WO2006035137A1 - Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique - Google Patents

Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique Download PDF

Info

Publication number
WO2006035137A1
WO2006035137A1 PCT/FR2005/002315 FR2005002315W WO2006035137A1 WO 2006035137 A1 WO2006035137 A1 WO 2006035137A1 FR 2005002315 W FR2005002315 W FR 2005002315W WO 2006035137 A1 WO2006035137 A1 WO 2006035137A1
Authority
WO
WIPO (PCT)
Prior art keywords
address
network
data
fingerprint
filtering
Prior art date
Application number
PCT/FR2005/002315
Other languages
English (en)
Inventor
Laurent Butti
Roland Duffau
Franck Veysset
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2006035137A1 publication Critical patent/WO2006035137A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Definitions

  • the invention relates to a computer network and more particularly to access to a computer network when it has a wired or wireless connection which is accessible to an unsorted public. More particularly, the invention is concerned with detecting network address spoofing to access the network.
  • IP Internet Protocol
  • MAC Medium Access Control
  • a first technique is a physical technique.
  • the network connection sockets can only be accessible to people who can enter a closed room. Thus, only authorized persons can connect from a machine whose IP address will be recognized as a secure address.
  • cryptographic-based techniques for exchanging data between a user and a server. This exchange of data is conditioned by the possession of a secret allowing to implement the cryptographic techniques.
  • a captive portal mechanism has been developed to provide a solution that replaces the previously mentioned security solutions.
  • the principle of the captive portal implements a filtering device, also called firewall to filter IP addresses and also MAC addresses when they are used.
  • a filtering device also called firewall to filter IP addresses and also MAC addresses when they are used.
  • IP addresses e.g., IP addresses
  • MAC addresses e.g., IP addresses
  • An electronic message or packet of data from these addresses can not pass the filter.
  • the customer is prompted to open his Internet browser and is automatically redirected to an authentication portal of a network manager, hence the captive portal name.
  • This portal allows the client to authenticate securely, for example by using the SSL (Secure Sockets Layer) protocol. All other unauthenticated client requests will be blocked by the filtering device until the authentication succeeds.
  • SSL Secure Sockets Layer
  • an update of the filtering rules of the filtering device is carried out to pass the data packets from the accompanied IP address. possibly the MAC address corresponding to the identified client. Since the access control by MAC address and IP address is relatively low in the case of an open network, the captive portal can use an additional access control by tokens exchanged at the application level. The captive portal keeps a secure communication channel open with the client, always using the SSL protocol. Periodically, the client must present an authentication token through this channel. The lack of presentation of this token causes the modification of the filtering device and puts it in a blocking state for the IP address. Thus an unauthorized client and usurping the IP address and possibly the MAC address of an authorized client will not be able to present this token and will see its connection completed. The token can also be presented on request if the user tries to access sensitive resources.
  • the captive portal is particularly well suited for use in wireless networks, for example using the IEEE802.11 technology but also in the case of a wired network part of the network would be made available to the visitor by a company . This is all the more true as currently wireless networks using the IEEE802.11 standard do not have a planned security mechanism against intrusion. Similarly, a network type Ethernet (IEEE802.3) relying on the physical impossibility to connect to it, nor does it have any means of securing in case of provision of a connection socket.
  • IEEE802.3 network type Ethernet
  • the filtering by IP address and possibly by MAC address is a weak protection. Indeed, these - A - protections are very easy to work around because it is enough to impersonate the IP address and MAC address of an authorized client when said client is connected.
  • the use of the authentication token is relatively efficient but has some limitations. Indeed, for the token to be exchanged, it is imperative that the client device and the authentication server of the network are able to talk continuously to be able to exchange the token.
  • an application heavily used by customers on wireless type of access, for example in airports is to build a tunnel between their computer and their company.
  • the tunnel is a sort of virtual private network used for security reasons in order to be sure that, on an open network, for example of the Internet type, it is not possible for an intruder to intervene. Precisely for security reasons, most virtual private network applications prohibit any communication to or from the customer other than that which passes inside the tunnel thus created.
  • This virtual network operates in blocking mode. It is not possible in this case to maintain an exchange of authentication tokens between the client device and an authentication server specific to the connection point of the client device.
  • the use of the token solves only partially the problem of impersonation because it is always possible for an attacker to establish a connection through the captive portal by using the IP address and possibly MAC of a legitimate client during a time window corresponding to the last presentation of the token by the legitimate client device.
  • the legitimate client device may further return tokens as many times as possible in place of the illegitimate device, thereby maintaining the passage through the filtering device.
  • the purpose of the invention is to enhance access to a network in the case of attacks that attempt to impersonate the network address of a legitimate customer.
  • the invention provides a filtering device on the network address of a client, this network address including the IP address and possibly the MAC address while adding an additional check.
  • the additional check is to verify the nature of the operating system corresponding to the client's address, from the Layer 3 and 4 data packet headers of the TCP / IP stack (Transmission Control Protocol / Internet Protocol). This technique is called an impression of the operating system.
  • the filtering device that filters the data packets, on the one hand on the network addresses but also on the operating system, can identify an operating system difference corresponding to two theoretically identical client devices, allowing to identify that an address is spoofed.
  • the invention is a method for detecting address spoofing with the aid of a data filter able to let or not pass data to a network according to filtering criteria.
