WO2006035140A1 - Procede, dispositif et programme de detection d'usurpation de point d'acces. - Google Patents

Procede, dispositif et programme de detection d'usurpation de point d'acces. Download PDF

Info

Publication number
WO2006035140A1
WO2006035140A1 PCT/FR2005/002339 FR2005002339W WO2006035140A1 WO 2006035140 A1 WO2006035140 A1 WO 2006035140A1 FR 2005002339 W FR2005002339 W FR 2005002339W WO 2006035140 A1 WO2006035140 A1 WO 2006035140A1
Authority
WO
WIPO (PCT)
Prior art keywords
frames
address
time
frame
access point
Prior art date
Application number
PCT/FR2005/002339
Other languages
English (en)
Inventor
Laurent Butti
Roland Duffau
Franck Veysset
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Priority to EP05805802A priority Critical patent/EP1794934A1/fr
Priority to US11/664,131 priority patent/US20080250498A1/en
Publication of WO2006035140A1 publication Critical patent/WO2006035140A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Definitions

  • the present invention relates to wireless access technologies to telecommunications networks. It applies in particular to IEEE 802.11 type technologies standardized by the Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 technologies are widely used in networks . corporate ,, residentjejs_ainsl. than . in areas of use, intensive. ("hot spots"). More particularly, the invention relates to wireless network hacking by access point address spoofing.
  • IEEE 802.11 type technologies standardized by the Institute of Electrical and Electronics Engineers (IEEE). IEEE 802.11 technologies are widely used in networks . corporate ,, residentjejs_ainsl. than . in areas of use, intensive. ("hot spots"). More particularly, the invention relates to wireless network hacking by access point address spoofing.
  • frame is meant a set of data forming a block transmitted in a network and containing useful data and service information, generally located in a header area of the block.
  • a frame can be described as a data packet, datagram, data block, or other expression of this type.
  • the access point is an essential element of communication between a client and a network. Therefore, it is a critical point, and therefore interesting for attackers. Attacks using fake access points appeared in order to:
  • intercept communications by performing a "man in the middle” attack, ie by simulating the behavior of a legitimate access point towards the wireless user and that of a wireless user vis-à-vis the legitimate access point to intercept all communications;
  • a known technique for detecting MAC address spoofing relies on the analysis of the Sequence Number ("Sequence Number”) field of frames, or data packets, IEEE802.11 (see J. Wright, "Detecting Wireless LAN”). MAC Address Spoofing ", http://home.jwu.edu/jwright/, January 21, 2003).
  • Sequence Number Sequence Number
  • MAC Address Spoofing ", http://home.jwu.edu/jwright/, January 21, 2003).
  • These sequence numbers managed at low level in the radio card, are necessarily incremented by one unit for each packet sent. This makes it possible to identify important variations between several successive packets sent by the same MAC address. By comparing these variations with predefined thresholds, it is possible to detect anomalies in the packets appearing coming from a MAC address, and to deduce the probable usurpation of this address by an attacker.
  • the invention proposes a new technique for detection of access point spoofing by using time information contained in frames.
  • a passive radio listening makes it possible to recover exchanged frames.
  • Specific frames identifying access points are stored.
  • time information present in the frames is compared. If the difference between the time information does not correspond to an expected value, then there is detection of an address spoofing and possibly triggering an alarm signaling the access point address spoofing.
  • Frames are data packets whose structure and content are defined in the communication standard used.
  • the invention proposes a method for detecting address spoofing in a wireless network.
  • the method comprises the steps of obtaining frames comprising an address of a device having transmitted the frame and a time tag representative of the instant of transmission of the frame by said device; analyzing the time tags included in the frames having the same transmission device address; and detecting a spoofing of said address based on the analysis of said time tags.
  • the invention proposes a computer program on a data medium and loadable in the internal memory of a computer associated with a wireless interface, the program comprising portions of code for the execution of the steps of the process when the program - AT -
  • the data carrier may be a hardware storage medium, for example a CDROM, a magnetic diskette, a hard disk, a memory circuit, or a transmissible medium such as an electrical, optical or radio signal.
  • the invention proposes a device for detecting an address spoof in a wireless network.
  • the detection device comprises means for obtaining frames, said frames comprising an address of an A - device 'that sent the frame ⁇ ' ⁇ and a "time stamp representative of the time of the frame transmission by the device and time tag analysis means included in the frames having the same transmission device address, said analysis means being able to detect a spoofing of said address as a function of the analysis of said time tags.
  • the invention proposes a monitoring system for a wireless network, comprising means for capturing a set of frames and a detection device as previously defined.
  • the frames further comprise time interval information separating the sending of two successive frames by the transmitting device.
  • the analysis of the time tags of two frames corresponding to the same transmission device address comprises the steps of calculating a difference between the time tags of the two frames, comparing the calculated difference with the time interval, and detecting the spoofing of the sender's address when the calculated difference is not equal to a multiple of the time interval.
  • the multiple is less than a predefined integer.
  • the frames further comprise a destination address.
  • the analysis of the time tags of two frames corresponding to the same transmission device address and having the same destination address comprises the steps of calculating a difference between the time tags of the two frames, comparing the difference calculated with a threshold, and detection of the usurpation of the address of the transmitter when the calculated difference is greater than or equal to said threshold.
  • an address spoof is detected if the difference between the time tags of the two frames is zero. .
  • FIG. 1 represents an access point theft detection device according to the invention
  • FIG. 2 represents an exemplary flow diagram of the operation of the device of FIG. 1,
  • FIG. 3 represents an exemplary implementation of a detection device within a wireless network.
  • a client device must identify at least one access point; - A suitable access point to the client device, if multiple access points are available the client chooses the one that seems best suited to him according to various selection criteria, the client requests to authenticate with the access point;
  • the client requests to associate with the access point.
  • An access point spoofing attack occurs as early as the identification phase of the access point before the authentication request. This identification phase can be done according to two techniques.
  • a first technique is carried out passively by the client device.
  • the client device listens one or more radio channels, successively or simultaneously, to search for frames having specific beacon frames, the IEEE802.11 standard calls them BEACON Trame.
  • the BEACON frames are sent regularly by an access point and contain various information including: a network identifier (SSID), the MAC address of the access point, and communication parameters usable by the access point. From this information, the customer. has _desjnfQrmatioJis_to initiate communication with the access point and possibly to choose the most appropriate access point to communicate if multiple access points are detected.
  • a second technique is performed actively by the client device, this is particularly the case when the access points operate in "hidden” mode.
  • the client sends an access point search frame, named PROBE REQUEST frame in the IEEE802.11 standard.
  • the PROBE REQUEST frames contain, among others, the desired network identifier (SSID) and the MAC address of the client device.
  • An access point corresponding to the requested network which receives a PROBE REQUEST frame responds by sending a PROBE RESPONSE frame which includes information among which: a network identifier (SSID), the MAC address of the access point , the MAC address of the client device, and communication parameters that can be used by the access point.
  • SSID network identifier
  • the attacker When using an illegitimate access point on the radio path, the attacker usually uses a complete spoofing technique completed by the access point: same network name (SSID), same MAC address. But it does not usually use the same radio channel for radio interference issues.
  • SSID network name
  • MAC address same MAC address
  • the invention is based on a parameter present in the BEACON frames and the PROBE RESPONSE 1 frames, namely a time tag (called TIMESTAMP in the standard). It is required for these two types of frames, it is coded on 64 bits and is expressed in microseconds, which allows to account for 2 of 64 microseconds (approximately 585,000 years).
  • the time tag of a frame includes a temporal information relating to the transmission of this frame, here constituted by the value of a clock of the access point which transmitted the frame at the transmission time of this frame. The clock is usually set to zero when the access point is started.
  • the time tag is generated by the pilot program of the 802.11 radio card at the time of transmission of the frame. It is therefore possible thanks to this label to know how long the access point has been started.
  • the invention is based therefore "safe detection of a difference between the timestamps generated by two access points: one legitimate and one illegitimate While two access points communicate two labels. different time at the same time when they have the same MAC address, it is then possible to distinguish them, and thus to affirm that an attacker is usurping the MAC address of a legitimate access point This is valid for BEACON frames and PROBE RESPONSE frames.
  • both types of attacks are detected simultaneously. But, it is possible to treat separately the detection of these two types of attacks.
  • BEACON frames are regularly transmitted by an access point.
  • Each BEACON frame has a time tag that is incremented by the time between sending two frames.
  • the time separating two BEACON frames corresponds to a fixed time interval which is indicated by an interval information (called BEACON INTERVAL in the IEEE802.11 standard) which is present in the frame.
  • BEACON INTERVAL in the IEEE802.11 standard
  • the time tag is incremented by a duration corresponding to the interval information.
  • it is possible that some frames are lost for various reasons. To avoid false alarms due to a loss of frame, it is possible to simply check that the time difference between two frames is equal to a non-zero multiple of the interval information. If two frames are received with the same time tag, that is, if the time difference between the two frames is zero, it is clear that the frame has been issued twice by a legitimate access point and an illegitimate access point.
  • the time tag of the frame that has just been received is compared with the time tag of the previous frame, and the difference between the two temporal labels: - If the value of the difference between the time tags is different from a multiple of the interval information, then the current and previous frames were issued by two different devices: detection of the illegitimate access point. Or if the value of the difference between the time labels is equal to zero, then the same frame was emitted twice, which is a sign of an active attack of an illegitimate access point that synchronized its time tag. with that of the access point, legitimate, - but the false access point is still -detected. It is then necessary to emit an alarm and delete the two frames concerned from the table to reset the detection.
