée au résultat de cette identification, et donc au fait qu’il soit reconnu ou non dans le premier réseau. Un tel contrôle est effectué au sein de l’équipement d’accès pour tout équipement client, quelle que soit sa configuration matérielle ou logicielle. Avantageusement, lorsque l’empreinte courante correspond à l’empreinte de référence, l’équipement client est automatiquement reconnu par l’équipement d’accès qui autorise qu’une adresse IP lui soit attribuée.
Selon un aspect de l’invention, lorsque l’empreinte courante ne correspond pas à l’empreinte de référence, le procédé comprend l’envoi d’une demande de validation à un administrateur du premier réseau de communication, ladite demande de validation comprenant au moins l’adresse MAC de l’équipement client et la décision prise dépend en outre d’une réponse de validation reçue.
En effet, il peut arriver que le comportement de l’équipement client ait évolué depuis sa dernière connexion. Avantageusement, une validation est demandée à l’administrateur qui décide s’il faut autoriser ou non l’attribution d’une adresse IP à ce client. En effet, l’administrateur du réseau est en mesure de « reconnaître » l’équipement client et de juger si cette évolution est révélatrice d’un comportement suspect ou non. Avantageusement, pour aider l’administrateur à évaluer la situation et à prendre une décision concernant l’équipement client, la demande de validation comprend une information relative à un écart détecté entre les empreintes. Par exemple, cette information comprend une indication d’un nouveau service publié par l’équipement client sur un nouveau port ou bien un changement de version d’un logiciel client ou serveur déjà présent lors de l’enregistrement de l’empreinte de référence.
Selon un autre aspect de l’invention, lorsque l’empreinte courante ne correspond pas à l’empreinte de référence, la décision prise est de refuser l’attribution d’une adresse IP à l’équipement client.
De façon alternative, la demande est rejetée lorsque les empreintes ne correspondent pas. Un avantage est d’offrir un niveau de sécurité accru et de ne pas introduire de latence dans l’accès au réseau, en interrogeant l’administrateur.
Selon encore un autre aspect de l’invention, suite à une décision d’autoriser l’attribution d’une adresse IP à l’équipement client, le procédé le procédé met en œuvre une surveillance de l’équipement client, ladite surveillance répétant la génération d’une empreinte courante et la mise en correspondance de ladite empreinte courante avec l’empreinte de référence stockée en mémoire, et sur détection d’un écart, le déclenchement d’au moins une action de protection du premier réseau appartenant à un groupe comprenant au moins l’envoi d’un message d’alerte à l’administrateur du premier réseau de communication et une déconnexion de l’équipement client.
Ainsi, pendant la connexion de l’équipement client au premier réseau, son comportement est surveillé par génération régulière d’une nouvelle empreinte et comparaison à l’empreinte de référence stockée en mémoire. En cas d’écart constaté, l’administrateur est alerté.
Avantageusement, lorsque l’administrateur confirme que l’évolution du comportement de l’équipement client dans le premier réseau constitue un danger, il est déconnecté. En alternative, l’action déclenchée peut être une déconnexion directe sans envoi d’alerte préalable.
Selon un autre aspect de l’invention, lorsqu’aucune empreinte de référence n’a été trouvée en mémoire en association avec l’adresse MAC, la décision prise appartient à un groupe comprenant une autorisation d’attribuer une adresse IP à l’équipement client et l’envoi d’un message de demande de validation à un administrateur du premier réseau.
Avec l’invention, un nouvel équipement client, dont l’adresse MAC n’est pas encore associée en mémoire à une empreinte de référence, est autorisé, au moins temporairement, à obtenir une adresse IP en vue de se connecter au réseau. Avantageusement, une validation préalable est demandée à l’administrateur, qui garde ainsi un contrôle sur l’accès à son réseau.
Selon un autre aspect de l’invention, le procédé met en œuvre, suite à une décision d’autoriser l’attribution d’une adresse IP à l’équipement client, un stockage de l’empreinte courante de l’équipement client en mémoire, en tant qu’empreinte de référence, associée à l’adresse MAC de l’équipement client.
Une fois autorisé, le nouvel équipement client fait l’objet de l’enregistrement d’une empreinte de référence en mémoire. De la sorte, à la prochaine connexion, il pourra être reconnu automatiquement.
Selon encore un autre aspect de l’invention, le procédé met en œuvre une comparaison de l’empreinte de référence stockée pour l’équipement client avec d’autres empreintes de référence stockées en mémoire en association avec d’autres adresses MAC, et, en cas de correspondance, le déclenchement d’au moins une action de protection du premier réseau appartenant à un groupe comprenant au moins une déconnexion de l’équipement client et un envoi d’un message d’alerte à un administrateur du premier réseau.
De la sorte, l’invention permet de détecter un équipement client déjà connu qui a modifié son adresse MAC pour ne pas être « reconnu » et par exemple ne plus être soumis à des limitations d’accès par un planificateur de réseau.
Avantageusement, la déconnexion est déclenchée suite à l’envoi d’une alerte préalable à l’administrateur et à la réception d’une demande de blocage de l’équipement client en réponse.
Selon encore un autre aspect de l’invention, la demande d’autorisation comprend une requête d’attribution d’une adresse IP envoyée par l’équipement client à un équipement serveur configuré pour attribuer une adresse IP à un équipement client à partir de son adresse MAC.
Avantageusement, la requête DHCP REQUEST reçue par le serveur DHCP est directement recopiée ou encapsulée dans le message de demande d’autorisation d’attribution d’une adresse IP.
L’invention concerne également un produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d’un procédé de contrôle de l’attribution d’une adresse IP selon l’invention, tel que décrit précédemment, lorsqu’il est exécuté par un processeur.
L’invention vise également un support d’enregistrement lisible par un ordinateur sur lequel sont enregistrés les programmes d’ordinateur tels que décrits ci-dessus.
Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.
D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que le programme d’ordinateur qu’il contient est exécutable à distance. Le programme selon l'invention peut être en particulier téléchargés sur un réseau par exemple le réseau Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé de contrôle précité.
L’invention concerne aussi un dispositif de contrôle de l’attribution d’une adresse IP à un équipement client dans un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication.
Ledit dispositif est configuré pour :
- recevoir une demande d’autorisation d’attribution d’une adresse IP à l’équipement client, ladite demande comprenant une adresse MAC de l’équipement client ;
- rechercher une empreinte de référence stockée en mémoire en association avec l’adresse MAC ;
-lorsqu’une empreinte de référence a été trouvée :
-obtenir une empreinte de l’équipement client par analyse de ses interfaces actives avec ledit premier réseau de communication;
- mettre en correspondance de l’empreinte obtenue avec l’empreinte de référence; et
- prendre une décision d’autoriser ou de refuser l’attribution d’une adresse IP audit équipement client en fonction d’un résultat de la mise en correspondance.
Avantageusement, ledit dispositif est configuré pour mettre en œuvre le procédé de contrôle de l’attribution d’une adresse IP précité, selon ses différents modes de réalisation.
Avantageusement, ledit dispositif est intégré dans un équipement d’accès à un deuxième réseau de communication, configuré pour gérer un premier réseau de communication, ledit premier réseau comprenant un équipement serveur configuré pour attribuer une adresse IP à un équipement client dans le premier réseau de communication. Il s’agit par exemple d’une passerelle domestique ou professionnelle.
L’équipement d’accès, le dispositif de contrôle et le programme d'ordinateur correspondants précités présentent au moins les mêmes avantages que ceux conférés par le procédé précité selon les différents modes de réalisation de la présente invention.
Corrélativement, l’invention concerne aussi un procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication.
Ledit procédé met en œuvre :
- sur réception d’une requête d’attribution d’une adresse IP de la part de l’équipement client, ladite requête comprenant une adresse MAC de l’équipement client, transmission d’une demande d’autorisation à l’équipement d’accès, ladite demande d’autorisation comprenant l’adresse MAC de l’équipement client ; et
- sur réception d’une réponse comprenant une autorisation ou un refus d’attribuer une adresse IP audit client ; commande de traitement de la requête d’attribution à un équipement serveur configuré pour attribuer ladite adresse IP audit équipement client, en fonction de la réponse reçue.