  • the filter Upon receipt of data transmitted by a device, the filter performs steps of determining an identification fingerprint of the device transmitting the data, using information contained in the received data, said fingerprint being composed of at least a network address of said device and an operating system identifier operating on the device; comparing the device fingerprint with valid device identification fingerprints; detection of the spoofing of an address if the fingerprint of the device comprises an address corresponding to a valid fingerprint but with an operating system identifier different from that of the valid fingerprint.
  • the invention is a device for filtering access to a network comprising a filtering means able to let or not pass data to the network according to filtering criteria, a first identification means adapted to identifying the network address of a data transmitting device, a second identifying means adapted to identify an operating system of the data transmitting device and forming an identification fingerprint of the transmitting device, said fingerprint consisting of the network address of the transmitting device and an identifier of the operating system, a comparison means capable of comparing the identification fingerprint of the transmitting device with valid fingerprints device identification means, a detection means adapted to detect an address spoofing if the imprint of the sending device includes an address corresponding to a valid fingerprint but with an operating system identifier different from that of the valid fingerprint .
  • the invention is a computer program recorded on a computer readable medium, said program comprising portions of software code for performing the steps of the method when said program is executed by a computer.
  • the data carrier may be a hardware storage medium, for example a CDROM, a magnetic diskette, a hard disk, a memory circuit, or a transmissible medium such as an electrical, optical or radio signal.
  • FIG. 1 represents a network having access accessible to the public according to the invention
  • FIG. 2 represents a flowchart made by the filtering device on the data packets passing through it.
  • Figure 1 shows an enterprise network implementing the invention.
  • the corporate network consists of an Intranet-type network 1 which has a certain number of resources, most of which are not represented, all these resources being linked to a medium of communication.
  • This intranet network also has a portion of network 2 accessible to the public via an access point 3 or 4 connection jacks that allow terminals 5 and 6 to connect to the network
  • Intranet 1 A filtering device 7 is interposed between an access medium of the network part 2 and the communication medium of the intranet network 1.
  • the intranet network 1 is also connected to the Internet network 8 via a network.
  • a second filtering device 9 In order to manage the connection of the terminals 5 and 6 on the network part 2 for the connection to Intranet 1, a detection device 10 and an authentication server 11 are also connected to the intranet network 1 .
  • the intranet network 1 is for example a network operating according to a wired type local network standard, for example the IEEE802.3 standard. Such a type of network has at least one server for managing the various accesses to the network, and a plurality of user devices and resources that communicate with each other via said network.
  • the authentication server 11 serves in particular to manage access to the Intranet and serves firstly to validate the connection of users within the network but also to validate the connection of users connecting with the help of terminals 5 and 6 via the network part 2.
  • the network part 2 is a public or semi-public part that allows users to pass through a site or to connect by means of a cable to the socket 4, or by means of a wireless link through the access point 3.
  • the access point 3 is for example a wireless access point according to the IEEE802.1 1 standard.
  • Said first and second filtering devices 7 and 9 serve to filter message exchanges and more generally any data packet between the intranet network and, on the one hand, the network part 2 and, on the other hand, the network. Internet 8. These filtering devices 7 and 9 are also known as firewall.
  • a detection device 10 is connected to the network
  • the detection device 10 is, in FIG. 1, presented as an independent device, however it can be integrated in a server which can be the same server as the server of authentication 11.
  • this server may also include the filter 7 and will constitute a full access server having a first connection to connect to the intranet 1 and a second connection to connect to the part of 2.
  • the authentication server 11 may also communicate with many other elements of the intranet network 1, and the detection device 10 can also be shared with the filter 9.
  • the flowchart of FIG. 2 begins with a start step 100 which consists in sending an electronic data packet by a terminal to a resource of the intranet network 1 from the network part 2. For example, it is considered that the terminal 5 wishes to legitimately connect via the access point 3 to the network part 2 to access resources of the intranet network 1.
  • the data packet is a legitimate message sent by the terminal 5 before it is authenticated.
  • the terminal 5 Prior to sending this first data packet, the terminal 5 has established a radio communication with the access point 3. This radio connection is not detailed because it takes place for example according to the IEEE802.11 standard.
  • the terminal 5 connecting via the access point 3, it has an IP address, usually assigned by a DHCP server (Dynamic Host Configuration Protocol), and a MAC address which is its address in the wireless network.
  • the data packet from the terminal 5 therefore passes through the access point 3 to be transposed on the network part 2 in electronic form and is sent to a resource located at the level of the intranet network 1.
  • the sent data packet then traverses the filtering device 7 which checks whether the data packet comes from an authorized user or user terminal. This is done during a test step 101.
  • Step 101 consists for the filtering device 7 to verify the address sending the data packet.
  • the data packet contains the sender's network address.
  • the network address consists of the IP address and the MAC address.
  • the filtering device 7 having recovered this network address, it checks among its rules or filtering criteria if this address is an authorized address. If the address is authorized, it is that the device has been previously authenticated. If the address is not part of the filtering rules that allow access to the network, it means that the device has not been authenticated as a device authorized to access the Intranet 1. If the network address does not match not to an already authenticated device, then begins an authentication step 102. During this authentication step 102, the filtering device 7 redirects the terminal 5 to the authentication server 11.
  • a dialogue is then established between the terminal 5 and the authentication server 11 through the filter 7. Only this connection is authorized by the filter 7 for the terminal responding to the address of the terminal 5.