  • the frame is valid and sent by a device whose MAC address has not been usurped. We can delete the previous frame of the table and keep only the last frame received.
  • the method described above can be improved by considering an additional detection threshold.
  • an illegitimate access point can synchronize with the legitimate access point. The detection is then done on the repetition of a time tag.
  • an illegitimate access point it is possible for an illegitimate access point to anticipate this detection by providing a time tag that uses a time tag far removed from the time tag of the legitimate access point while maintaining a label difference that is a multiple of interval information.
  • a comparison is added with a maximum difference threshold which is equal to the sliding time window of study.
  • the threshold is added simply by considering that the multiple of the interval information must be less than a predefined integer corresponding to the sliding study time slot divided by the interval information. In this case, it is necessary to keep all the stored frames that are received for a period corresponding to the sliding time window of study.
  • PROBE RESPONSE frames For the detection of attacks using PROBE RESPONSE frames, it should be noted that these messages are one-off messages sent in response to a PROBE REQUEST frame issued by a client device. This mechanism is implemented when access points operate in "hidden" mode. Normally, a PROBE REQUEST frame corresponds to a single PROBE RESPONSE frame. However, it is possible that the PROBE RESPONSE frame is not correctly received by the client device and that the latter repeats its request and that the same access point sends a few PROBE RESPONSE frames to the same client device. These messages are few and relatively close in time because they correspond to the repetitions of PROBE REQUEST frames which are for example issued every 100 ms by the client device in the absence of response.
  • the PROBE RESPONSE frame time tag of the illegitimate access point corresponds to the duration since its initialization. The probability that this temporal label is close to that of the legitimate access point is relatively low, so it can be considered that if two time labels are too far apart in time, for example of a duration greater than a few seconds, it can not be the same access point.
  • the illegitimate access point could use the same time tag as a PROBE RESPONSE frame.
  • the detection of two PROBE RESPONSE frames having the same time tag means that the two frames do not come from a single access point.
  • a third case could be considered where the illegitimate access point would synchronize with the legitimate access point to provide consistent time messages. However, considering the time required to synchronize the illegitimate access point with the legitimate access point, it is unlikely that such synchronization could be successfully achieved because there are few messages sent on a rather short duration.
  • One way to identify such attacks is:
  • RESPONSE in an array of a memory for a given duration It is not necessary to store frames indefinitely because these frames are of a one-off nature. It is necessary to use a slippery time window of study which is important enough to be sure that no PROBE RESPONSE frame can be taken into account after a first frame but short enough not to need to use memory space unnecessarily. For example, a given maximum duration of 10 seconds may be suitable.
  • the array On receipt of a PROBE RESPONSE frame, and after having stored its frame in the array, the array is searched for a frame corresponding to a previous PROBE RESPONSE frame having the same access point MAC address, ie ie the same sender address, and the same user device MAC address, i.e. the same destination address.
  • the difference value is lower than the threshold and not zero, then the frame is valid and sent by a device whose MAC address has not been usurped. We can delete the previous frame of the table and keep only the last frame received.
  • FIG. 1 describes a detection device comprising a computer 1 connected to a plurality of radio interfaces 2.
  • the computer 1 is for example a standard computer which comprises a central unit 10 connected to a central bus 11.
  • a memory 12 which may comprise several memory circuits is connected to the bus 11 to cooperate with the central unit 10, the memory 12 serving both data memory and program memory.
  • Zones 13 and 14 are provided for storing BEACON frames and PROBE RESPONSE frames.
  • a video interface 15 is connected to the bus 11 in order to be able to display messages for an operator.
  • the screen is not shown because it is not necessary. However, according to an alternative embodiment, it is possible to use the screen to display alarms to an operator when an illegitimate access point is detected.
  • a peripheral management circuit 16 is connected to the bus 11 to link with different peripherals according to a known technique.
  • a network interface 17 which makes it possible to communicate with a not shown wired network
  • a hard disk 18 serving as the main read-only memory for the programs and data
  • a floppy diskette reader 19 a CDROM reader 20, a keyboard 21, a mouse 22 and a standard interface port 23.
  • the floppy diskette reader 19, the CDROM reader 20, the keyboard 21 and the mouse 22 are removable. can be deleted after installation of an access point spoof detection software in the hard disk 18.
  • the hard disk 18 can be replaced by another type of equivalent read-only memory, such as for example a Flash memory type .
  • the standard interface port 23 is a port compatible with a standard of communication between the computer and des. external interfaces. In our example, the interface port 23 is for example a PCMCIA standard port or a USB standard port.
  • At least one radio interface 2 is connected to the interface port 23, but according to different variants, it is possible to use several radio interfaces 2.
  • the radio interfaces compatible with the IEEE802.11 standard have radio means only allowing to listen simultaneously a reduced number of radio channels.
  • the one or more interfaces are configured to listen to all radio traffic on each listened channel.
  • this interface will be configured to listen to all messages exchanged on a channel, and the program will change channels regularly to listen sequentially to all channels.
  • Figure 2 illustrates an operating flow chart of a program implementing access point spoofing detection.
  • the two types of frames are detected with global listening of the entire radio communication band.
  • the program begins with a step 100, during which the Radio interfaces 2 are configured in global listening mode to receive and decode all the frames conveyed by radio on the listened channels. During this step 100, the radio interfaces are positioned on channels to cover all the channels usable by a wireless network in a given space. The detection device is then in a listening stage 101.
  • the listening step 101 is a waiting step for all the radio interfaces 2. If a message does not contain any frames, it remains in tune. If a radio interface 2 receives a frame, then it decodes it and transmits the frame to the central unit 10. The test 102 illustrates this change of state for a radio interface 2. It should be noted that several interfaces can receive frames at the same time and that frames can be delayed in the processing at the level of the interface manager which serves as a buffer between the radio interfaces 2 and the central unit 10. This type of standby depends on the operating system of the computer and will not be described.
  • the central unit On receiving a frame, the central unit identifies, during the test 103, whether it is a BEACON frame or a PROBE REQUEST frame. If it is not a BEACON or PROBE REQUEST frame, then the operation stops there and the device returns to the listening step 101. If it is a BEACON frame or PROBE REQUEST, the frame is then stored in the memory 12 during a storage step 104.
  • the BEACON frames are stored in a first array corresponding to the memory zone 13, and the PROBE REQUEST frames are stored in a second array corresponding to the memory zone 14.
  • the tables are purified in order to erase the stored frames that are too old to avoid unnecessary storage of data. Frames considered too old are those that have been stored for a period longer than the study window. Then a comparison step 105 is performed.
  • the comparison step 105 consists in comparing the last stored frame with all the frames present in the table where it has been stored.
  • the BEACON frames all the previous BEACON frames having the same transmitter MAC address are searched in the table, then, for the identified frames, the conformity of the time tags is checked, as indicated above.
  • the PROBE RESPONSE frames all the frames corresponding to previous PROBE RESPONSE frames having the same transmitter MAC address and the same destination MAC address are searched in the table, for the identified frames, the conformity of the frames is verified. time labels. as . indicated previously.
  • the test 106 is carried out.
  • the test 106 closes the processing carried out on the frame, if the time tag is compliant with the time tag of each frame that has been compared, then the central unit returns to the listening step 101. If the difference does not conform to an expected difference as previously defined, then an alarm step 107 is performed.
  • the alarm step 107 consists of notifying an alarm indicating that an access point is being attacked by address spoofing.
  • the notification of the alarm is preferably done by sending an electronic message, via the network interface 17, to a network server that controls the radio access points. If the detection device is connected to a control screen, it is also possible to display the alarm on the control screen. Then, as indicated previously, the stored frames that are the subject of the alarm are erased from the table where they were stored and we return to the listening step 101.
  • Figure 3 shows a wireless network disposed in a large room 200.
  • a server 201 supervises a wired network 202.
  • Access points 203 to 208 are connected to the wired network 202 and serve as bridges between the wireless network and the wired network.
  • Access points 203 to 208 are located in room 200 at different locations to obtain good radio coverage.
  • An access point operating, for example, in the frequency range at 5 GHz can cover a few hundred m 2 . Otherwise, 5 GHZ signals pass through obstacles such as partitions and the coverage of an access point can be reduced to a few tens of m 2 . To cover an airport correspondence room or an office shelf, several access points are required.
  • detection devices 221 and 222 In order to ensure that no access point address spoofing attack takes place, detection devices 221 and 222 should be placed.
  • Each detection device 221 or 222 corresponds, for example, to the device. represented in FIG. 1 and implements a program corresponding to the flowchart of FIG. 2.
  • the detection devices 221 and 222 are connected to the network 202 and each have a radio coverage 231 and 232 shown in broken lines. Normally, the detection devices are also placed to provide radio coverage over the entire room 200. However, it is possible that regions of the room 200 are not physically accessible to a device seeking to enter the network. and therefore it is not necessary to cover them. Similarly, an area that is not covered by at least one of the access points may not be controlled because the intruder must necessarily be in an area covered by an access point to receive frames from the point of access. legitimate access.
  • the placement of the detection devices is subject to the same radio coverage constraints as the access points. However, access points must also provide a certain amount of data that can impose many overlaps of their coverage. The devices are not subject to this problem of minimum flow rate to ensure and may be less numerous than the access points. Detection devices having common coverage areas also provide two alarms instead of one if an intruder is placed in a common area, which makes the detection more reliable.