L’invention concerne aussi le traitement d’une requête d’attribution d’une adresse IP par un équipement serveur, par exemple de type DHCP. Au lieu d’attribuer directement une adresse IP à un équipement client sur la base de son adresse MAC, l’équipement serveur est modifié pour demander une autorisation à l’équipement d’accès. De la sorte, il n’attribue une adresse IP que lorsque l’équipement d’accès l’y autorise.
L’invention concerne également un produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d’un procédé de traitement d’une requête d’attribution d’une adresse IP selon l’invention, tel que décrit précédemment, lorsqu’il est exécuté par un processeur.
L’invention vise également un support d’enregistrement lisible par un ordinateur sur lequel sont enregistrés les programmes d’ordinateur tels que décrits ci-dessus.
Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.
D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que le programme d’ordinateur qu’il contient est exécutable à distance. Le programme selon l'invention peut être en particulier téléchargés sur un réseau par exemple le réseau Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé de traitement précité.
L’invention concerne aussi un dispositif de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication.
Un tel dispositif est configuré pour :
- transmettre, sur réception d’une requête d’attribution d’une adresse IP de la part de l’équipement client, ladite requête comprenant une adresse MAC de l’équipement client, une demande d’autorisation à l’équipement d’accès, ladite demande d’autorisation comprenant l’adresse MAC de l’équipement client ;
- recevoir une réponse comprenant une autorisation ou un refus d’attribuer une adresse IP audit client ; et
- commander le traitement de la requête d’attribution en fonction de la réponse reçue.
Avantageusement, ledit dispositif est configuré pour mettre en œuvre le procédé de traitement d’une requête d’attribution d’une adresse IP précité, selon ses différents modes de réalisation.
Avantageusement, ledit dispositif est intégré dans un équipement serveur configuré pour attribuer une adresse IP à un équipement client dans un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication. Avantageusement, l’équipement serveur est intégré dans l’équipement d’accès précité.
Brève description des figures
D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :
: présente un exemple d’architecture d’un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication et intégrant un dispositif de contrôle d’une attribution d’une adresse IP à un équipement client dans le premier réseau de communication selon un mode de réalisation de l’invention ;
: décrit sous forme d’un logigramme les étapes d’un procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un premier réseau de communication, selon un exemple de réalisation de l’invention ;
: décrit sous forme d’un logigramme les étapes d’un procédé de traitement de l’attribution d’une adresse IP à un équipement client dans un premier réseau de communication, selon un exemple de réalisation de l’invention ;
: illustre, de façon schématique, le flux de messages échangés entre un équipement client, un équipement serveur et un équipement d’accès selon un mode de réalisation de l’invention ;
: illustre de façon schématique la structure matérielle d’un dispositif de contrôle d’une attribution d’une adresse IP à un équipement client dans un premier réseau de communication selon un mode de réalisation de l’invention ; et
: illustre de façon schématique la structure matérielle d’un dispositif de traitement d’une requête d’attribution d’une adresse IP par un équipement client dans un premier réseau de communication selon un mode de réalisation de l’invention.
Description détaillée de l’invention
Le principe général de l’invention repose sur la génération d’une empreinte numérique d’un équipement client qui requiert l’attribution d’une adresse IP dans un premier réseau de communication géré par un équipement d’accès à un deuxième réseau de communication, par analyse des interfaces actives de cet équipement client dans le premier réseau. Cette empreinte, dite empreinte courante, représentative d’un comportement de l’équipement client qui souhaite se connecter au réseau, est comparée à une empreinte de référence stockée en mémoire. Une réponse positive ou négative est donnée à sa requête en fonction d’une correspondance entre l’empreinte générée et l’empreinte de référence.
L’invention permet ainsi de « reconnaître » un équipement client qui s’est déjà connecté au premier réseau, avant de l’autoriser à obtenir une adresse IP.
L’invention s’applique à tout type de réseau de communication, notamment à un réseau de communication local, par exemple sans fil, géré par un équipement d’accès à un réseau de communication étendu, par exemple internet. Un tel équipement d’accès est par exemple une passerelle résidentielle. Elle s’applique aussi à deux réseaux locaux reliés par un routeur, tels que par exemple deux sous-réseaux indépendants d’un même réseau d’entreprise.
Elle concerne tout équipement terminal d’un utilisateur capable de se connecter à un réseau de communication et, parmi eux, les objets communicants faisant partie de l’internet des objets ou IoT (pour « Internet of Things », en anglais) , tel qu’un capteur, une caméra, etc. Elle s’applique particulièrement aux équipements terminaux dont la structure matérielle et/ou logicielle n’est pas compatible avec des solutions d’authentification forte, telles que celle proposée par le protocole 802.1X.
On présente désormais, en relation avec lafigure 1, un réseau de communication local LAN géré par un équipement d’accès AP à un réseau de communication étendu WAN, tel que par exemple le réseau internet. Le réseau de communication local LAN est par exemple un réseau sans fil, basé sur une technologie telle que Wi-Fi®, Bluetooth®, ZigBee, Z-Wave®, etc.
L’équipement d’accès AP est par exemple une passerelle résidentielle (pour « home gateway », en anglais) ou une passerelle professionnelle. Un tel équipement d’accès embarque donc un routeur RT configuré pour router des paquets de données du réseau local vers le réseau distant et vice versa.
Le réseau de communication local LAN comprend aussi un équipement serveur ES d’attribution d’adresses IP, par exemple de type DHCP. Dans cet exemple de réalisation, il est intégré dans l’équipement d’accès AP, mais l’invention s’applique également lorsque le serveur ES est un équipement indépendant de l’équipement d’accès AP. Le rôle d’un tel serveur est d’attribuer une adresse réseau, par exemple IP, à un équipement client qui souhaite se connecter au réseau de communication local LAN.
Dans la suite, on suppose que le réseau de communication est conforme au modèle de communication en couches OSI (pour « Open System Interconnection », en anglais). Selon un tel modèle, les adresses réseau sont donc des adresses IP et les adresses liaison des adresses MAC.
En relation avec lafigure 1, on considère aussi des équipements terminaux UE, qu’on désignera par équipements clients, configurés pour se connecter au réseau de communication étendu LAN via le réseau de communication local LAN. Il s’agit par exemple d’un ordinateur personnel 1, d’un téléphone intelligent 2 (pour «smartphone », en anglais), d’une tablette (non représentée), d’une imprimante 3, d’une caméra 4 ou d’un capteur de température 5.
Selon cet exemple de réalisation de l’invention, l’équipement d’accès AP comprend un dispositif 100 de contrôle d’une attribution d’une adresse IP à un équipement client du réseau LAN qui en a fait la requête auprès du serveur ES. Un tel dispositif est configuré pour recevoir une demande d’autorisation d’attribution d’une adresse IP à cet équipement client de la part du serveur ES, générer une empreinte courante de cet équipement client dans le réseau, la mettre en correspondance avec une empreinte de référence stockée en mémoire et autoriser ou refuser l’attribution d’une adresse IP à cet équipement client en fonction d’un résultat de cette mise en correspondance. L’empreinte de référence peut être enregistrée en association avec une adresse MAC de l’équipement client, par exemple dans une mémoire MEM de l’équipement d’accès AP. Par exemple, la mémoire MEM comprend une table comprenant des enregistrements associant une empreinte de référence à une adresse MAC.
Ainsi, selon l’invention, l’équipement serveur n’attribue plus automatiquement une adresse IP à un équipement client qui en fait la requête sur la base de son adresse MAC, mais l’attribution effective d’une telle adresse est conditionnée à la réception d’une autorisation de la part du dispositif de contrôle 100.
Avantageusement, le dispositif 100 met ainsi un procédé de contrôle d’une attribution d’une adresse IP selon l’invention qui va maintenant être détaillé en relation avec lafigure 2.