  • the authentication is usually done by the presentation of a pair identifying user and password using a form of type protected for example using the SSL protocol. This authentication is a well-known authentication in the Internet domain and does not require further explanation.
  • the authentication server 11 having received the user's identifier and its password in an encrypted manner, it checks whether this authentication is successful during a test step 103. If the authentication has succeeded, then Ie authentication server 11 changes the rules of the filtering device 7, during a step 104, and indicates that the terminal responding to the network address of the terminal 5 is allowed to connect to different resources in the network Intranet 1. Obviously, these resources can be limited to only a small part of the resources of the Intranet 1 network depending on the access rights resulting from those allocated to the user. Once the filter rule change is complete, the algorithm in Figure 2 is finished waiting for a new data packet.
  • the filtering rules remain unchanged and the terminal answering the address of the terminal 5 is not authorized to access intranet network resources 1.
  • the algorithm terminates and filter 7 waits for a new data packet.
  • the filtering device 7 After being authenticated, if the terminal 5 returns a data packet again to access one of the resources of the intranet network 1, then this data packet restarts the flowchart from FIG. 2 to the start step 100
  • the filtering device 7 performs the test of the step 101, it realizes that the address corresponding to the terminal 5 is an authenticated address which has the right to access certain resources of the intranet network 1. On the other hand, the latter will pass the hand to the detection device 10 for it to establish if the terminal 5 is still an authorized terminal. This is done during a test step 102, where the filtering device 7 checks whether the data packet sent by the terminal 5 includes elements to identify the operating system (OS) of the terminal.
  • OS operating system
  • the OS of a terminal can be determined from TCP packets that contain information elements that identify the OS, such as packets with a SYN, ACK, SYN / ACK, or RST flag. 1. In addition, there is also information to identify the OS that is contained in the header of the IP frames.
  • the data packet is allowed to pass through the filtering device 7 during a step 103, if this data packet is addressed to a resource for which access is allowed.
  • a step 104 is performed.
  • the step 104 consists of identifying and then memorizing an identifier of the OS which applies to the network address of the user terminal. An impression of the operating system is thus made.
  • the association of the network address of the terminal 5 and the identifier of the operating system of the terminal 5 ultimately forms an identification fingerprint of the terminal 5.
  • the address of network is of course composed of the IP address and, in the case of the device of the terminal 5, the MAC address.
  • the identifier correspondence of the OS is verified during a test step 105. If during the test step 105, the OS identifiers are different for two data packets from the same address. network, then a step 106 is performed. The test step 105 is ultimately to compare the identification fingerprint of the terminal 5 with valid device identification fingerprints.
  • Step 106 corresponds to the reaction of the filter 7 following the detection of a network address spoofing. Different operations can be performed simultaneously or optionally, depending on the level of security required.
  • the data packet can simply be blocked at the level of the filter 7.
  • Filter 7 can be modified to prohibit all data packets from the network address for which two different OSs were found. This means that if the legitimate device wishes to communicate again with the intranet network 1, it must necessarily go through an authentication step.
  • the flowchart of Figure 2 is complete, and the filter 7 is waiting for a new data packet.
  • step 103 is performed.
  • the advantages of such a compared to the state of the art are multiple. First, the skilled person will notice that this access control method is usable without any impact on the customer himself because it is completely transparent to him.
  • Another advantage is that this technique is totally passive because there is no communication channel to maintain between the client terminal and a captive portal to constantly check that it is indeed the authenticated client terminal.
  • Another advantage of the invention is that there is no impact on the network. Indeed, the packets received by the filtering device 7 pass through the filter only if these packets meet the criterion of validity of the filter 7 and the detection criterion. Packet verification can be established without passing through the network. In the case where the detection device 10 is included in the same server as the filter 7 everything happens inside the same server. If, on the other hand, the detection device 10 is connected to the filter 7 by the intranet network 1, the filtering device 7 can perform the verification by communicating to the detection device 10 only the elements making it possible to identify the OS and the address of the device. network.
  • the only modification to be made with respect to the architecture of an Intranet type network occurs only at the level of the filtering device 7 so that it takes into account the OS detection in cooperation with the detection device. 10.
  • the implementation of the method is done by adding a computer program in the computer device performing the function of filtering device.
  • the computer program having software instructions for executing the method.
  • this method of access control is relatively complex to deceive because the attacker must identify the nature of the legitimate client's OS and then emulate this OS without the right to the error because the detection of an attack namely a OS change requires only one data packet issued by the attacker.
  • the person skilled in the art might think that a very large number of computers have a similar OS, and that therefore such detection does not make it possible to have sufficient reliability to overcome an illegitimate terminal. It is true that a large part of the computers wishing to connect to a network have a very similar OS see the same, but these OS there are OS that do not allow complex attacks with spoofing of IP addresses and / or MAC . Indeed, to achieve this type of attack, it is necessary to have an OS allowing the user of the illegitimate terminal to substitute the addresses of a connection. Since these OSs are less common, an OS detection becomes relatively reliable.
  • the network address consists of a IP address and MAC address because the client device connects through a wireless network.
  • the network address may only include the IP address.
  • the invention provides a filtering criterion using the network address and the OS of the client device. This intrusion detection may be in addition to other filtering criteria or other protection techniques.