Abstract

L'invention propose une technique de détection d'usurpation de point d'accès dans un réseau sans fil. Une écoute (101) radio passive permet de récupérer des trames échangées. Des trames spécifiques identifiant des points d'accès sont stockées (104). Lorsque deux trames provenant d'un même point d'accès sont mémorisées, des informations temporelles présentes dans les trames sont comparées (105). Si la différence entre les informations temporelles ne correspond pas à une valeur attendue, alors il y a détection d'une usurpation d'adresse.

Description

PROCEDE, DISPOSITIF ET PROGRAMME PE DETECTION D'USURPATION DE POINT D'ACCES.
La présente invention concerne les technologies d'accès sans fil à des réseaux de télécommunications. Elle s'applique notamment aux technologies de type IEEE 802.11 normalisées par Plnstitute of Electrical and Electronics Engineers (IEEE). Les technologies IEEE 802.11 sont très utilisées dans les réseaux . d'entreprise,, résidentjejs_ainsl. que . dans.J.es .zones, d'usage, intensif. ("hot spots"). Plus particulièrement, l'invention se rapporte à un piratage de réseau sans fil par usurpation d'adresse de point d'accès.
Par le terme "trame", on entend désigner un ensemble de données formant un bloc transmis dans un réseau et renfermant des données utiles et des informations de service, généralement situées dans une zone d'en-tête du bloc. Une trame peut-être qualifiée de paquet de données, de datagramme, de bloc de données, ou autre expression de ce type.
Avec le succès et la démocratisation des technologies d'accès sans fil, des techniques de piratage sont apparues.
Actuellement, un des risques les plus importants pour ce type de réseaux est l'attaque par point d'accès illégitime, qui consiste à créer un faux point d'accès en usurpant complètement les caractéristiques, notamment l'adresse de couche MAC ("Médium Access Control"), d'un point d'accès légitime, contrôlé par l'administrateur du réseau sans fil. Les faux points d'accès n'usurpant pas une adresse MAC d'un point d'accès légitime sont relativement faciles à détecter par simple vérification d'adresse MAC.
Le point d'accès est un élément primordial de la communication entre un client et un réseau. De ce fait, c'est un point critique, et donc intéressant pour les attaquants. Des attaques mettant en œuvre de faux points d'accès sont apparues afin de:
• récupérer des identifiants de connexion pour des utilisateurs qui sont authentifiés au moyen de "portails captifs" en se faisant passer pour un point d'accès légitime afin d'intercepter des données d'identification telles que les identifiants de connexion;
intercepter des communications en réalisant une attaque de type "man in the middle", c'est-à-dire en simulant le comportement d'un point d'accès légitime vis-à-vis de l'utilisateur sans fil et celui d'un utilisateur sans fil vis- à-vis du point d'accès légitime afin d'intercepter toutes les communications;
ouvrir tout un- réseau -d'entreprise en " laissant ~~uτπ~ point "d'accès directement connecté au réseau de l'entreprise en mode ouvert, c'est-à- dire sans aucune authentification ni chiffrement de la voie radio, ce point d'accès acceptant par défaut toute demande de connexion.
Ces attaques sont difficilement détectables quand elles mettent en œuvre une technique d'usurpation d'adresse MAC. Il est alors plus difficile de distinguer deux équipements différents de la même catégorie (point d'accès) émettant à partir d'une même adresse MAC. L'arrivée des nouveaux standards plus sécurisés (1EEE802.11i) n'empêchera pas l'utilisation de points d'accès illégitimes car l'intérêt pour l'attaquant sera toujours présent.
Il existe donc un besoin pour un procédé de détection d'usurpation d'adresse MAC de point d'accès
Une technique connue de détection d'usurpation d'adresse MAC repose sur l'analyse du champ de numéro de séquence ("Séquence Number") des trames, ou paquets de données, IEEE802.11 (voir J. Wright, "Detecting Wireless LAN MAC Address Spoofing", http://home.jwu.edu/jwright/, 21 janvier 2003). Ces numéros de séquence, gérés à bas niveau dans la carte radio, sont obligatoirement incrémentés d'une unité à chaque paquet émis. Ceci permet de repérer des variations importantes entre plusieurs paquets successifs émis par une même adresse MAC. En comparant ces variations à des seuils prédéfinis, on peut détecter des anomalies dans les paquets apparaissant en provenance d'une adresse MAC, et en déduire la probable usurpation de cette adresse par un attaquant. Cette technique nécessite la gestion de seuils très précis et délicats à positionner. Il est difficile de la mettre en œuvre à elle seule et de s'assurer de l'absence de faux positifs (fausses alarmes) et de faux négatifs (attaques non détectées). La difficulté principale réside dans la gestion des pertes de paquets, par exemple lors d'une transmission à longue distance. En effet, certains paquets sont alors perdus, ce qui entraîne des problèmes de faux positifs car les numéros de séquence varient fortement d'un paquet à l'autre. Il est nécessaire de gérer les seuils de détection de manière très fine. C'est la raison pour laquelle il est intéressant de coupler ce type de technique avec une autre afin de cqrré]e_r_(e_s_aiarmes_et.d!.avoir_uπe.confiance-plus-élevée- dans un ensemble de plusieurs techniques plutôt qu'une seule.
L'invention propose une nouvelle technique de détection d'usurpation de point d'accès par utilisation d'informations temporelles contenues dans des trames. Une écoute radio passive permet de récupérer des trames échangées. Des trames spécifiques identifiant des points d'accès sont stockées. Lorsque deux trames provenant d'un même point d'accès sont mémorisées, des informations temporelles présentes dans les trames sont comparées. Si la différence entre les informations temporelles ne correspond pas à une valeur attendue, alors il y a détection d'une usurpation d'adresse et éventuellement déclenchement d'une alarme signalant l'usurpation d'adresse de point d'accès. Les trames sont des paquets de données dont la structure et le contenu sont définis dans le standard de communication utilisé.
Selon un premier aspect, l'invention propose un procédé de détection d'usurpation d'adresse dans un réseau sans fil. Le procédé comprend les étapes d'obtention de trames comprenant une adresse d'un dispositif ayant émis la trame et une étiquette temporelle représentative de l'instant d'émission de la trame par ledit dispositif; d'analyse des étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission; et de détection d'une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.
Selon un deuxième aspect, l'invention propose un programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à une interface sans fil, le programme comprenant des portions de code pour l'exécution des étapes du procédé lorsque le programme - A -
est exécuté sur ledit ordinateur. Le support de données peut être un support matériel de stockage, par exemple un CDROM, une disquette magnétique, un disque dur, un circuit de mémoire, ou bien un support transmissible tel qu'un signal électrique, optique ou radio.
Selon un autre aspect, l'invention propose un dispositif de détection d'une usurpation d'adresse dans un réseau sans fil. Le dispositif de détection comprend des moyens d'obtention de trames, lesdites trames comprenant une adresse dAun - dispositif' ayant émis lâ~ Trame' et ~ùnë "étiquette temporelle représentative de l'instant d'émission de la trame par le dispositif; et des moyens d'analyse des d'étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission, lesdits moyens d'analyse étant aptes à détecter une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.
Selon un aspect plus général, l'invention propose un système de surveillance pour un réseau sans fil, comprenant des moyens pour capter un ensemble de trames et un dispositif détection tel que précédemment défini.
Selon un mode de réalisation particulier, les trames comportent en outre une information d'intervalle temporel séparant l'envoi de deux trames successives par le dispositif d'émission. L'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission comporte les étapes de calcul d'une différence entre les étiquettes temporelles des deux trames, de comparaison de la différence calculée avec l'intervalle temporel, et de détection de l'usurpation de l'adresse de l'émetteur lorsque la différence calculée n'est pas égale à un multiple de l'intervalle temporel. Préférentiellement, le multiple est inférieur à un entier prédéfini.