Au cours d’une étape20, un message DA de demande d’autorisation d’attribution d’une adresse réseau @IP dans le réseau de communication LAN est reçu par le dispositif 100 en provenance de l’équipement serveur ES. Cette demande concerne un équipement client UE et comprend l’adresse de liaison @MAC de cet équipement client. Par exemple, le message DA comprend une copie d’une requête DHCP-REQUEST envoyée par l’équipement client UE au serveur ES.
En21, le dispositif 100 Il met obtient une empreinte courante EC de cet équipement client UE dans le réseau LAN. Cette empreinte est générée par analyse des interfaces actives de cet équipement client dans le réseau. Avantageusement, on désigne par interfaces actives les ports ouverts par cet équipement client au niveau de la couche transport du modèle OSI. De tels ports sont ouverts par des logiciels, par exemple des applications logicielles qui s’exécutent sur l’équipement client, pour écouter en permanence le réseau et recevoir des requêtes de l’extérieur. Ces applications sont généralement des serveurs, mais des logiciels clients peuvent aussi ouvrir des ports en permanence. C’est le cas par exemple de l’application «Skype » qui permet à un utilisateur d’établir un appel téléphonique ou vidéo avec un appelé via le réseau Internet.
Dans cet exemple de réalisation, l’équipement d’accès est équipé, de façon connue en soi, d’une fonction ou module d’analyse SC de ports. A l’arrivée d’un équipement client dans le réseau LAN, un tel module SC est configuré pour émettre une pluralité de requêtes de connexions à une pluralité de ports réservés à des applications logicielles connues (par exemple 80 pour http, 443 pour https). Avec chacun des ports ouverts par l’équipement client UE, il établit une session de communication par exemple selon le protocole de communication TCP (pour « Transmission Control Protocol », en anglais) et demande à obtenir des informations sur l’application publiée sur ce port (à l’aide d’une requête GET). Il obtient généralement un nom et un numéro de version de l’application en question.
Optionnellement, une telle analyse est complétée par le recours à une méthode de détermination d’un système d’exploitation mis en œuvre par l’équipement client UE (pour « OS Guessing », en anglais), comme par exemple l’outil nmap. Pour scanner les ports d'un ordinateur distant, cet outil utilise diverses techniques d'analyse qui s'appuient sur des protocoles tels que TCP, IP, UDP (pour « User Datagram Protocol », en anglais) ou ICMP (pour « Internet Control Message Protocol », en anglais). De même, il se fonde sur les réponses qu'il obtient à des requêtes particulières pour obtenir une empreinte de la pile IP, souvent propre au système d’exploitation qui l'utilise. C'est par cette méthode qu'il peut reconnaitre la version d'un système d'exploitation en plus de la version des services en écoute sur ces ports.
Avantageusement, le dispositif 100 obtient en outre l’adresse de liaison, par exemple MAC de l’équipement client, extraite de la demande reçue et un nom déclaré par l’équipement client dans le réseau LAN.
Il peut obtenir aussi des informations représentatives d’un comportement de l’équipement client lors de son démarrage. En effet, certains logiciels installés sur l’équipement client émettent systématiquement lors de leur lancement des requêtes vers des adresses réseau externes par exemple pour se mettre à l’heure ou plus généralement à jour. Ces requêtes systématiques, aussi appelées « requêtes au boot » signent un comportement de l’équipement client dans le réseau LAN. Le dispositif 100 obtient ces informations de la part de l’équipement d’accès, d’au moins deux façons distinctes :
- elles sont extraites par son module routeur RT de la signalisation des paquets de données qui transitent par lui ;
- elles sont lues dans un journal d’événements réseau, dit journal de logs, par exemple de son module pare-feu FW. Un tel journal comprend des enregistrements relatifs à une demande d’ouverture de port, un trafic de paquets de données destiné à une adresse IP cible et un port cible, etc.
Par exemple, le dispositif 100 a relevé les informations suivantes :
- adresse MAC = ac:87:a3:2b:82:7c ;
- nom déclaré par l’équipement client (pour « hostname », en anglais) = « goldorak « ;
- un service publié sur le port logiciel TCP numéro 631, avec le nom « CUPS » et le numéro de version 2.3 ;
- une adresse IP externe : « 17.253.108.125 associée par DNS au domaine réseau « time.euro.apple.com » .
Selon cet exemple de réalisation de l’invention, l’empreinte courante EC générée comprend plusieurs champs correspondant aux informations obtenues. Un champ est avantageusement associé à un type ou catégorie, par exemple le type « identité déclarée » pour l’adresse MAC et le nom, le type « service » pour le nom, la version de l’application logicielle et le ou les ports ouverts pour ce service et enfin le type « requête au boot » pour les adresses IP cibles identifiées.
Avantageusement, cette empreinte est enregistrée dans un fichier structuré selon un modèle de données prédéfini, par exemple conforme au langage XML (pour « Extensible Markup Language », en anglais).
L’empreinte courante EC représente ou signe le comportement de cet équipement client dans le réseau LAN, au moment où il demande à se connecter.
En22, le dispositif 100 vérifie s’il connaît l’équipement client UE requérant. Pour ce faire, il recherche en mémoire s’il a stocké une empreinte de référence ER de cet équipement client UE en association avec son adresse physique @MAC.
En23, deux cas sont possibles :
- selon un premier cas, il a trouvé une empreinte de référence ER associée à l’adresse @MAC de l’équipement client UE.
En24, il cherche à mettre en correspondant l’empreinte courante EC qu’il a générée avec l’empreinte de référence ER qu’il a trouvée. S’il décide en25que les deux empreintes correspondent, alors il envoie en27une réponse RA au serveur d’authentification ES, comprenant une autorisation d’attribution d’une adresse IP à l’équipement client UE.
Si, au contraire, il décide en25que les deux empreintes ne correspondent pas, plusieurs situations peuvent être envisagées :
- soit elles ne correspondent pas du tout, et le dispositif 100 envoie en27une réponse RA au serveur d’authentification ES, comprenant un refus d’attribution d’une adresse IP à l’équipement client UE ? Par exemple, si l’équipement client UE a usurpé l’adresse @MAC d’un autre équipement client qui s’est déjà connecté au réseau LAN, la table comprend déjà un enregistrement associant cette adresse @MAC à une empreinte de référence de l’autre équipement qui ne correspond pas du tout à celle de l’équipement client UE ;
- soit elles ne correspondent pas tout-à-fait au sens où un écart est détecté entre les deux empreintes ER, EC et le dispositif 100 envoie en26un message de demande de validation DV à un administrateur du réseau de communication local LAN. La demande de validation comprend au moins l’adresse physique @MAC de l’équipement client. Il se peut en effet que le comportement de l’équipement client UE ait changé depuis l’enregistrement en mémoire de la dernière version de l’empreinte de référence ER ; par exemple, il a activé une nouvelle interface, ce qui a entraîné une modification de son empreinte courante EC par rapport à son empreinte de référence. Avantageusement, le dispositif 100 évalue donc en24une erreur de mise en correspondance de l’empreinte courante et de l’empreinte de référence et la compare en25à un seuil d’erreur prédéterminé. Selon une première option, l’erreur est évaluée par type de champ. Par exemple, pour le type « service », le nombre de services compris dans l’empreinte courante est comparé à celui compris dans l’empreinte de référence. Si ce nombre diffère, les nouveaux services ouverts ou inversement les anciens services fermés sont identifiés. Dans cet exemple, le seuil d’erreur prédéterminé peut être choisi comme un pourcentage de services qui divergent entre les deux empreintes. Avantageusement, plusieurs modes peuvent être mis en œuvre. Selon un mode strict ou « paranoïaque », le seuil d’erreur est fixé à 0%, c’est-à-dire que la moindre erreur déclenche la validation 26. Selon un mode raisonnable, le seuil est par exemple fixé à 10 % et selon un mode « laxiste », le seuil est par exemple fixé à 50%.
Selon une deuxième option, les différents types de champs d’informations contenus dans l’empreinte EC, ER sont associés à des facteurs de pondération spécifiques. Par exemple, les champs de type « identité déclarée » ont un facteur de pondération qui vaut 1, tandis que les champs de type « service » ou « requête au boot » ont un facteur de pondération au moins égal à 2, car ils sont considérés comme des indicateurs fiables du comportement d’un équipement client, contrairement aux champs d’identité déclarée. L’erreur est alors calculée comme une somme pondérée des erreurs détectées par type de champ. Par exemple, si deux nouveaux services et une nouvelle requête au boot ont été détectés, l’erreur est calculée comme suit : 2.2+2.1 = 6 et elle est comparée à un seuil fixé par exemple à 5. Dans ce cas, une demande de validation DV est envoyée à l’administrateur. Selon un autre exemple, si une erreur d’identité déclarée est constatée (le nom déclaré diffère) et un nouveau service est détectée, l’erreur vaut 1 +2, elle est inférieure au seuil et la requête d’attribution d’adresse est acceptée automatiquement sans demande de validation.