Abstract

L'invention renforce l'accès à un réseau les attaques d'usurpation d'adresse de réseau d'un client légitime. A cet effet, l'invention prévoit un dispositif de filtrage sur l'adresse de réseau d'un client (101) , tout en rajoutant une vérification supplémentaire. La vérification supplémentaire consiste à vérifier le système d'exploitation (102, 104 et 105) correspondant à l'adresse de réseau du client. Le dispositif de filtrage effectuant le filtrage des paquets de données, d'une part sur les adresses de réseau mais également sur le système d'exploitation, peut repérer une différence de système d'exploitation correspondant à deux dispositifs clients théoriquement identiques, ce qui permet d'identifier qu'une adresse est usurpée.

Description

PROCEDE ET DISPOSITIF DE FILTRAGE POUR DETECTER UNE USURPATION D'ADRESSE DANS UN RESEAU INFORMATIQUE
L'invention se rapporte à un réseau informatique et plus particulièrement à l'accès à un réseau informatique lorsque celui-ci dispose d'une connexion filaire ou sans fil qui est accessible à un public non trié. Plus particulièrement l'invention se préoccupe de détecter des usurpations d'adresses de réseau pour accéder au réseau.
Pour accéder à un réseau informatique, il est connu d'identifier les personnes ou les dispositifs désirant se connecter au réseau pour utiliser certaines ressources. Une authentification de client permet de déterminer si le client est autorisé à se connecter et permet de lui attribuer les privilèges qui lui sont associés pour se déplacer dans le réseau et accéder aux données qui lui sont autorisées. Une fois qu'un client a été authentifié, l'utilisation de son adresse IP (de l'anglais Internet Protocol), éventuellement accompagnée d'une adresse MAC (de l'anglais Médium Access Control), permettent d'identifier le client et de lui faire bénéficier des privilèges qui lui sont attribués. Une technique d'intrusion dans un réseau sécurisé consiste à usurper l'adresse IP et éventuellement l'adresse MAC d'un client authentifié. Ce type d'usurpation d'identité est plus facile à réaliser avec les réseaux sans fil disposés dans les endroits publics. En effet, il est alors possible d'intercepter par radio l'adresse MAC et également l'adresse IP d'un client connecté à un réseau et d'utiliser son adresse IP et son adresse MAC pour se connecter en même temps que lui au même réseau et bénéficier des mêmes privilèges que le client légitime. Afin d'éviter que des clients illégitimes ne profitent indûment du réseau, il est nécessaire d'en contrôler l'accès. Tout d'abord, il faut s'assurer que seuls des clients autorisés par le gestionnaire du réseau peuvent l'utiliser. Cette première étape est réalisée lors de l'authentification du client qui tente de se connecter sur le réseau. Ensuite, il convient de maintenir une relation d'authentification avec le client, c'est à dire de s'assurer que le client autorisé qui utilise le réseau est bien le même que celui qui s'est authentifié afin d'éviter qu'un client non autorisé usurpe l'identité d'un client autorisé. Pour maintenir le contrôle sur un client autorisé et connecté, plusieurs techniques permettent de contrôler l'accès. Une première technique est une technique physique. Les prises de connexion au réseau ne peuvent être accessibles qu'à des personnes pouvant rentrer dans un local fermé. Ainsi, seules les personnes autorisées pourront se connecter à partir d'une machine dont l'adresse IP sera reconnue comme étant une adresse sécurisée. Pour des réseaux complètement ouverts, notamment, à travers Internet, il existe des techniques basées sur la cryptographie pour échanger des données entre un utilisateur et un serveur. Cet échange de données est conditionné par la possession d'un secret permettant de mettre en oeuvre les techniques cryptographiques.
Actuellement, on voit apparaître des points d'accès accessibles à tout public, par exemple dans les gares ou aéroports mais également dans les entreprises, où des liaisons sans fil sont disponibles afin d'éviter les branchements et débranchements d'ordinateurs par des personnes amenées à se déplacer fréquemment. Egalement en entreprise, il est possible qu'un client souhaite se connecter à travers le réseau de l'entreprise visitée à sa propre entreprise en passant par Internet. Dans ce cadre de liaison sans fil, toutes les communications sont facilement interceptables sans que l'on puisse contrôler nécessairement la liaison physique au réseau. Par ailleurs, l'utilisation de la cryptographie n'est pas bien appliquée à ce type de liaison car les moyens de cryptographie du réseau qui reçoit la connexion et de l'utilisateur qui désire s'y connecter doivent être adaptés l'un avec l'autre, ce qui peut poser des problèmes avec les réseaux où l'utilisateur se connecte. De plus, l'utilisation de la cryptographie rajoute du temps de traitement et de la redondance d'informations qui réduit la vitesse de communication.
Un mécanisme de portail captif a été développé pour apporter une solution se substituant aux solutions de sécurisation précédemment énoncées. Le principe du portail captif met en oeuvre un dispositif de filtrage, également appelé pare-feu (firewall) pour filtrer les adresses IP et également les adresses MAC lorsque celles-ci sont utilisées. Lors d'une connexion, si l'adresse IP et éventuellement l'adresse MAC ne sont pas enregistrées dans le dispositif de filtrage, un message électronique ou paquet de données en provenance de ces adresses ne peut pas passer le filtre. Lors de la première présentation d'une adresse IP non autorisée, le client est invité à ouvrir son navigateur Internet et est automatiquement redirigé vers un portail d'authentification d'un gestionnaire du réseau, d'où le nom de portail captif. Ce portail permet au client de s'authentifier de manière sécurisée, par exemple en utilisant le protocole SSL (de l'anglais Secure Sockets Layer). Toutes les autres requêtes du client non authentifiées seront bloquées par le dispositif de filtrage tant que l'authentification n'aura pas réussi. En cas d'authentification réussie et dans le cas où le client authentifié est autorisé à accéder au réseau, une mise à jour des règles de filtrage du dispositif de filtrage est effectuée pour laisser passer les paquets de données en provenance de l'adresse IP accompagnée éventuellement de l'adresse MAC correspondant au client identifié. Comme le contrôle d'accès par adresse MAC et adresse IP est relativement faible dans le cas d'un réseau ouvert, le portail captif peut utiliser un contrôle d'accès supplémentaire par jetons échangés au niveau applicatif. Le portail captif garde en effet un canal de communication sécurisé ouvert avec le client, toujours à l'aide du protocole SSL. Périodiquement, le client doit présenter un jeton d'authentification grâce à ce canal. Le défaut de présentation de ce jeton entraîne la modification du dispositif de filtrage et le remet dans un état bloquant pour l'adresse IP. Ainsi un client non autorisé et usurpant l'adresse IP et éventuellement l'adresse MAC d'un client autorisé ne pourra pas présenter ce jeton et verra sa connexion terminée. Le jeton peut également être présenté sur requête si l'utilisateur tente d'accéder à des ressources sensibles.