Selon un autre mode de réalisation particulier, les trames comportent en outre une adresse de destination. L'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission et ayant une même adresse de destination comporte les étapes de calcul d'une différence entre les étiquettes temporelles des deux trames, de comparaison de la différence calculée avec un seuil, et de détection de l'usurpation de l'adresse de l'émetteur lorsque la différence calculée est supérieure ou égale audit seuil.
Selon un mode préféré, on détecte une usurpation d'adresse si la différence entre les étiquettes temporelles des deux trames est nulle. .
L'invention sera mieux comprise et d'autres particularités et avantages apparaîtront à la lecture de la description qui va suivre, la description faisant référence aux dessins annexés parmi lesquels ; ;...
la figure 1 représente un dispositif de détection d'usurpation de point d'accès selon l'invention,
la figure 2 représente un exemple d'organigramme de fonctionnement du dispositif de la figure 1 ,
la figure 3 représente un exemple de mise en œuvre d'un dispositif de détection au sein d'un réseau sans fil.
Dans un premier temps, nécessaire à la compréhension de l'invention, il convient de détailler le procédé d'association d'un client à un point d'accès selon le standard IEEE802.11, l'association correspondant à la connexion d'un client au réseau par liaison radio. L'association se déroule en plusieurs phases :
- tout d'abord, un dispositif client doit identifier au moins un point d'accès ; - un point d'accès convenant au dispositif client, si plusieurs points d'accès sont disponibles le client choisit celui qui lui paraît le mieux adapté selon différents critères de choix, le client demande à s'authentifier auprès du point d'accès ;
- si l'authentification a réussi, alors le client demande à s'associer auprès du point d'accès.
Une attaque par usurpation de point d'accès se déroule dès la phase d'identification du point d'accès avant la demande d'authentification. Cette phase d'identification, peut se faire selon deux techniques.
Une première technique est réalisée de manière passive par le dispositif client. Le dispositif client écoute un ou plusieurs canaux radio, de manière successive ou simultanée, pour rechercher des trames ayant des trames spécifiques dites de balise, le standard IEEE802.11 les nomme Trame BEACON. Les trames BEACON sont envoyées régulièrement par un point d'accès et contiennent différentes informations parmi lesquelles: un identifiant du réseau (SSID), l'adresse MAC du point d'accès, et des paramètres de communication utilisables par le point d'accès. A partir de ces informations, le client. dispose _desjnfQrmatioJis_permettant d'amorcer une communication avec le point d'accès et éventuellement de choisir le point d'accès le plus approprié pour communiquer si plusieurs points d'accès sont détectés.
Une deuxième technique est réalisée de manière active par le dispositif client, c'est notamment le cas lorsque les points d'accès fonctionnent en mode "caché". Le client envoie une trame de recherche de points d'accès, nommée trame PROBE REQUEST dans le standard IEEE802.11. Les trames PROBE REQUEST contiennent, entre autres, l'identifiant du réseau (SSID) recherché et l'adresse MAC du dispositif client. Un point d'accès correspondant au réseau demandé qui reçoit une trame PROBE REQUEST répond par l'envoi d'une trame PROBE RESPONSE qui comporte des informations parmi lesquelles : un identifiant du réseau (SSID), l'adresse MAC du point d'accès, l'adresse MAC du dispositif client, et des paramètres de communication utilisables par le point d'accès.
Lors de l'utilisation d'un point d'accès illégitime sur la voie radio, l'attaquant utilise généralement une technique d'usurpation complété du point d'accès : même nom de réseau (SSID), même adresse MAC. Mais il n'utilise généralement pas le même canal radio pour des questions d'interférences radio.
Pour détecter une attaque, l'invention se base sur un paramètre présent dans les trames BEACON et les trames PROBE RESPONSE1 à savoir une étiquette temporelle (appelée TIMESTAMP dans la norme). Celle-ci est obligatoire pour ces deux types de trames, elle est codée sur 64 bits et est exprimée en microsecondes, ce qui permet de représenter 264 microsecondes (environ 585000 années). L'étiquette temporelle d'une trame comprend une information temporelle relative à l'émission de cette trame, constituée ici de la valeur d'une horloge du point d'accès ayant émis la trame à l'instant d'émission de cette trame. L'horloge est généralement mise à zéro lors du démarrage du point d'accès. L'étiquette temporelle est générée par le programme pilote de la carte radio 802.11 à l'instant d'émission de la trame. Il est donc possible grâce à cette étiquette de connaître depuis combien de temps le point d'accès a été démarré.
~~ L'invention repose donc "sûr la détection d'une différence entre les étiquettes temporelles générées par deux points d'accès : l'un légitime, et l'autre illégitime. En effet, si deux points d'accès communiquent deux étiquettes temporelles différentes au même moment alors qu'ils ont la même adresse MAC, il est alors possible de les distinguer, et donc d'affirmer qu'un attaquant est en train d'usurper l'adresse MAC d'un point d'accès légitime. Ceci est valable pour les trames BEACON et les trames PROBE RESPONSE.
Dans un mode de réalisation préféré, les deux types d'attaques sont détectés simultanément. Mais, il est possible de traiter séparément la détection de ces deux types d'attaques.
Pour la détection d'attaques utilisant des trames BEACON, il convient de noter que les trames BEACON sont régulièrement émises par un point d'accès. Chaque trame BEACON dispose d'une étiquette temporelle qui est incrémentée de la durée séparant l'envoi de deux trames. Or le temps séparant deux trames BEACON correspond à un intervalle de temps fixe qui est indiqué par une information d'intervalle (appelée BEACON INTERVAL dans le standard IEEE802.11) qui est présente dans la trame. Ainsi lorsque l'on reçoit deux trames BEACON, il convient de vérifier que l'étiquette temporelle est bien incrémentée d'une durée correspondant à l'information d'intervalle. Par ailleurs, il est possible que certaines trames soient perdues pour diverses raisons. Pour éviter de fausses alarmes dues à une perte de trame, il est possible de se contenter de vérifier que la différence temporelle entre deux trames est égale à un multiple non nul de l'information d'intervalle. Si deux trames sont reçues avec une même étiquette temporelle, autrement dit si la différence temporelle entre les deux trames est nulle, il est clair que la trame a été émise deux fois par un point d'accès légitime et un point d'accès illégitime.
Une façon de procéder pour repérer ce type d'attaque est la suivante :
a) Ecoute de la voie radio de manière passive. Cette écoute peut se faire sur tous les canaux de la bande de fréquence utilisée selon le standard IEEE802.11 ou sur un seul canal à la fois en effectuant des sauts de canal de manière régulière. Dans le cas de sauts de canal, il est évident que de nombreuses trames seront perdus mais comme les trames . BEACON . sont émises de manière répétitive, il est clair que l'on pourra recevoir deux trames dans le cas d'une attaque et que l'on pourra comparer les étiquettes temporelles pour vérifier leur conformité.
b) Stockage des trames correspondant à des trames BEACON reçues dans un tableau d'une mémoire pendant une durée donnée. Il n'est pas nécessaire de stocker les trames de manière indéfinie car plusieurs trames provenant d'un point d'accès légitime apportent la même information. Et si un point d'accès n'envoie plus de trame pendant une certaine durée, c'est parce qu'il n'est plus en fonctionnement. Il convient d'utiliser une fenêtre temporelle glissante d'étude qui soit suffisamment importante pour permettre un balayage de tous les canaux si l'on écoute un seul canal à la fois, et suffisamment importante pour s'affranchir d'éventuelles pertes de trames à cause de la qualité de transmission mais suffisamment courte pour ne pas avoir à utiliser inutilement de l'espace mémoire. A titre d'exemple une durée donnée maximale de 10 secondes peut convenir.
c) A réception d'une trame BEACON, et après avoir stocké la trame dans le tableau, on recherche dans le tableau une trame BEACON précédente ayant une même adresse MAC de point d'accès, c'est-à-dire une même adresse d'émetteur.