En ce qui concerne le refus automatique, un deuxième seuil peut être fixé. Par exemple, selon la première option, il est choisi égal à 20% pour le mode « paranoïaque, à 40% pour le mode « raisonnable » et 70% pour le mode « laxiste ».
Avantageusement, la demande de validation DV comprend en outre une information relative à l’erreur détectée entre les deux empreintes EC et ER et l’erreur évaluée est exploitée pour renseigner le message de demande de validation transmis en26à l’administrateur du réseau LAN. En particulier, pour chaque type de champ, les champs pour lequels une différence a été détectée sont insérés dans le message de demande de validation DV. Par exemple, si l’erreur concerne un ou plusieurs champs de type service, les noms de services qui diffèrent entre les deux empreintes sont insérés dans le message de demande de validation. Par exemple, si un nouveau serveur web a été installé et lancé sur l’équipement client, ce qui a conduit à l’ouverture des ports 80 (http) et 443(https), le message de demande de validation comprend au moins le nom du serveur web et éventuellement les numéros des ports ouverts pour ce serveur.
Cette information supplémentaire va permettre à l’administrateur d’apprécier si l’équipement client a fait évoluer sa configuration de façon logique et cohérente ou si, au contraire, la distorsion constatée entre son empreinte courante et son empreinte de référence relève d’un comportement suspect. Par exemple, la mise en œuvre d’un nouveau service sur un port non standard constitue un élément de suspicion.
Dans cet exemple de réalisation de l’invention, l’administrateur est l’utilisateur AD qui gère le réseau local LAN. Il reçoit le message de demande de validation DV sur son équipement client UE(AD), par exemple le téléphone intelligent UE2, qu’il soit connecté au réseau local LAN ou bien à un autre réseau d’accès au réseau WAN. S’il est connecté au réseau local LAN, le message DV est par exemple reçu par une application logicielle installée sur l’équipement client UE(AD) et dédiée à la gestion du réseau local. Sinon, le message DV peut être un message court de type SMS (pour « Short Message System », en anglais) que l’administrateur recevra lorsqu’il sera connecté à un réseau d’accès cellulaire d’un réseau mobile ou encore un message IP lorsqu’il est connecté à Internet.
A réception d’une réponse RV de la part de l’administrateur AD, le dispositif 100 envoie en27une réponse RA à l’équipement serveur en fonction de la réponse reçue. Plus précisément, cette réponse RA comprend une autorisation d’attribution d’une adresse IP à l’équipement client si l’administrateur a validé la demande, c’est-à-dire autorisé cet équipement client à accéder au réseau, et un refus d’attribution sinon. Si, à l’issue d’un délai raisonnable, par exemple de quelques minutes et en tout état de cause inférieur au délai de temps dépassé prévu par le protocole DHCP, de l’ordre de 5 minutes, aucune réponse n’est reçue de l’administrateur AD, selon les règles de sécurité préalablement définies, la requête d’autorisation est automatiquement acceptée ou refusée et la réponse RA comprenant l’autorisation, respectivement le refus, est envoyée.
- selon un deuxième cas, le dispositif 100 ne trouve aucune association dans sa mémoire comprenant l’adresse physique @MAC. Il en déduit en23qu’il ne connaît pas l’équipement client UE.
Selon les règles de gestion du réseau mises en place par l’administrateur, le dispositif 100 peut soit répondre directement en27à l’équipement serveur ES en lui transmettant un message RA comprenant une autorisation d’attribution d’adresse IP à ce nouvel équipement client, soit demander en26une validation préalable à l’administrateur, puis répondre à l’équipement serveur ES en fonction de la réponse reçue de l’administrateur.
Dans les deux cas, suite à l’envoi d’un message de réponse RA comprenant une autorisation d’attribution d’une adresse @IP à l’équipement client UE, le client UE reçoit une confirmation de son adresse IP ce qui lui permet de se connecter au réseau local LAN et d’accéder au réseau étendu WAN.
Avantageusement, le procédé de contrôle selon l’invention met en œuvre une mise à jour28de l’empreinte de référence ER associée à l’équipement client UE.
Là encore, deux cas sont envisagés :
- si l’équipement client UE n’était pas encore connu, l’empreinte courante EC est enregistrée en mémoire comme empreinte de référence ER en association avec l’adresse physique @MAC de ce client. Cette mise à jour est donc une création. Le dispositif 100 mémorise le comportement du nouvel équipement client à son entrée dans son réseau LAN.
Avantageusement, une vérification préalable est mise en œuvre en comparant l’empreinte de référence générée pour ce nouvel équipement client avec les empreintes de références déjà stockées en mémoire pour d’autres équipements clients, donc en association avec d’autres adresses @MAC. Si une correspondance est trouvée entre l’empreinte de référence du nouvel équipement client UE et une empreinte de référence déjà stockée en mémoire en association avec une autre adresse @MAC, une action de protection du réseau est déclenchée. Elle peut consister à envoyer un message d’alerte à l’administrateur ou bien à déconnecter directement l’équipement client UE. En effet, dans ce cas, le nouvel équipement client est en fait déjà connu du réseau, mais tente de se faire passer pour un nouvel équipement, afin, par exemple de contourner des règles d’accès au réseau étendu WAN basées sur l’adresse @MAC.
- si l’équipement client UE était déjà connu, cette nouvelle empreinte est comparée à l’empreinte de référence stockée en mémoire. En cas d’écart détecté, un message d’alerte MA est avantageusement transmis à l’administrateur pour lui demander de valider ou d’invalider le changement de comportement détecté. Si l’administrateur valide ce changement de comportement, la nouvelle empreinte de référence est enregistrée à la place de la précédente, sinon une action de blocage de l’équipement client est déclenchée en29au niveau de l’équipement d’accès AP. Par exemple, une telle action consiste à mettre l’équipement client en quarantaine dans un réseau virtuel indépendant ou VLAN (pour « Virtual Local Area Network », en anglais) dédié. De la sorte, l’équipement client ne pourra pas tenter de contourner le blocage en s’auto-affectant une adresse IP et le dispositif 100 peut continuer à analyser le comportement de l’équipement client pendant cette quarantaine.
Avantageusement, une nouvelle empreinte est générée régulièrement et elle est comparée à l’empreinte de référence stockée à l’itération précédente. En cas d’écart détecté, le mécanisme d’alerte qui vient d’être décrit est déclenché, ce qui permet de détecter et, si nécessaire, bloquer les équipements clients dont le comportement réseau change de façon anormale.
On revient maintenant sur le cas où une demande de validation avait été initiée en26, mais n’avait pas obtenu de réponse de l’administrateur AD. On suppose maintenant que l’administrateur AD, lorsqu’il est de nouveau disponible, envoie une réponse RV au message reçu précédemment, alors que l’équipement client UE est déjà connecté. Si la réponse RV tardive comprend un refus, une action corrective est déclenchée en vue de bloquer a posteriori l’équipement client, pour se conformer à la décision de l’administrateur AD, par exemple en le mettant en quarantaine dans un réseau VLAN comme précédemment évoqué ou bien en transmettant au serveur DHCP une commande de révocation de bail de type DHCP-NAK. Si, au contraire la réponse RV tardive comprend une autorisation, aucune action corrective n’est déclenchée.
En relation avec lafigure 3, on présente désormais un procédé de traitement d’une requête d’attribution d’une adresse IP selon un mode de réalisation de l’invention. Avantageusement, ce procédé est mis en œuvre par le dispositif de traitement 200. Un tel dispositif est configuré pour s’interfacer avec le serveur ES d’attribution d’une adresse IP à un équipement client, qui est par exemple conforme au protocole DHCP. Comme précédemment évoqué, le dispositif 200 peut être intégré dans l’équipement d’accès AP, mais il peut aussi être intégré dans le serveur ES.
Dans cet exemple de réalisation de l’invention, l’équipement serveur ES a reçu une requête de découverte d’un serveur DHCP, de type DHCP-DISCOVER diffusée par l’équipement client ES, comprenant l’adresse physique @MAC de l’équipement client UE. Il a répondu positivement par un message de type DHCP-OFFER comprenant une adresse IP @IP.