Le portail captif est particulièrement bien adapté pour être utilisé dans le cadre de réseaux sans fil, par exemple utilisant la technologie IEEE802.11 mais également dans le cas d'un réseau filaire dont une partie du réseau serait mise à disposition du visiteur par une entreprise. Ceci est d'autant plus vrai qu'actuellement les réseaux de type sans fil utilisant le standard IEEE802.11 n'ont pas de mécanisme de sécurité prévu contre l'intrusion. De même, un réseau de type Ethernet (IEEE802.3) misant sur l'impossibilité physique de s'y connecter, ne dispose pas lui non plus de moyens de sécurisation en cas de mise à disposition d'une prise de connexion.
Comme il a été indiqué précédemment, le filtrage par adresse IP et éventuellement par adresse MAC est une protection faible. En effet, ces - A - protections sont très faciles à contourner car il suffit d'usurper l'adresse IP et l'adresse MAC d'un client autorisé lorsque ledit client est connecté. L'utilisation du jeton d'authentification est relativement efficace mais présente quelques limitations. En effet, pour que le jeton puisse être échangé, il faut impérativement que le dispositif client et le serveur d'authentification du réseau soient capables de dialoguer en permanence pour pouvoir échanger le jeton. Or, une application fortement utilisée par des clients sur des accès de type sans fil, par exemple dans les aéroports, consiste à monter un tunnel entre leur ordinateur et leur entreprise. Le tunnel est une sorte de réseau privé virtuel utilisé pour des raisons de sécurité afin d'être sûr que, sur un réseau ouvert, par exemple de type Internet, il ne soit pas possible qu'un intrus puisse intervenir. Justement pour des raisons de sécurité, la plupart des applications de réseaux privés virtuels interdisent toute communication à destination ou en provenance du client autre que celle qui passe à l'intérieur du tunnel ainsi créé. Ce réseau virtuel fonctionne en mode bloquant. Il n'est pas possible dans ce cas de maintenir un échange de jetons d'authentification entre le dispositif client et un serveur d'authentification propre au point de connexion du dispositif client. Par ailleurs, l'utilisation du jeton ne résout que partiellement le problème d'usurpation d'identité car il est toujours possible à un attaquant d'établir une connexion au travers du portail captif en utilisant l'adresse IP et éventuellement MAC d'un client légitime pendant une fenêtre de temps correspondant à la dernière présentation du jeton par le dispositif client légitime. Le dispositif client légitime peut en outre renvoyer des jetons autant de fois qu'il est possible à la place du dispositif illégitime, maintenant ainsi le passage au travers du dispositif de filtrage.
Le but de l'invention est de renforcer l'accès à un réseau dans le cas d'attaques qui tentent d'usurper l'adresse de réseau d'un client légitime. A cet effet, l'invention prévoit un dispositif de filtrage sur l'adresse de réseau d'un client, cette adresse de réseau incluant l'adresse IP et éventuellement l'adresse MAC tout en rajoutant une vérification supplémentaire. La vérification supplémentaire consiste à vérifier la nature du système d'exploitation correspondant à l'adresse du client, à partir des en-têtes des paquets de données de couche 3 et 4 de la pile TCP/IP (Transmission Control Protocol/lnternet Protocol). Cette technique est appelée prise d'empreinte du système d'exploitation. Si l'on considère que la plupart des ordinateurs disposent d'un système d'exploitation relativement standard et peu facile d'utilisation pour effectuer du piratage de réseau par usurpation d'adresse, il est légitime de penser qu'un dispositif tentant d'usurper l'identité d'un dispositif légitime disposera dans la majeure partie des cas d'un système d'exploitation différent. Le dispositif de filtrage effectuant le filtrage des paquets de données, d'une part sur les adresses de réseau mais également sur le système d'exploitation, peut repérer une différence de système d'exploitation correspondant à deux dispositifs clients théoriquement identiques, ce qui permet d'identifier qu'une adresse est usurpée.
L'invention est un procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage. A réception de données émises par un dispositif, le filtre effectue des étapes de détermination d'une empreinte d'identification du dispositif émetteur des données, à l'aide d'informations contenues dans les données reçues, ladite empreinte étant composée d'au moins une adresse de réseau dudit dispositif et d'un identifiant du système d'exploitation fonctionnant sur le dispositif ; de comparaison de l'empreinte du dispositif avec des empreintes valides d'identification de dispositifs ; de détection de l'usurpation d'une adresse si l'empreinte du dispositif comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation différent de celui de l'empreinte valide.
Selon un autre aspect, l'invention est un dispositif de filtrage d'accès à un réseau comportant un moyen de filtrage apte à laisser passer ou non les données vers le réseau en fonction de critères de filtrage, un premier moyen d'identification apte à identifier l'adresse de réseau d'un dispositif émetteur des données, un deuxième moyen d'identification apte à identifier un système d'exploitation du dispositif émetteur des données et à former une empreinte d'identification du dispositif émetteur, ladite empreinte étant constituée de l'adresse de réseau du dispositif émetteur et d'un identifiant du système d'exploitation, un moyen de comparaison apte à comparer l'empreinte d'identification du dispositif émetteur avec des empreintes valides d'identification de dispositifs, un moyen de détection apte à détecter une usurpation d'adresse si l'empreinte du dispositif émetteur comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation différent de celui de l'empreinte valide. Selon encore un autre aspect, l'invention est un programme d'ordinateur enregistré sur un support lisible par ordinateur, ledit programme comportant des portions de code de logiciel pour l'exécution des étapes du procédé lorsque ledit programme est exécuté par un ordinateur. Le support de données peut être un support matériel de stockage, par exemple un CDROM, une disquette magnétique, un disque dur, un circuit de mémoire, ou bien un support transmissible tel qu'un signal électrique, optique ou radio.
L'invention sera mieux comprise et d'autres particularités et avantages apparaîtront à la lecture de la description qui va suivre, la description faisant référence aux dessins annexés parmi lesquels : - la figure 1 représente un réseau disposant d'un accès accessible au public selon l'invention,
- la figure 2 représente un organigramme réalisé par le dispositif de filtrage sur les paquets de données le traversant.
La figure 1 représente un réseau d'entreprise mettant en oeuvre l'invention. Le réseau d'entreprise est constitué d'un réseau de type Intranet 1 qui dispose d'un certain nombre de ressources dont la plupart ne sont pas représentées, toutes ces ressources étant reliées à un médium de communication. Ce réseau Intranet dispose en outre d'une partie de réseau 2 accessible au public par l'intermédiaire d'un point d'accès 3 ou de prises de connexion 4 qui permettent à des terminaux 5 et 6 de se connecter au réseau