d) Lorsqu'une trame BEACON envoyée par le même point d'accès a été trouvée, on compare l'étiquette temporelle de la trame qui vient d'être reçue avec l'étiquette temporelle de la trame précédente, et on calcule la différence entre les deux étiquettes temporelles : - Si la valeur de la différence entre les étiquettes temporelles est différente d'un multiple de l'information d'intervalle, alors les trames actuelles et précédentes ont été émises par deux équipements différents : détection du point d'accès illégitime. Ou si la valeur de la différence entre les étiquettes temporelles est égale à zéro, alors la même trame a été émise deux fois, ce qui est un signe d'une attaque active d'un point d'accès illégitime qui a synchronisé son étiquette temporelle avec celle du point d'accès, légitime,- mais le faux point d'accès est quand même -détecté. Il convient alors d'émettre une alarme et d'effacer les deux trames concernées du tableau pour réinitialiser la détection.
- Si, par contre la valeur retournée est égale à un multiple non nul de l'information d'intervalle, alors la trame est bien valide et envoyée par un équipement dont l'adresse MAC n'a pas été usurpée. On peut effacer la trame précédente du tableau et ne garder que la dernière trame reçue.
e) on recommence à l'étape a).
Le procédé décrit précédemment peut être amélioré en considérant un seuil de détection supplémentaire. Comme on l'a vu précédemment, un point d'accès illégitime peut se synchroniser avec le point d'accès légitime. La détection se fait alors sur la répétition d'une étiquette temporelle. Toutefois, il est possible qu'un point d'accès illégitime anticipe cette détection en fournissant une étiquette temporelle qui utilise une étiquette temporelle très éloignée de l'étiquette temporelle du point d'accès légitime tout en conservant une différence d'étiquette qui soit un multiple de l'information d'intervalle. A cet effet, on ajoute une comparaison avec un seuil de différence maximale qui est égal à la fenêtre temporelle glissante d'étude. Le seuil est ajouté simplement en considérant que le multiple de l'information intervalle doit être inférieur à un entier prédéfini correspondant à la fenêtre temporelle glissante d'étude divisée par l'information d'intervalle. Dans ce cas là, il convient de conserver toutes les trames mémorisées qui sont reçues pendant une durée correspondant à la fenêtre temporelle glissante d'étude.
Pour la détection d'attaques utilisant des trames PROBE RESPONSE, il convient de noter que ces messages sont des messages ponctuels émis en réponse à une trame PROBE REQUEST émis par un dispositif client. Ce mécanisme est mis en œuvre lorsque les points d'accès fonctionnent en mode "caché". Normalement, à une trame PROBE REQUEST correspond une unique trame PROBE RESPONSE. Toutefois, il est possible que la trame PROBE RESPONSE ne soit pas correctement reçu par le dispositif client et que celui-ci réitère sa demande et qu'un même point d'accès émette quelques trames PROBE RESPONSE à destination d'un même dispositif client. Ces messages sont peu nombreux et relativement rapprochés dans le temps car ils correspondent aux répétitions de trames PROBE REQUEST qui sont par exemple émis toutes les 100 ms par le dispositif client en l'absence de réponse.
Afin de couvrir le cas où plusieurs trames PROBE RESPONSE sont envoyées, il convient de comparer les étiquettes temporelles de deux trames PROBE RESPONSE. Deux cas peuvent survenir en cas d'attaque. Dans un premier cas, l'étiquette temporelle de trame PROBE RESPONSE du point d'accès illégitime correspond à la durée depuis son initialisation. La probabilité que cette étiquette temporelle soit proche de celle du point d'accès légitime est relativement faible ainsi, on peut considérer que si deux étiquettes temporelles sont trop éloignées dans le temps, par exemple d'une durée supérieure à quelques secondes, il ne peut s'agir d'un même point d'accès. Dans un deuxième cas, pour s'affranchir de l'étiquette temporelle, le point d'accès illégitime pourrait utiliser la même étiquette temporelle qu'une trame PROBE RESPONSE. Dans ce deuxième cas, la détection de deux trames PROBE RESPONSE ayant la même étiquette temporelle signifie que les deux trames ne proviennent pas d'un unique point d'accès.
On pourrait considérer un troisième cas où le point d'accès illégitime se synchroniserait avec le point d'accès légitime afin de fournir des messages temporels cohérents. Toutefois, si l'on considère le temps nécessaire pour synchroniser le point d'accès illégitime avec le point d'accès légitime, il est peu probable qu'une telle synchronisation puisse être réalisée avec succès car il y a peu de messages envoyés sur une durée assez brève. Une façon de procéder pour repérer ce type d'attaques est la suivante :
a) Ecoute de la voie radio de manière passive. Cette écoute se fait préférentiellement sur tous les canaux de la bande de fréquence utilisée selon le standard IEEE802.11 afin d'éviter toute perte de trame.
b) Stockage des trames correspondant à des trames PROBE
RESPONSE dans un tableau d'une mémoire pendant une durée donnée. Il n'est pas nécessaire de stocker les trames de manjère indéfinie car ces trames., sont de nature ponctuelle. Il convient d'utiliser une fenêtre temporelle glissante d'étude qui soit suffisamment importante pour être sûr qu'aucune trame PROBE RESPONSE puisse être prise en compte après une première trame mais suffisamment courte pour ne pas avoir à utiliser inutilement de l'espace mémoire. A titre d'exemple une durée donnée maximale de 10 secondes peut convenir.
c) A réception d'une trame PROBE RESPONSE, et après avoir stocké sa trame dans le tableau, on recherche dans le tableau une trame correspondant à une trame PROBE RESPONSE précédente ayant une même adresse MAC de point d'accès, c'est-à-dire une même adresse d'émetteur, et une même adresse MAC de dispositif utilisateur, c'est-à-dire une même adresse de destination.
d) Lorsqu'une trame PROBE RESPONSE envoyée par le même point d'accès et à destination d'un même dispositif utilisateur a été trouvé, on compare l'étiquette temporelle de la trame qui vient d'être reçue avec l'étiquette temporelle de la trame précédente, et on calcule la différence entre les deux étiquettes temporelles : - Si la valeur de la différence en valeur absolue entre les étiquettes temporelles est supérieure à un seuil de quelques secondes, alors les trames actuelles et précédentes ont été émises par deux équipements différents : détection du point d'accès illégitime. Ou si la valeur de la différence entre les étiquettes temporelles est égale à zéro, alors la même trame a été émise deux fois, ce qui est un signe d'une attaque active d'un point d'accès illégitime. Il convient alors d'émettre une alarme θt d'effacer les deux trames concernées du tableau pour réinitialiser la détection.
- Si, par contre, la valeur de différence est inférieure au seuil et non nulle, alors la trame est bien valide et envoyée par un équipement dont l'adresse MAC n'a pas été usurpée. On peut effacer la trame précédente du tableau et ne garder que la dernière trame reçue.
e) on recommence à l'étape a).
La mise en œuvre de la détection de point d'accès illégitime peut se faire à l'aide d'un ordinateur muni d'une interface radio conforme avec l'une des couches physiques du standard IEEE802.11 utilisant une liaison radio. Des couches physiques radio sont notamment définies par les standards IEEE802.Ha, IEEE802.11b ou encore IEEE802.11g. La figure 1 décrit un dispositif de détection comprenant un ordinateur 1 relié à une pluralité d'interfaces radio 2.
L'ordinateur 1 est par exemple un ordinateur standard qui comporte une unité centrale 10 reliée à un bus central 11. Une mémoire 12 qui peut comporter plusieurs circuits de mémoire est reliée au bus 11 pour coopérer avec l'unité centrale 10, la mémoire 12 servant à la fois de mémoire de données et de mémoire de programme. Des zones 13 et 14 sont prévues pour la mémorisation des trames BEACON et des trames PROBE RESPONSE. Une interface vidéo 15 est reliée au bus 11 afin de pouvoir afficher des messages pour un opérateur. Dans notre exemple, l'écran n'est pas représenté car celui- ci n'est pas nécessaire. Cependant, selon une variante de réalisation, il est possible d'utiliser l'écran pour afficher des alarmes à un opérateur lorsqu'un point d'accès illégitime est détecté.