En31, il reçoit de la part de l’équipement client UE une requête d’attribution de l’adresse @IP offerte, de type DHCP-REQUEST. En32, il transmet au dispositif 100 de contrôle d’attribution d’une adresse IP un message de demande d’autorisation DA d’attribution d’une adresse IP à cet équipement client UE. Ce message DA comprend au moins l’adresse physique @MAC de l’équipement client UE. Par exemple, il comprend une copie de la requête DHCP-REQUEST reçue par le serveur ES du client UE. A cet égard, on suppose ici que le dispositif 100, le dispositif 200, le serveur ES et l’équipement d’accès AP communiquent et s’échangent des données selon un mécanisme de type IPC (pour « Inter Process Communication », en anglais). Bien sûr, l’invention n’est pas limitée à cet exemple, tout autre moyen de communication entre différents composants d’un même équipement client connu en soir pouvant être mis en œuvre.
En33, le dispositif 200 reçoit une réponse RA de la part du dispositif 100. Cette réponse comprend au moins une autorisation ou un refus d’attribuer une adresse IP à ce client. Avantageusement, elle comprend aussi une référence à la demande DA et l’adresse physique @MAC de l’équipement client.
En34, il interprète la réponse RA reçue et répond à l’équipement client UE en fonction de cette réponse, par un message de confirmation de type DHCP-ACK si la réponse RA comprend une autorisation et par un message d’infirmation de type DHCP-NAK si la réponse RA comprend un refus.
Optionnellement, si comme précédemment évoqué, l’administrateur invalide tardivement une requête d’attribution d’adresse IP alors que l’équipement client en a déjà obtenu une et s’est connecté au réseau, il reçoit une commande de révocation de bail et déclenche l’émission par le serveur ES d’un message DHCP-NAK de révocation de bail à destination de l’équipement client UE. De la sorte, l’équipement client UE perd son adresse IP.
On comprend qu’avec l’invention, le mécanisme d’attribution automatique d’une adresse IP à un équipement client sur la base d’une déclaration de son adresse physique @MAC, est avantageusement soumis à une autorisation préalable de l’équipement d’accès, ce qui permet de mieux contrôler l’accès au réseau local LAN et de le sécuriser.
On décrit désormais, en relation avec lafigure 4, les flux de messages échangés entre l’équipement client UE(AD) de l’administrateur, le dispositif 100 de contrôle, le dispositif 200 de traitement et l’équipement client UE requérant selon un exemple de réalisation de l’invention, par exemple selon un mécanisme de communication entre processus de type IPC.
A son arrivée dans le réseau local LAN, l’équipement client UE diffuse dans le réseau LAN une requête de découverte DHCP-DISCOVER. Elle est reçue par l’équipement serveur DHCP ES, qui lui répond par un message d’offre DHCP-OFFER comprenant une adresse @IP. L’équipement client UE répond au serveur ES par une requête DHCP-REQUEST pour lui indiquer qu’il a choisi son offre et demande que cette adresse lui soit attribuée. Le serveur ES reçoit cette requête et la transmet au dispositif 200 qui la reçoit en 31. Le dispositif la retransmet en 32 au dispositif 100 dans un message DA de demande d’autorisation d’attribuer une adresse IP à l’équipement client UE. Cette demande DA est reçue en 20 par le dispositif 100, qui déclenche en 21 la génération d’une empreinte courant EC de l’équipement client. Il vérifie en 22 s’il connait cet équipement client UE, sur la base de son adresse physique @MAC reçue dans la requête DA. Pour ce faire, il recherche en mémoire s’il a enregistré une empreinte de référence ER de cet équipement client UE lors d’une connexion précédente au réseau LAN.
S’il trouve un enregistrement associant l’adresse liaison @MAC de l’équipement client à une empreinte de référence ER, il la compare en 24 à l’empreinte de référence ER trouvée. S’il y a correspondance en 25, il autorise en 27 l’attribution d’une adresse IP à cet équipement client, en transmettant une réponse RA positive au dispositif 200. Sinon, il demande validation en 26 à l’administrateur du réseau, par exemple en transmettant un message DV à son équipement client UE2. Ce message comprend par exemple l’adresse @MAC de l’équipement client et une information relative à un écart détecté entre l’empreinte courante et l’empreinte de référence. On suppose ici que l’administrateur répond immédiatement ou dans un délai raisonnable en validant que l’équipement client UE est bien autorisé à se connecter. Par exemple, ce délai est choisi inférieur au délai de temps dépassé (pour « time-out », en anglais) généralement appliqué par un serveur DHCP. A réception, le dispositif 100 transmet en 27 une réponse positive RA au dispositif 200 de l’équipement ES. Le dispositif 200 reçoit cette réponse en 33 et transmet en 34 une réponse de confirmation DHCP-ACK à l’équipement client UE.
Comme déjà évoqué, si à l’issue du délai raisonnable, l’administrateur AD n’a pas répondu, des règles de sécurité prédéfinies sont appliquées. Elles déclenchent soit l’autorisation automatique d’attribuer une adresse IP à l’équipement client UE, soit le refus automatique. En cas d’autorisation, celle-ci est temporaire, car dès réception d’une réponse tardive RV de l’administrateur, elle peut être remise en cause si cette réponse comprend un refus et déclencher, comme précédemment évoqué, l’émission par le dispositif 100 d’une commande de révocation d’adresse IP au dispositif 200. Si, au contraire, l’application de la politique de sécurité a conduit à refuser automatiquement la requête d’attribution d’adresse IP, dans ce cas, la réponse de validation de l’administrateur AD ne peut plus être prise en compte. L’équipement client UE devra renouveler sa requête.
En 28, le dispositif 100 met à jour l’empreinte de référence ER stockée en mémoire pour cet équipement UE.
Si aucun enregistrement n’est trouvé en 22, l’équipement client est considéré en 23 comme inconnu. Le dispositif 100 demande en 26 une validation à l’administrateur du réseau LAN en lui adressant un message DV sur son équipement client UE2. A réception d’une réponse, il autorise ou refuse en 27 l’attribution d’une adresse IP à l’équipement client UE conformément à la validation ou l’invalidation de l’administrateur. En variante, il autorise directement en 27 l’attribution d’une adresse IP à cet équipement client UE sans demander de validation préalable à l’administrateur. A réception en 33 de cette autorisation, le dispositif 200 du serveur ES confirme en 34 au client UE que l’adresse IP proposée dans l’offre va lui être attribuée.
En 28, le dispositif 100 enregistre l’empreinte courante EC du nouvel équipement client UE comme une empreinte de référence de cet équipement client en association avec son physique @MAC, par exemple dans la table d’association de sa mémoire MEM.
Avantageusement, préalablement à cet enregistrement, le dispositif 100 vérifie qu’il n’a pas déjà enregistré une empreinte de référence similaire en associant avec une autre adresse de liaison. Pour ce faire, il compare l’empreinte courante du nouvel équipement aux empreintes de référence qu’il stocke dans sa table. Si aucune correspondance n’est trouvée, il déclenche l’enregistrement de l’empreinte de référence du nouvel équipement client UE. Si, au contraire, il en trouve une qui coïncide, alors il décide que l’équipement client UE a modifié son adresse de liaison @MAX. Il déclenche donc une action de protection du réseau qui peut consister à déconnecter cet équipement client UE avec ou sans demande de validation préalable de la part de l’administrateur.
Dans les deux cas (équipement client connu ou inconnu), une fois l’équipement client UE connecté au réseau, une nouvelle empreinte est régulièrement générée pour surveiller le comportement de l’équipement client UE et, sur détection d’un changement de comportement, par comparaison de la nouvelle empreinte à l’empreinte de référence, décider si l’équipement client doit être bloqué ou non. Avantageusement, une alerte DS est envoyée en 29 à l’administrateur, pour qu’il décide, sur la base du changement de comportement détecté si l’équipement client UE doit être bloqué. Le cas échéant, une action est déclenchée par le dispositif 100 auprès de l’équipement d’accès AP. De façon alternative, le dispositif 100 décide unilatéralement de déconnecter l’équipement client UE.
On présente maintenant, en relation avec lafigure 5, un exemple de structure matérielle d’un dispositif 100 de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local selon l’invention, comprenant au moins un module de réception d’une requête d’autorisation d’attribuer une adresse IP audit équipement client, ladite requête comprenant au moins une adresse physique @MAC de l’équipement client UE, un module d’obtention d’une empreinte courante par analyse des interfaces actives de l’équipement client UE dans le réseau loca, un module d’obtention d’une empreinte de référence stockée en mémoire en association avec l’adresse physique @MAC dudit équipement client UE et d’un module de décision d’autoriser ou de refuser l’attribution d’une adresse IP à l’équipement client UE en fonction d’un résultat de cette mise en correspondance. Avantageusement, le dispositif 100 comprend en outre un module de validation de l’équipement client auprès d’un administrateur du réseau et un module de mise à jour de l’empreinte de référence stockée en mémoire, une fois que l’équipement client a obtenu l’adresse IP et s’est connecté au réseau local.