Intranet 1. Un dispositif de filtrage 7 s'interpose entre un médium d'accès de la partie de réseau 2 et le médium de communication du réseau Intranet 1. Le réseau Intranet 1 est par ailleurs relié au réseau Internet 8 par l'intermédiaire d'un deuxième dispositif de filtrage 9. Afin de gérer la connexion des terminaux 5 et 6 sur la partie de réseau 2 pour la connexion à Intranet 1 , un dispositif de détection 10 et un serveur d'authentification 11 sont également reliés au réseau Intranet 1. Le réseau Intranet 1 est par exemple un réseau fonctionnant selon une norme de réseau local de type filaire, par exemple la norme IEEE802.3. Un tel type de réseau dispose d'au moins un serveur pour gérer les différents accès au réseau, et d'une pluralité de dispositifs utilisateurs et de ressources qui communiquent entre eux par l'intermédiaire dudit réseau. Le serveur d'authentification 11 sert notamment à gérer les accès au réseau Intranet et sert d'une part à valider la connexion d'utilisateurs à l'intérieur du réseau mais également à valider la connexion d'utilisateurs se connectant à l'aide de terminaux 5 et 6 par l'intermédiaire de la partie de réseau 2. La partie de réseau 2 est une partie publique ou semi publique qui permet à des utilisateurs de passage sur un site soit de se connecter au moyen d'un câble sur la prise 4, soit au moyen d'une liaison sans fil par l'intermédiaire du point d'accès 3. Le point d'accès 3 est par exemple un point d'accès sans fil conforme à la norme IEEE802.1 1 . Lesdits premier et deuxième dispositifs de filtrage 7 et 9 servent à filtrer les échanges de messages et plus généralement de tout paquet de données entre le réseau Intranet et, d'une part, la partie de réseau 2 et, d'autre part, le réseau Internet 8. Ces dispositifs de filtrage 7 et 9 sont également connus sous l'appellation pare-feu (en anglais firewall). Selon l'invention, un dispositif de détection 10 est connecté au réseau
Intranet 1 pour contrôler le premier dispositif de filtrage 7. Le dispositif de détection 10 est, sur la figure 1 , présenté comme un dispositif indépendant, cependant celui-ci peut être intégré dans un serveur qui peut être le même serveur que le serveur d'authentification 11. Eventuellement, ce serveur peut également comprendre le filtre 7 et constituera un serveur d'accès à part entière disposant d'une première connexion pour se relier sur le réseau Intranet 1 et d'une deuxième connexion pour se relier à la partie de réseau 2. Dans le cadre de l'invention, on s'intéressera plus particulièrement aux communications entre le filtre 7, le dispositif de détection 10 et le serveur d'authentification 11. Dans la réalité le serveur d'authentification 1 1 peut également communiquer avec bien d'autres éléments du réseau Intranet 1 , et le dispositif de détection 10 peut également être mis en commun avec le filtre 9. Cependant, pour simplifier la description, il ne sera décrit que la partie concernant le filtre 7 dédié à l'interconnexion entre la partie de réseau 2 et le réseau Intranet 1 , l'interaction avec le filtre 9 étant similaire. Les communications entre le dispositif de filtrage 7, le dispositif de détection 10 et le serveur d'authentification 11 passent par le réseau Intranet 1. Cependant, nous avons représenté avec des flèches bidirectionnelles les différentes liaisons réalisées.
Il va être maintenant expliqué comment un terminal 5 ou 6 se connecte au réseau Intranet 1 et comment celui-ci va être supervisé durant toute la durée de sa connexion au réseau Intranet 1 à l'aide de la figure 2. Cet organigramme est mis en oeuvre conjointement par le filtre 7, le dispositif de détection 10 et le serveur d'authentification 11.
L'organigramme de la figure 2 commence par une étape 100 de début qui consiste en l'envoi d'un paquet de données électronique par un terminal à destination d'une ressource du réseau Intranet 1 à partir de la partie de réseau 2. A titre d'exemple, on considère que le terminal 5 souhaite se connecter de manière légitime par l'intermédiaire du point d'accès 3 à la partie de réseau 2 pour accéder à des ressources du réseau Intranet 1.
On considère dans un premier temps que le paquet de données est un message légitime émis par le terminal 5 avant que celui-ci ne soit authentifié. Préalablement à l'envoi de ce premier paquet de données, le terminal 5 a établi une communication radio avec le point d'accès 3. Cette connexion radio n'est pas détaillée car elle se déroule par exemple selon la norme IEEE802.11. Le terminal 5 se connectant par l'intermédiaire du point d'accès 3, celui-ci dispose d'une adresse IP, généralement attribuée par un serveur DHCP (Dynamic Host Configuration Protocol), ainsi qu'une adresse MAC qui est son adresse dans le réseau sans fil. Le paquet de données partant du terminal 5 traverse donc le point d'accès 3 pour être transposé sur la partie de réseau 2 sous forme électronique et est adressé à une ressource située au niveau du réseau Intranet 1. Le paquet de données envoyé traverse alors le dispositif de filtrage 7 qui vérifie si le paquet de données provient d'un utilisateur ou d'un terminal utilisateur autorisé. Ceci est fait au cours d'une étape de test 101.
L'étape 101 consiste pour le dispositif de filtrage 7 à vérifier l'adresse d'envoi du paquet de données. Dans le paquet de données reçu, le paquet de données contient l'adresse de réseau de l'expéditeur. Dans ce cas présent, l'adresse de réseau est constituée de l'adresse IP et de l'adresse MAC. Le dispositif de filtrage 7 ayant récupéré cette adresse de réseau, il vérifie parmi ses règles ou critères de filtrage si cette adresse est une adresse autorisée. Si l'adresse est autorisée, c'est que le dispositif a été préalablement authentifié. Si l'adresse ne fait pas partie des règles de filtrage qui autorisent l'accès au réseau, c'est que le dispositif n'a pas été authentifié comme dispositif autorisé à accéder au réseau Intranet 1. Si l'adresse de réseau ne correspond pas à un dispositif déjà authentifié, alors commence une étape d'authentification 102. Au cours de cette étape d'authentification 102, le dispositif de filtrage 7 redirige le terminal 5 vers le serveur d'authentification 11. Un dialogue est ensuite établi entre le terminal 5 et le serveur d'authentification 11 à travers le filtre 7. Seule cette connexion est autorisée par le filtre 7 pour le terminal répondant à l'adresse du terminal 5. L'authentification se fait généralement par la présentation d'un couple identifiant d'utilisateur et mot de passe à l'aide d'un formulaire de type protégé par exemple à l'aide du protocole SSL. Cette authentification est une authentification bien connue dans le domaine d'Internet et ne nécessite pas de plus amples explications. Le serveur d'authentification 11 ayant reçu l'identifiant de l'utilisateur et son mot de passe de manière cryptée, il vérifie si cette authentification est réussie au cours d'une étape de test 103. Si l'authentification a réussi, alors Ie serveur d'authentification 11 change les règles du dispositif de filtrage 7, au cours d'une étape 104, et lui indique que le terminal répondant à l'adresse de réseau du terminal 5 est autorisé à se connecter à différentes ressources présentes dans le réseau Intranet 1. Evidemment, ces ressources peuvent être limitées à une petite partie seulement des ressources du réseau Intranet 1 en fonction des droits d'accès découlant de celles attribuées à l'utilisateur. Une fois que le changement des règles de filtrage est terminé, l'algorithme de la figure 2 est terminé dans l'attente d'un nouveau paquet de données.