Un circuit de gestion des périphériques 16 est relié au bus 11 pour réaliser la liaison avec différents périphériques selon une technique connue. Parmi les périphériques qui pourraient être reliés au circuit de gestion de périphérique, seul les principaux sont représentés : une interface réseau 17 qui permet de communiquer avec un réseau filaire non représenté, un disque dur 18 servant de mémoire morte principale pour les programmes et données, un lecteur de disquette 19, un lecteur de CDROM 20, un clavier 21 , une souris 22 et un port standard d'interface 23. Le lecteur de disquette 19, le lecteur de CDROM 20, le clavier 21 et la souris 22 sont amovibles, ils peuvent être supprimés après installation d'un logiciel de détection d'usurpation de point d'accès dans le disque dur 18. Le disque dur 18 peut être remplacé par un autre type de mémoire morte équivalent, tel que par exemple une mémoire de type Flash. Le port d'interface standard 23 est un port compatible avec un standard de communication entre l'ordinateur et des. interfaces externes. Dans notre exemple, le port d'interface 23 est par exemple un port au standard PCMCIA ou un port au standard USB.
Dans l'exemple préféré, au moins une interface radio 2 est connectée au port d'interface 23, mais selon différentes variantes, il est possible d'utiliser plusieurs interfaces radio 2. Classiquement, les interfaces radio compatibles avec le standard IEEE802.11 disposent de moyens radio ne permettant que d'écouter simultanément un nombre réduit de canaux radio.
Si l'on désire écouter la totalité de la bande de communication, il convient de disposer d'un nombre suffisant d'interfaces pour écouter la totalité des canaux de la bande. Lors de la mise en service d'un programme de détection d'usurpation de point d'accès radio, la ou les interfaces sont configurées pour écouter tout le trafic radio sur chaque canal écouté.
Si l'on se contente d'une écoute réduite, par exemple si on se limite aux attaques basées uniquement sur les trames BEACON, une seule interface suffit. Lors de la mise en service d'un programme de détection, cette interface sera configurée pour écouter tous les messages échangés sur un canal, et le programme changera régulièrement de canal pour écouter de manière séquentielle tous les canaux.
La figure 2 illustre un organigramme de fonctionnement d'un programme mettant en œuvre la détection d'usurpation de point d'accès. Dans cet exemple préféré, on effectue la détection des deux types de trames avec une écoute globale de toute la bande de communication radio.
Le programme commence par une étape 100, au cours de laquelle les interfaces radio 2 sont configurées en écoute globale pour recevoir et décoder toutes les trames véhiculées par radio sur les canaux écoutés. Au cours de cette étape 100, les interfaces radio sont positionnées sur des canaux afin de couvrir la totalité des canaux utilisables par un réseau sans fil dans un espace donné. Le dispositif de détection se trouve ensuite dans une étape d'écoute 101.
L'étape d'écoute 101 est une étape d'attente pour toutes les interfaces radio 2. Si une TnΛën^cë raâio ήë rëçόït aucune trame, ceîie-ci reste à l'écoute. Si une interface radio 2 reçoit une trame, alors elle le décode et transmet la trame à l'unité centrale 10. Le test 102 illustre ce changement d'état pour une interface radio 2. Il est à noter que plusieurs interfaces peuvent recevoir des trames en même temps et que des trames peuvent être retardées dans le traitement au niveau du gestionnaire d'interfaces qui sert de tampon entre les interfaces radio 2 et l'unité centrale 10. Ce type de mise en attente dépend du système d'exploitation de l'ordinateur et ne sera pas décrit.
A réception d'une trame, l'unité centrale identifie, au cours du test 103, s'il s'agit d'une trame BEACON ou d'une trame PROBE REQUEST. S'il ne s'agit pas d'une trame BEACON ou PROBE REQUEST, alors l'opération s'arrête là et le dispositif revient à l'étape d'écoute 101. S'il s'agit d'une trame BEACON ou PROBE REQUEST, la trame est alors stockée dans la mémoire 12 au cours d'une étape de stockage 104.
Durant l'étape de stockage 104, les trames BEACON sont stockées dans un premier tableau correspondant à la zone mémoire 13, et les trames PROBE REQUEST sont stockées dans un deuxième tableau correspondant à la zone mémoire 14. Au cours de cette étape de stockage, les tableaux sont épurés afin d'effacer les trames mémorisées qui seraient trop anciennes afin d'éviter un stockage inutile de données. Les trames considérées trop anciennes sont celles qui ont été stockées pendant une durée supérieure à la fenêtre temporelle d'étude. Puis on effectue une étape de comparaison 105.
L'étape de comparaison 105 consiste à comparer la dernière trame mémorisée avec la totalité des trames présentes dans le tableau où elle a été mémorisée. Ainsi pour les trames BEACON, on recherche dans le tableau toutes les trames BEACON précédentes ayant une même adresse MAC d'émetteur, puis, pour les trames identifiées, on vérifie la conformité des étiquettes temporelles, comme indiqué précédemment. Pour les trames PROBE RESPONSE, on recherche dans le tableau toutes les trames correspondant à de précédentes trames PROBE RESPONSE ayant une même adresse MAC d'émetteur et une même adresse MAC de destination, pour les trames- identifiées, on vérifie la-conformité des-étiquettes temporelles. comme . indiqué précédemment. En fin de comparaison, on effectue le test 106.
Le test 106 clôture le traitement effectué sur la trame, si l'étiquette temporelle est conforme avec l'étiquette temporelle de chaque trame ayant fait l'objet de la comparaison, alors l'unité centrale revient à l'étape d'écoute 101. Si la différence n'est pas conforme à une différence attendue comme précédemment définie, alors on effectue une étape d'alarme 107.
L'étape d'alarme 107 consiste à notifier une alarme indiquant qu'un point d'accès est en train de faire l'objet d'une attaque par usurpation d'adresse. La notification de l'alarme se fait préférentiellement par l'envoi d'un message électronique, via l'interface de réseau 17, à un serveur de réseau qui contrôle les points d'accès radio. Si le dispositif de détection est relié à un écran de contrôle, il est également possible d'afficher l'alarme sur l'écran de contrôle. Puis comme indiqué précédemment, les trames mémorisées faisant l'objet de l'alarme sont effacées du tableau où elles étaient mémorisées et on retourne à l'étape d'écoute 101.
La figure 3 représente un réseau sans fil disposé dans une salle 200 de grande dimension. Un serveur 201 supervise un réseau filaire 202. Des points d'accès 203 à 208 sont reliés au réseau filaire 202 et servent de passerelles entre le réseau sans fil et le réseau filaire. Les points d'accès 203 à 208 sont disposés dans la salle 200 à différent endroits afin d'obtenir un bonne couverture radio.
Un point d'accès fonctionnant, par exemple, dans la gamme de fréquence située à 5 GHz peut couvrir quelques centaines de m2. Par ailleurs, les signaux à 5 GHZ traversent peu les obstacles telles que des cloisons et la couverture d'un point d'accès peut être réduite à quelques dizaines de m2. Pour couvrir une salle de correspondance d'aéroport ou un plateau de bureaux, plusieurs points d'accès sont nécessaires.
Dans l'exemple de la figure 3, on a considéré que les conditions de transmission étaient idéales pour représenter respectivement les zones de couverture 213 à 218 des points d'accès 203 à 208.
Afin de s'assurer, qu'aucune attaque par usurpation d'adresse de point d'accès n'ait lieu, il convient de placer des dispositifs de détection 221 et 222. Chaque dispositif de détection 221 ou 222 correspond, par exemple au dispositif représenté sur la figure 1 et met en œuvre un programme correspondant à l'organigramme de la figure 2.
Les dispositifs de détection 221 et 222 sont reliés au réseau 202 et disposent chacun d'une couverture radio 231 et 232 représentée en traits discontinus. Normalement, les dispositifs de détection sont également placés pour assurer une couverture radio sur la totalité de la salle 200. Toutefois, il est possible que des régions de la salle 200 ne soient pas physiquement accessibles à un dispositif cherchant à s'introduire dans le réseau et donc il n'est pas nécessaire de les couvrir. De même, une zone qui ne serait pas couverte par au moins l'un des points d'accès peut ne pas être contrôlée car l'intrus doit forcément être dans une zone couverte par un point d'accès pour recevoir des trames du point d'accès légitime.
Le placement des dispositifs de détection est soumis aux mêmes contraintes de couverture radio que les points d'accès. Cependant, les points d'accès doivent également assurer un certain débit de données qui peut imposer de nombreux recoupements de leurs couvertures. Les dispositifs ne sont pas soumis à ce problème de débit minimum à assurer et peuvent donc être moins nombreux que les points d'accès. Les dispositifs de détection ayant des zones communes de couverture fournissent en outre deux alarmes au lieu d'une si un intrus est placé dans une zone commune, ce qui fiabilise la détection.