Le terme « module » peut correspondre aussi bien à un composant logiciel qu’à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d’ordinateur ou de manière plus générale à tout élément d’un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions.
Plus généralement, un tel dispositif 100 comprend une mémoire vive 103 (par exemple une mémoire RAM), une unité de traitement 102 équipée par exemple d'un processeur, et pilotée par un programme d'ordinateur Pg, représentatif des modules de réception d’obtention, de génération, de mise en correspondance, de validation, de décision et de mise à jour, stocké dans une mémoire morte 101 (par exemple une mémoire ROM ou un disque dur). A l'initialisation, les instructions de code du programme d'ordinateur sont par exemple chargées dans la mémoire vive 103 avant d'être exécutées par le processeur de l'unité de traitement 102. La mémoire vive 103 peut aussi contenir une table comprenant des enregistrements associant une empreinte de référence d’un équipement client dans le réseau de communication local LAN à son adresse physique @MAC.
Lafigure 5illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser le dispositif 100 afin qu’il effectue les étapes du procédé de contrôle de l’attribution d’une adresse IP à un équipement client UE dans un réseau de communication local LAN tel que détaillé ci-dessus, en relation avec les figures2 et 4dans ses différents modes de réalisation. En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d’instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).
Dans le cas où le dispositif 100 est réalisé avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d’instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une disquette, un CD-ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.
Les différents modes de réalisation ont été décrits ci-avant en relation avec un dispositif 100 intégré dans un équipement d’accès AP à un réseau de communication étendu WAN et configuré pour gérer le réseau de communication local LAN. Il s’agit par exemple d’une passerelle résidentielle ou d’un nœud collecteur d’un réseau de capteurs ou IoT (pour « Internet of Things », en anglais), d’un point d’accès wifi ou même d’un répéteur Wifi.
Selon une variante, le dispositif 100 s’appuie sur la structure matérielle de l’équipement d’accès AP, qui a ici la structure matérielle d’un ordinateur et comprend plus particulièrement un processeur, une mémoire vive, une mémoire morte, une mémoire flash non volatile, des moyens de communication sans fil qui lui permettent de communiquer avec l’équipement client UE, des moyens de communication avec le réseau de communication étendu WAN et des moyens de communication, au moins au niveau IP, avec l’équipement serveur d’attribution d’adresses IP ES. Avantageusement, l’équipement serveur ES est lui-même être intégré dans l’équipement d’accès AP. Dans ce cas, les moyens de communication avec l’équipement serveur sont de type inter-processus. La mémoire morte constitue un support d’enregistrement conforme à l’invention, lisible par le processeur et sur lequel est enregistré le programme d’ordinateur Pg1 conforme à l’invention, comportant des instructions pour l’exécution du procédé de contrôle de l’attribution d’une adresse IP à un équipement client selon l’invention.
On présente enfin, en relation avec lafigure 6, un exemple de structure matérielle d’un dispositif 200 de traitement d’une requête d’autorisation d’attribuer une adresse IP à un équipement client dans un réseau de communication local géré par un équipement d’accès à un réseau de communication étendu selon l’invention, comprenant au moins un module de réception d’une requête d’attribution d’une adresse IP de la part d’un équipement client dans un réseau de communication local, comprenant au moins une adresse de liaison @MAC de l’équipement client, un module de transmission d’une requête d’autorisation comprenant au moins l’adresse de liaison @MAC de l’équipement client à l’équipement d’accès AP, un module de réception d’une réponse de la part de l’équipement d’accès comprenant une autorisation ou un refus d’attribuer une adresse réseau IP audit équipement client et un module de transmission d’une confirmation ou d’infirmation de l’attribution d’une adresse IP audit équipement client en fonction de la réponse reçue.
Le terme « module » peut correspondre aussi bien à un composant logiciel qu’à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d’ordinateur ou de manière plus générale à tout élément d’un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions.
Plus généralement, un tel dispositif 200 comprend une mémoire vive 203 (par exemple une mémoire RAM), une unité de traitement 202 équipée par exemple d'un processeur, et pilotée par un programme d'ordinateur Pg2, représentatif des modules de lecture, de résolution d’une adresse de stockage, d’obtention du fichier de description du modèle de données et d’exécution de l’instruction conformément audit modèle de données, stocké dans une mémoire morte 201 (par exemple une mémoire ROM ou un disque dur). A l'initialisation, les instructions de code du programme d'ordinateur sont par exemple chargées dans la mémoire vive 203 avant d'être exécutées par le processeur de l'unité de traitement 202.
Lafigure 6illustre seulement une manière particulière, parmi plusieurs possibles, de réaliser le dispositif 200 afin qu’il effectue les étapes du procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client tel que détaillé ci-dessus, en relation avec les figures3 et 4dans ses différents modes de réalisation. En effet, ces étapes peuvent être réalisées indifféremment sur une machine de calcul reprogrammable (un ordinateur PC, un processeur DSP ou un microcontrôleur) exécutant un programme comprenant une séquence d’instructions, ou sur une machine de calcul dédiée (par exemple un ensemble de portes logiques comme un FPGA ou un ASIC, ou tout autre module matériel).
Dans le cas où le dispositif 200 est réalisé avec une machine de calcul reprogrammable, le programme correspondant (c'est-à-dire la séquence d’instructions) pourra être stocké dans un médium de stockage amovible (tel que par exemple une disquette, un CD-ROM ou un DVD-ROM) ou non, ce médium de stockage étant lisible partiellement ou totalement par un ordinateur ou un processeur.
Les différents modes de réalisation ont été décrits ci-avant en relation avec un dispositif 200 intégré dans un équipement serveur d’attribution d’adresses IP ES lui-même intégré dans l’équipement d’accès AP, mais l’équipement serveur ES peut aussi être indépendant de l’équipement d’accès AP.
Selon une variante, le dispositif 200 s’appuie sur la structure matérielle de l’équipement serveur ES, qui a ici la structure matérielle d’un ordinateur et comprend plus particulièrement un processeur, une mémoire vive, une mémoire morte, une mémoire flash non volatile ainsi que des moyens de communication sans fil qui lui permettent de communiquer avec le serveur de fichier et un serveur de résolution d’adresses via le réseau de télécommunications. La mémoire morte constitue un support d’enregistrement conforme à l’invention, lisible par le processeur et sur lequel est enregistré le programme d’ordinateur Pg2 conforme à l’invention, comportant des instructions pour l’exécution du procédé de traitement d’une requête d’attribution d’une adresse IP selon l’invention.
L’invention qui vient d’être décrite dans ses différents modes de réalisation présente de nombreux avantages. En particulier, elle propose une nouvelle solution de contrôle de l’attribution d’une adresse IP dans un premier réseau de communication, basée sur une analyse des interfaces actives de l’équipement client requérant dans le premier réseau. Avec l’invention, l’attribution d’une adresse IP n’est plus déclenchée par la simple déclaration d’une adresse liaison. A chaque requête d’attribution d’une adresse IP, une empreinte « comportementale » de l’équipement client requérant est générée et exploitée pour déterminer, par comparaison avec une empreinte de référence stockée en mémoire, s’il s’est déjà connecté au premier réseau et, le cas échéant, si son comportement réseau était similaire. Une autorisation d’attribution d’une adresse réseau IP est accordée en fonction d’un résultat de cette comparaison. Ceci permet de bloquer l’accès au premier réseau aux équipements clients qui ont modifié leur adresse de liaison ou usurpé celle d’un autre équipement client.
Du fait qu’elle est mise en œuvre dans le premier réseau et vient s’interfacer entre l’équipement d’accès au deuxième réseau et le serveur d’attribution d’adresses IP dans ce premier réseau, l’invention ne nécessite aucune mise à jour de l’équipement client. Par conséquent, elle s’applique à tout type équipement utilisateur, quels que soient sa configuration matérielle et/ou logicielle et son niveau d’obsolescence et offre une protection renforcée du premier réseau.