Si par contre l'authentification n'a pas réussi, les règles de filtrage restent inchangées et le terminal répondant à l'adresse du terminal 5 n'est pas autorisé à accéder à des ressources du réseau Intranet 1. L'algorithme se termine et le filtre 7 attend un nouveau paquet de données.
Après avoir été authentifié, si le terminal 5 renvoie à nouveau un paquet de données pour accéder à l'une des ressources du réseau Intranet 1 , alors ce paquet de données fait redémarrer l'organigramme de la figure 2 à l'étape de début 100. Lorsque le dispositif de filtrage 7 effectue le test de l'étape 101 , il s'aperçoit que l'adresse correspondant au terminal 5 est une adresse authentifiée qui a le droit d'accéder à certaines ressources du réseau Intranet 1. Par contre, celui-ci va passer la main au dispositif de détection 10 pour que celui-ci établisse si le terminal 5 est toujours un terminal autorisé. Ceci se fait lors d'une étape de test 102, où le dispositif de filtrage 7 vérifie si le paquet de données envoyé par le terminal 5 comporte des éléments permettant d'identifier le système d'exploitation (OS) du terminal. L'OS d'un terminal peut-être déterminé à partir des paquets TCP qui contiennent des éléments d'information permettant d'identifier l'OS, tel que les paquets disposant d'un drapeau SYN, ACK, SYN/ACK ou RST à 1. Par ailleurs, il existe également des informations permettant d'identifier l'OS qui sont contenues dans l'en-tête des trames IP.
Si l'OS n'est pas identifié dans le paquet de données qui vient d'être transmis, alors le paquet de données est autorisé à passer à travers le dispositif de filtrage 7 au cours d'une étape 103, si ce paquet de données est adressé à une ressource pour laquelle l'accès est autorisé.
Si le paquet de données qui traverse le filtre 7, comporte des éléments permettant d'identifier l'OS, alors on effectue une étape 104. L'étape 104 consiste à identifier puis à mémoriser un identifiant de l'OS qui s'applique à l'adresse de réseau du terminal utilisateur. On réalise ainsi une prise d'empreinte du système d'exploitation. L'association de l'adresse réseau du terminal 5 et de l'identifiant du système d'exploitation du terminal 5 forme en définitive une empreinte d'identification du terminal 5. Par ailleurs, au cours de cette étape, on va rechercher s'il existe déjà une prise d'empreinte valide correspondant au terminal 5, c'est-à-dire si un identifiant d'OS a déjà été enregistré préalablement pour cette même adresse de terminal 5. L'adresse de réseau est composée bien entendu de l'adresse IP et, dans le cas du dispositif du terminal 5, de l'adresse MAC.
La correspondance d'identifiant de l'OS est vérifiée au cours d'une étape de test 105. Si au cours de l'étape de test 105, les identifiants d'OS sont différents pour deux paquets de données provenant d'une même adresse de réseau, alors on effectue une étape 106. L'étape de test 105 consiste en définitive à comparer l'empreinte d'identification du terminal 5 avec des empreintes valides d'identification de dispositifs.
L'étape 106, correspond à la réaction du filtre 7 suite à la détection d'une usurpation d'adresse de réseau. Différentes opérations peuvent être réalisées simultanément ou de manière optionnelle, suivant le niveau de sécurité requis. Le paquet de données peut simplement être bloqué au niveau du filtre 7. Au cours de cette étape 106, on peut également émettre une alarme soit au niveau du réseau, soit au niveau du terminal d'un opérateur supervisant le réseau pour indiquer qu'une attaque par usurpation d'adresse vient d'être détectée. Le filtre 7 peut être modifié pour interdire tous les paquets de données provenant de l'adresse de réseau pour laquelle deux OS différents ont été trouvés. Cela signifie que si Ie dispositif légitime désire à nouveau communiquer avec le réseau Intranet 1 , celui-ci doit nécessairement repasser par une étape d'authentification. L'organigramme de la figure 2 est terminé, et le filtre 7 attend un nouveau paquet de données.
Si par contre pour une même adresse de réseau, l'OS correspondant au paquet de données que l'on tente de transmettre est le même qu'un paquet de données précédent, alors on effectue l'étape 103. Les avantages d'un tel système par rapport à l'état de la technique sont multiples. Tout d'abord, l'homme du métier remarquera que cette méthode de contrôle d'accès est utilisable sans aucun impact sur le client lui-même car celle-ci est tout à fait transparente pour lui.
Un autre avantage est que cette technique est totalement passive car il n'y a pas de canal de communication à maintenir entre le terminal client et un portail captif pour vérifier en permanence qu'il s'agit bien du terminal client authentifié. Un autre avantage de l'invention est qu'il n'y a pas d'impact sur le réseau. En effet, les paquets reçus par le dispositif de filtrage 7 ne traversent le filtre que si ces paquets là répondent au critère de validité du filtre 7 et au critère de détection. La vérification des paquets peut s'établir sans qu'ils transitent sur le réseau. Dans le cas où le dispositif de détection 10 est inclut dans un même serveur que le filtre 7 tout se passe à l'intérieur d'un même serveur. Si par contre le dispositif de détection 10 est relié au filtre 7 par le réseau Intranet 1 , le dispositif de filtrage 7 peut effectuer la vérification en communiquant au dispositif de détection 10 uniquement les éléments permettant d'identifier l'OS et l'adresse de réseau. En outre, la seule modification à apporter par rapport à l'architecture d'un réseau de type Intranet intervient uniquement au niveau du dispositif de filtrage 7 pour que celui-ci prenne en compte la détection d'OS en coopération avec le dispositif de détection 10. La mise en œuvre du procédé se fait par l'ajout d'un programme d'ordinateur dans le dispositif informatique assurant la fonction de dispositif de filtrage. Le programme d'ordinateur disposant d'instruction logicielle permettant d'exécuter le procédé.
Autre avantage, cette méthode de contrôle d'accès est relativement complexe à tromper car l'attaquant doit repérer la nature de l'OS du client légitime puis émuler cet OS sans droit à l'erreur car la détection d'une attaque à savoir un changement d'OS ne requiert qu'un seul paquet de données émis par l'attaquant. L'homme du métier pourrait penser que de très nombreux ordinateurs disposent d'un OS semblable, et que de ce fait une telle détection ne permet pas d'avoir une fiabilité suffisamment importante pour s'affranchir d'un terminal illégitime. Il est vrai qu'une grande partie des ordinateurs désirant se connecter à un réseau disposent d'un OS très semblable voir identique, mais ces OS là sont des OS qui ne permettent pas des attaques complexes avec usurpation d'adresses IP et/ou MAC. En effet, pour réaliser ce type d'attaque, il faut disposer d'un OS permettant à l'utilisateur du terminal illégitime de substituer les adresses d'une connexion. Ces OS étant moins répandus, une détection d'OS devient relativement fiable.
De nombreuses variantes de l'invention sont possibles. Tout d'abord, dans la description qui précède, l'adresse de réseau est constituée d'une adresse IP et d'une adresse MAC car le dispositif client se connecte par l'intermédiaire d'un réseau sans fil. Dans certains cas, l'adresse de réseau peut ne comporter que l'adresse IP.
Egalement, l'invention apporte un critère de filtrage utilisant l'adresse de réseau et l'OS du dispositif client. Cette détection d'intrusion peut s'ajouter à d'autres critères de filtrages ou à d'autres techniques de protection.