Claims

R E V E N D I C A T I O N S
1. Procédé de détection d'usurpation d'adresse dans un réseau sans fil, comprenant les étapes suivantes :
- obtention de trames (101) comprenant une adresse ι d'un ..dispositif, ayant. émis la trame et une étiquette temporelle représentative de l'instant d'émission de la trame par ledit dispositif;
- analyse (105) des étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission; et
- détection (106) d'une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.
2. Procédé selon la revendication 1 , dans lequel les trames comportent en outre une information d'intervalle temporel séparant l'envoi de deux trames successives par le dispositif d'émission, et dans lequel l'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission comporte les étapes suivante :
- calcul d'une différence entre les étiquettes temporelles des deux trames,
- comparaison de la différence calculée avec l'intervalle temporel,
- détection de l'usurpation de l'adresse de l'émetteur lorsque la différence calculée n'est pas égale à un multiple de l'intervalle temporel.
3. Procédé selon la revendication 2, dans lequel le multiple est inférieur à un entier prédéfini.
4. Procédé selon l'une des revendications 1 ou 2, dans lequel le réseau sans fil est de type IEEE 802.11 et dans lequel les trames sont des trames BEACON.
5. Procédé selon la revendication 1 , dans lequel les trames comportent en outre une adresse de destination, et dans lequel l'analyse des étiquettes temporelles de deux trames correspondant à une même adresse de dispositif d'émission et ayant une même adresse de destination comporte les étapes suivante :
- calcul d'une différence entre les étiquettes temporelles des deux trames,
- comparaison de la différence calculée avec un seuil,
- ^êtectioTi dë rusurpàiïόrrdè Tâdresse de l'émetteur lorsque la différence calculée est supérieure ou égale audit seuil.
6. Procédé selon l'une des revendications 2 à 5, dans lequel on détecte une usurpation d'adresse si la différence entre les étiquettes temporelles des deux trames est nulle.
7. Procédé selon la revendication 5 ou selon la revendication 6 lorsqu'elle dépend de la revendication 5, dans lequel le réseau sans fil est de type IEEE 802.11 et dans lequel les trames sont des trames PROBE RESPONSE.
8. Programme d'ordinateur sur un support de données et chargeable dans la mémoire interne d'un ordinateur associé à une interface sans fil, le programme comprenant des portions de code pour l'exécution des étapes du procédé selon l'une quelconque des revendications précédentes lorsque le programme est exécuté sur ledit ordinateur.
9. Dispositif de détection d'une usurpation d'adresse dans un réseau sans fil, comprenant:
- des moyens d'obtention de trames (2, 16, 23), lesdites trames comprenant une adresse d'un dispositif ayant émis la trame et une étiquette temporelle représentative de l'instant d'émission de la trame par le dispositif; et
- des moyens d'analyse (10, 12-14) des d'étiquettes temporelles comprises dans les trames ayant une même adresse de dispositif d'émission, lesdits moyens d'analyse étant aptes à détecter une usurpation de ladite adresse en fonction de l'analyse desdites étiquettes temporelles.
10. dispositif selon la revendication 9, dans lequel les trames comportent en outre une information d'intervalle temporel séparant l'envoi de deux trames successives par le dispositif d'émission, et dans lequel les moyens d'analyse comportent : -_ des. moyens de calcul aptes à calculer une différence entre- les-étiquettes temporelles de deux trames ayant une même adresse de dispositif d'émission, - des moyens de comparaison aptes à comparer la différence calculée avec l'intervalle temporel,
- des moyens de détection aptes à détecter l'usurpation de l'adresse de l'émetteur lorsque la différence calculée n'est pas égale à un multiple de l'intervalle temporel.
11. Dispositif selon la revendication 9, dans lequel les trames comportent en outre une adresse de destination, et dans lequel les moyens d'analyse comportent:
- des moyens de calcul aptes à calculer une différence entre les étiquettes temporelles de deux trames ayant une même adresse de dispositif d'émission et une même adresse de destination,
- des moyens de comparaison aptes à comparer la différence calculée avec un seuil,
- des moyens de détection aptes à détecter l'usurpation de l'adresse de l'émetteur lorsque la différence calculée est supérieure ou égale audit seuil.
12. Système de surveillance pour un réseau sans fil, comprenant des moyens pour capter un ensemble de trames et un dispositif selon l'une quelconque des revendications 9 à 11.
PCT/FR2005/002339 2004-09-30 2005-09-21 Procede, dispositif et programme de detection d'usurpation de point d'acces. WO2006035140A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
EP05805802A EP1794934A1 (fr) 2004-09-30 2005-09-21 Procede, dispositif et programme de detection d'usurpation de point d'acces.
US11/664,131 US20080250498A1 (en) 2004-09-30 2005-09-21 Method, Device a Program for Detecting an Unauthorised Connection to Access Points