Claims (14)

  1. Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un premier réseau de communication (LAN) -géré par un équipement d’accès à un deuxième réseau de communication (WAN), caractérisé en ce qu’il met en œuvre, au niveau de l’équipement d’accès :
    - sur réception (20) d’une demande (DA) d’autorisation d’attribution d’une adresse IP à un équipement client, comprenant au moins une adresse MAC de l’équipement client, l’obtention (21) d’une empreinte de l’équipement client, dite empreinte courante, par analyse des interfaces actives de l’équipement client avec le premier réseau de communication;
    - la mise en correspondance (24) de l’empreinte courante (EC) avec une empreinte de référence (ER) stockée en mémoire; et
    - la décision (27) d’autoriser ou de refuser l’attribution d’une adresse IP audit équipement client en fonction d’un résultat de la mise en correspondance.
  2. Procédé de contrôle selon la revendication 1,caractérisé en ce que,lorsque l’empreinte courante ne correspond pas à l’empreinte de référence, le procédé comprend l’envoi (26) d’une demande de validation (DV) à un administrateur du premier réseau de communication (LAN), ladite demande de validation comprenant au moins l’adresse MAC de l’équipement client et en ce que la décision prise dépend en outre d’une réponse de validation (RV) reçue.
  3. Procédé de contrôle selon la revendication1,caractérisé en ce quelorsque l’empreinte courante ne correspond pas à l’empreinte de référence, la décision prise est de refuser l’attribution d’une adresse IP à l’équipement client.
  4. Procédé de contrôle selon l’une des revendication1 à 2,caractérisé en ce que,suite à une décision d’autoriser l’attribution d’une adresse IP à l’équipement client, le procédé met en œuvre une surveillance (28) de l’équipement client, ladite surveillance répétant la génération d’une empreinte courante et la mise en correspondance de ladite empreinte courante avec l’empreinte de référence stockée en mémoire, et sur détection d’un écart , le déclenchement (29) au moins une action de protection du premier réseau appartenant à un groupe comprenant au moins l’envoi d’un message d’alerte à l’administrateur du premier réseau de communication et une déconnexion de l’équipement client.
  5. Procédé de contrôle selon la revendication 1,caractérisé en ceque lorsqu’aucune empreinte de référence n’a été trouvée en mémoire en association avec l’adresse MAC, la décision prise appartient à un groupe comprenant une autorisation d’attribuer une adresse IP à l’équipement client et l’envoi d’un message de demande de validation à un administrateur du premier réseau.
  6. Procédé de contrôle la revendication5, caractérisé en ce qu’il comprend, suite à une décision d’autoriser l’attribution d’une adresse IP à l’équipement client, un stockage de l’empreinte courante de l’équipement client en mémoire, en tant qu’empreinte de référence, associée à l’adresse MAC de l’équipement client.
  7. Procédé de contrôle selon la revendication6,caractérisé en ce quele procédé comprend une comparaison de l’empreinte de référence stockée pour l’équipement client avec d’autres empreintes de référence stockées en mémoire en association avec d’autres adresses MAC, et, en cas de correspondance, le déclenchement d’au moins une action de protection du premier réseau appartenant à un groupe comprenant au moins une déconnexion de l’équipement client et un envoi d’un message d’alerte à un administrateur du premier réseau.
  8. Procédé de contrôle selon l’une des revendications1 à 7, caractérisé en ce quela demande d’autorisation comprend une requête d’attribution d’une adresse IP envoyée par l’équipement client à un équipement serveur configuré pour attribuer une adresse IP à un équipement client à partir de son adresse MAC.
  9. Procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client (UE) dans un premier réseau de communication (LAN) géré par un équipement d’accès (AP) à un deuxième réseau de communication (WAN),caractérisé en ce qu’il met en œuvre :
    - sur réception (31) d’une requête d’attribution d’une adresse IP de la part de l’équipement client, ladite requête comprenant une adresse MAC de l’équipement client, transmission (32) d’une demande d’autorisation (DA) à l’équipement d’accès, ladite demande d’autorisation comprenant l’adresse MAC de l’équipement client ; et
    - sur réception (33) d’une réponse (RA) comprenant une autorisation ou un refus d’attribuer une adresse IP audit client, commande (34) de traitement de la requête d’attribution à un équipement serveur configuré pour attribuer ladite adresse IP audit équipement client, en fonction de la réponse reçue.
  10. Dispositif (100) de contrôle de l’attribution d’une adresse IP à un équipement client (UE) dans un premier réseau de communication (LAN) géré par un équipement d’accès (AP) à un deuxième réseau de communication (WAN),caractérisé en ce qu’il est configuré pour :
    - recevoir une demande (DA) d’autorisation d’attribution d’une adresse IP à l’équipement client, ladite demande comprenant une adresse MAC de l’équipement client ;
    - rechercher une empreinte de référence (ER) stockée en mémoire en association avec l’adresse MAC ;
    -lorsqu’une empreinte de référence a été trouvée :
    -obtenir une empreinte, dite empreinte courante (EC), de l’équipement client par analyse de ses interfaces actives avec ledit premier réseau de communication (LAN);
    - mettre en correspondance de l’empreinte courante (EC) avec l’empreinte de référence (ER); et
    - prendre une décision d’autoriser ou de refuser l’attribution d’une adresse IP audit équipement client en fonction d’un résultat de la mise en correspondance.
  11. Dispositif (200) de traitement d’une requête d’attribution d’une adresse IP à un équipement client (UE) dans un premier réseau de communication (LAN) géré par un équipement d’accès (AP) à un deuxième réseau de communication (WAN),caractérisé en ce qu’il est configuré pour :
    - transmettre, sur réception d’une requête d’attribution d’une adresse IP de la part de l’équipement client, ladite requête comprenant une adresse MAC de l’équipement client, une demande d’autorisation (DA) à l’équipement d’accès (AP), ladite demande d’autorisation comprenant l’adresse MAC de l’équipement client ;
    - recevoir une réponse comprenant une autorisation ou un refus d’attribuer une adresse IP audit client ; et
    - commander le traitement de la requête d’attribution en fonction de la réponse reçue.
  12. Equipement serveur (ES) configuré pour attribuer une adresse IP à un équipement client (UE) dans un premier réseau de communication (LAN) géré par un équipement d’accès à un deuxième réseau de communication (WAN), caractérisé en ce qu’il comprend un dispositif (200) de traitement d’une requête d’attribution d’une adresse IP dans ledit premier réseau selon la revendication11.
  13. Equipement d’accès (AP) à un deuxième réseau de communication (WAN), configuré pour gérer un premier réseau de communication (LAN),caractérisé en ce qu’il comprend un équipement serveur (ES) configuré pour attribuer une adresse IP à un équipement client (UE) dans le premier réseau de communication selon la revendication12et en ce que l’équipement d’accès (AP) comprend un dispositif (100) de contrôle de l’attribution d’une adresse IP selon la revendication10.
  14. Produit programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre d’un procédé selon l'une quelconque des revendications1 à 9, lorsqu’il est exécuté par un processeur.
FR2005506A 2020-05-25 2020-05-25 Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants. Active FR3110802B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR2005506A FR3110802B1 (fr) 2020-05-25 2020-05-25 Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2005506 2020-05-25
FR2005506A FR3110802B1 (fr) 2020-05-25 2020-05-25 Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.