Claims

R E V E N D I C A T I O N S
1. Procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données (7) apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, caractérisé en ce que, à réception de données émises par un dispositif, le filtre effectue les étapes suivantes :
- détermination d'une empreinte d'identification du dispositif émetteur des données, à l'aide d'informations contenues dans les données reçues, ladite empreinte étant composée d'au moins une adresse de réseau dudit dispositif et d'un identifiant du système d'exploitation fonctionnant sur le dispositif,
- comparaison de l'empreinte du dispositif avec des empreintes valides d'identification de dispositifs,
- si l'empreinte du dispositif comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation différent de celui de l'empreinte valide, détection de l'usurpation d'une adresse.
2. Procédé selon la revendication 1 , dans lequel suite à la détection de l'usurpation d'adresse, un critère de filtrage est modifié pour interdire le passage de toutes les données provenant de l'adresse de réseau.
3. Procédé selon l'une des revendications précédentes, dans lequel, suite à une détection d'adresse, une étape parmi les étapes suivantes est exécutée :
- blocage des données reçues dans le filtre de données,
- émission d'une alarme,
- modification des critères de filtrage pour interdire le passage de données provenant de l'adresse usurpée.
4. Procédé selon l'une des revendications 1 à 3, dans lequel l'adresse de réseau comporte une adresse IP et/ou MAC.
5. Procédé selon l'une des revendications 1 à 4, dans lequel les données sont envoyées selon le protocole TCP et/ou IP.
6. Dispositif de filtrage d'accès à un réseau comportant :
- un moyen de filtrage apte à laisser passer ou non les données vers le réseau en fonction de critères de filtrage,
- un premier moyen d'identification apte à identifier l'adresse de réseau d'un dispositif émetteur des données, caractérisé en ce qu'il comporte en outre :
- un deuxième moyen d'identification apte à identifier un système d'exploitation du dispositif émetteur des données et à former une empreinte d'identification du dispositif émetteur, ladite empreinte étant constituée de l'adresse de réseau du dispositif émetteur et d'un identifiant du système d'exploitation,
- un moyen de comparaison apte à comparer l'empreinte d'identification du dispositif émetteur avec des empreintes valides d'identification de dispositifs, - un moyen de détection apte à détecter une usurpation d'adresse si l'empreinte du dispositif émetteur comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation différent de celui de l'empreinte valide.
7. Dispositif selon la revendication 6, qui comporte un moyen parmi les moyens suivant :
- un moyen de mise à jour apte à modifier un critère de filtrage pour interdire le passage des données correspondant à l'adresse de réseau ayant des identifiants de système d'exploitation différents,
- un moyen d'alarme apte à émettre une alarme lorsqu'une usurpation d'adresse est détectée.
8. Système informatique comportant une pluralité de ressources, incluant au moins un ordinateur, reliées à un même médium de communication caractérisé en ce qu'il comporte un dispositif selon l'une des revendications 6 ou 7 reliant le médium de communication à un médium d'accès.
9. Système informatique selon la revendication 8, dans lequel au moins un point d'accès radio est relié au médium d'accès.
10. Programme d'ordinateur enregistré sur un support lisible par ordinateur, ledit programme comportant des portions de code de logiciel pour l'exécution des étapes du procédé selon l'une des revendications 1 à 5 lorsque ledit programme est exécuté par un ordinateur.
PCT/FR2005/002315 2004-09-30 2005-09-19 Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique WO2006035137A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0410353 2004-09-30
FR0410353A FR2875981A1 (fr) 2004-09-30 2004-09-30 Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique

Publications (1)

Publication Number Publication Date
WO2006035137A1 true WO2006035137A1 (fr) 2006-04-06

Family

ID=34952472

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002315 WO2006035137A1 (fr) 2004-09-30 2005-09-19 Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique

Country Status (2)

Country Link
FR (1) FR2875981A1 (fr)
WO (1) WO2006035137A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112738032B (zh) * 2020-12-17 2022-10-11 公安部第三研究所 一种用于防ip欺骗的通讯系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030110274A1 (en) * 2001-08-30 2003-06-12 Riverhead Networks Inc. Protecting against distributed denial of service attacks
WO2003073724A2 (fr) * 2002-02-20 2003-09-04 Deep Nines, Inc. Systeme et procede pour la detection et pour l'elimination de mystification ip dans un reseau de transmission de donnees
US20040187032A1 (en) * 2001-08-07 2004-09-23 Christoph Gels Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040187032A1 (en) * 2001-08-07 2004-09-23 Christoph Gels Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators
US20030110274A1 (en) * 2001-08-30 2003-06-12 Riverhead Networks Inc. Protecting against distributed denial of service attacks
WO2003073724A2 (fr) * 2002-02-20 2003-09-04 Deep Nines, Inc. Systeme et procede pour la detection et pour l'elimination de mystification ip dans un reseau de transmission de donnees

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HUSSAIN A ET AL: "Distinguishing between single and multi-source attacks using signal processing", COMPUTER NETWORKS, ELSEVIER SCIENCE PUBLISHERS B.V., AMSTERDAM, NL, vol. 46, no. 4, 17 June 2004 (2004-06-17), pages 479 - 503, XP004590080, ISSN: 1389-1286 *
NMAP REMOTE OS DETECTION, 11 June 2002 (2002-06-11), XP002324660, Retrieved from the Internet <URL:http://www.insecure.org/nmap/nmap-fingerprinting-article.html> [retrieved on 20050414] *

Also Published As

Publication number Publication date
FR2875981A1 (fr) 2006-03-31

Similar Documents

Publication Publication Date Title
FR2844941A1 (fr) Demande d&#39;acces securise aux ressources d&#39;un reseau intranet
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
FR2872983A1 (fr) Systeme de pare-feu protegeant une communaute d&#39;appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
FR2877521A1 (fr) Dispositif, procede, programme et support de distribution d&#39;informations, d&#39;initialisation, dispositif, procede, programme et support de transfert d&#39;initialisation d&#39;authentification et programme de reception ...
FR3041493A1 (fr) Equipement pour offrir des services de resolution de noms de domaine
FR2973909A1 (fr) Procede d&#39;acces a une ressource protegee d&#39;un dispositif personnel securise
EP3549047B1 (fr) Procede d&#39;authentification d&#39;un equipement terminal, dispositif, equipement serveur et programme d&#39;ordinateur associes
EP2608590A1 (fr) Auto-configuration d&#39;un équipement pour la connexion à un réseau sans fil sécurisé
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique
WO2006082296A2 (fr) Procede et dispositif de detection d&#39;usurpations d&#39;adresse dans un reseau informatique
EP3087719B1 (fr) Procédé de ralentissement d&#39;une communication dans un réseau
WO2005079038A1 (fr) Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile
WO2018109304A1 (fr) Gestion d&#39;un réseau de communication local par classification d&#39;objets communicants en catégories de confiance, en fonction d&#39;un score de malveillance
FR2895816A1 (fr) Systeme, dispositif portable et procede pour la configuration d&#39;un dispositif communicant dans un reseau
FR3060163B1 (fr) Gestion d&#39;un reseau de communication local par classification d&#39;objets communicants en categories de confiance.
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.
WO2006134072A1 (fr) Procede de protection contre le piratage d&#39;un terminal client utilisant une connexion securisee avec un serveur sur un reseau public
FR2955727A1 (fr) Procede securise d&#39;acces a un reseau et reseau ainsi protege
FR3116978A1 (fr) Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle
WO2021260289A1 (fr) Procédé et dispositif de détection d&#39;une faille de sécurité
EP3729324A1 (fr) Procédé de sécurisation d&#39;un protocole usb par authentification d&#39;un périphérique usb par un appareil et par chiffrement des échanges entre le périphérique et l&#39;appareil et dispositifs associés
FR3007929A1 (fr) Procede d&#39;authentification d&#39;un utilisateur d&#39;un terminal mobile
WO2006027430A1 (fr) Procede d’authentification entre entites communiquant entre elles au travers d’un reseau de telecommunications
FR2848754A1 (fr) Procede d&#39;authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede
WO2017060624A1 (fr) Moyens de gestion d&#39;accès à des données

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 05805772

Country of ref document: EP

Kind code of ref document: A1