Publications (2)

Publication Number Publication Date
FR3110802A1 true FR3110802A1 (fr) 2021-11-26
FR3110802B1 FR3110802B1 (fr) 2022-11-11

Family

ID=73013507

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2005506A Active FR3110802B1 (fr) 2020-05-25 2020-05-25 Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.

Country Status (1)

Country Link
FR (1) FR3110802B1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2373075A1 (fr) * 2010-03-30 2011-10-05 British Telecommunications public limited company Système et procédé de surveillance du trafic WLAN
WO2011121295A1 (fr) * 2010-03-30 2011-10-06 British Telecommunications Public Limited Company Système et procédé pour authentification de trafic d'itinérance wlan
US20180270229A1 (en) * 2017-03-20 2018-09-20 Forescout Technologies, Inc. Device identification

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2373075A1 (fr) * 2010-03-30 2011-10-05 British Telecommunications public limited company Système et procédé de surveillance du trafic WLAN
WO2011121295A1 (fr) * 2010-03-30 2011-10-06 British Telecommunications Public Limited Company Système et procédé pour authentification de trafic d'itinérance wlan
US20180270229A1 (en) * 2017-03-20 2018-09-20 Forescout Technologies, Inc. Device identification

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"RFC 3580", 2003, L'IETF, article "IEEE 802. IX Remote Authentication Dial In User Service (RADIUS) Usage Guidelines"
"RFC2131", March 1997, L'IETF

Also Published As

Publication number Publication date
FR3110802B1 (fr) 2022-11-11

Similar Documents

Publication Publication Date Title
EP2514167B1 (fr) Procede et dispositif de controle
FR2801754A1 (fr) Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip
EP3354000A1 (fr) Equipement pour offrir des services de résolution de noms de domaine
EP3917108A1 (fr) Procede de configuration d'un equipement pare-feu dans un reseau de communication, procede de mise a jour d'une configuration d'un equipement pare-feu, dispositif, equipement d'acces, equipement pare-feu et programmes d'ordinateur correspondants
WO2019186005A1 (fr) Gestion sécuritaire d'un réseau de communication local comprenant au moins un objet communicant
EP3857848B1 (fr) Procédé d'allocation d'un identifiant à un noeud client, procédé d'enregistrement d'un identifiant, dispositif, noeud client, serveur et programmes d'ordinateurs correspondants
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.
EP3087719B1 (fr) Procédé de ralentissement d'une communication dans un réseau
FR3060164B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance, en fonction d'un score de malveillance.
WO2021105626A1 (fr) Procede de coordination de la mitigation d'une attaque informatique, dispositif et systeme associes
WO2015197978A1 (fr) Procede de protection d'un routeur contre des attaques
EP3815335A1 (fr) Procédés de vérification de la validité d'une ressource ip, serveur de contrôle d'accès, serveur de validation, noeud client, noeud relais et programme d'ordinateur correspondants
EP3788762A1 (fr) Procédé d'envoi d'une information et de réception d'une information pour la gestion de réputation d'une ressource ip
FR3079709A1 (fr) Procede de connexion sans fil d'un objet communicant a un reseau de communication local, programme d'ordinateur et equipement d'acces correspondant.
EP4256753A1 (fr) Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants
EP1986398A1 (fr) Procédé de filtrage de flots indésirables en provenance d'un terminal présumé malveillant
WO2023242315A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d'ordinateur correspondants.
FR3060163B1 (fr) Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance.
WO2022136796A1 (fr) Procedes pour la redirection de trafic, terminal, controleur, serveur d'autorisation, serveurs de resolution de noms, et programme d'ordinateur correspondants
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
WO2023242314A1 (fr) Procédés de surveillance et de gestion d'objets communicants, équipement de confiance, serveur et objets communicants
WO2023117802A1 (fr) Procédés d'identification d'au moins un serveur de mitigation et de protection d'un domaine client contre une attaque informatique, dispositifs et signal correspondants
FR2955727A1 (fr) Procede securise d'acces a un reseau et reseau ainsi protege
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique
WO2008031967A2 (fr) Procédé de supervision d'une session d'accès a un service établie par un terminal client au moyen d'un protocole de configuration dynamique

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20211126

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4