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0410352 2004-09-30
FR0410352 2004-09-30

Publications (1)

Publication Number Publication Date
WO2006035140A1 true WO2006035140A1 (fr) 2006-04-06

Family

ID=34953296

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2005/002339 WO2006035140A1 (fr) 2004-09-30 2005-09-21 Procede, dispositif et programme de detection d'usurpation de point d'acces.

Country Status (3)

Country Link
US (1) US20080250498A1 (fr)
EP (1) EP1794934A1 (fr)
WO (1) WO2006035140A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008006997A1 (fr) * 2006-07-12 2008-01-17 France Telecom Procédé de détection de points d'accès simulés dans un réseau sans fil
EP1881435A1 (fr) * 2006-07-18 2008-01-23 France Télécom Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7339914B2 (en) 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
US7630406B2 (en) * 2005-11-04 2009-12-08 Intel Corporation Methods and apparatus for providing a delayed attack protection system for network traffic
US7971253B1 (en) * 2006-11-21 2011-06-28 Airtight Networks, Inc. Method and system for detecting address rotation and related events in communication networks
TWI327005B (en) * 2007-02-16 2010-07-01 Asustek Comp Inc Method for establishing a wireless local area network
US7970894B1 (en) 2007-11-15 2011-06-28 Airtight Networks, Inc. Method and system for monitoring of wireless devices in local area computer networks
US7876710B2 (en) * 2008-07-30 2011-01-25 Juniper Networks, Inc. Layer two MAC flushing/re-routing
US8892127B2 (en) 2008-11-21 2014-11-18 Qualcomm Incorporated Wireless-based positioning adjustments using a motion sensor
US9645225B2 (en) * 2008-11-21 2017-05-09 Qualcomm Incorporated Network-centric determination of node processing delay
US20100135178A1 (en) * 2008-11-21 2010-06-03 Qualcomm Incorporated Wireless position determination using adjusted round trip time measurements
US20100130230A1 (en) * 2008-11-21 2010-05-27 Qualcomm Incorporated Beacon sectoring for position determination
US9125153B2 (en) * 2008-11-25 2015-09-01 Qualcomm Incorporated Method and apparatus for two-way ranging
US8768344B2 (en) 2008-12-22 2014-07-01 Qualcomm Incorporated Post-deployment calibration for wireless position determination
US8750267B2 (en) * 2009-01-05 2014-06-10 Qualcomm Incorporated Detection of falsified wireless access points
EP2207046B1 (fr) 2009-01-12 2012-08-15 AMB i.t. Holding B.V. Transpondeur et dispositif de détection utilisant des estampilles temporelles de transmission
US20110107417A1 (en) * 2009-10-30 2011-05-05 Balay Rajini I Detecting AP MAC Spoofing
US8484256B2 (en) * 2010-01-13 2013-07-09 International Business Machines Corporation Transformation of logical data objects for storage
US8781492B2 (en) 2010-04-30 2014-07-15 Qualcomm Incorporated Device for round trip time measurements
KR101453521B1 (ko) * 2011-05-20 2014-10-24 주식회사 케이티 무선 액세스 포인트 장치 및 비인가 무선 랜 노드 탐지 방법
KR101807523B1 (ko) * 2011-12-13 2017-12-12 삼성전자주식회사 무선 통신 시스템에서 무선 망 제공자를 확인하기 위한 장치 및 방법
US9313221B2 (en) * 2012-01-31 2016-04-12 Hewlett Packard Enterprise Development Lp Determination of spoofing of a unique machine identifier
US9081957B2 (en) * 2013-02-07 2015-07-14 Ryatheon BBN Technologies Corp Dynamic operational watermarking for software and hardware assurance
US20150373692A1 (en) * 2014-06-19 2015-12-24 Walkbase Ltd Anonymous fingerprint generation for mobile communication device
US9467863B2 (en) 2014-10-15 2016-10-11 Portinet, Inc. Detection of spoof attacks on location broadcasting beacons
US10200862B2 (en) 2016-10-28 2019-02-05 Nokia Of America Corporation Verification of cell authenticity in a wireless network through traffic monitoring
CN108134996A (zh) * 2017-12-22 2018-06-08 成都飞鱼星科技股份有限公司 一种非法无线接入点的检测及阻断方法
US10512094B2 (en) * 2017-12-28 2019-12-17 Intel Corporation Assessment and mitigation of radio frequency interference of networked devices
US10547587B2 (en) 2018-03-19 2020-01-28 Didi Research America, Llc Method and system for near real-time IP user mapping
US11349867B2 (en) * 2018-12-31 2022-05-31 Forescout Technologies, Inc. Rogue device detection including mac address spoofing detection
US11516765B2 (en) * 2019-11-14 2022-11-29 Qualcomm Incorporated False base station detection based on time of arrival or timing advance
US11432152B2 (en) * 2020-05-04 2022-08-30 Watchguard Technologies, Inc. Method and apparatus for detecting and handling evil twin access points
US20220191245A1 (en) * 2020-12-10 2022-06-16 Samsung Electronics Co., Ltd. Detection of spoofing or jamming attacks in wireless communication system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030217283A1 (en) * 2002-05-20 2003-11-20 Scott Hrastar Method and system for encrypted network management and intrusion detection
US6745333B1 (en) * 2002-01-31 2004-06-01 3Com Corporation Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60109067T2 (de) * 2001-03-22 2006-04-06 Infosim Networking Solutions Ag Verfahren, system, und endgerät zur identifizierung eines senders in einem netzwerk
US7116668B2 (en) * 2001-10-09 2006-10-03 Telefunaktiebolaget Lm Ericsson (Publ) Method for time stamp-based replay protection and PDSN synchronization at a PCF
US7562390B1 (en) * 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
US7002943B2 (en) * 2003-12-08 2006-02-21 Airtight Networks, Inc. Method and system for monitoring a selected region of an airspace associated with local area networks of computing devices
US7372809B2 (en) * 2004-05-18 2008-05-13 Time Warner Cable, Inc. Thwarting denial of service attacks originating in a DOCSIS-compliant cable network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6745333B1 (en) * 2002-01-31 2004-06-01 3Com Corporation Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself
US20030217283A1 (en) * 2002-05-20 2003-11-20 Scott Hrastar Method and system for encrypted network management and intrusion detection

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
See also references of EP1794934A1 *
WRIGHT J: "Detecting wireless LAN MAC address spoofing", 21 January 2003 (2003-01-21), pages 1 - 20, XP002330231, Retrieved from the Internet <URL:http://home.jwu.edu/jwright/> [retrieved on 20050601] *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008006997A1 (fr) * 2006-07-12 2008-01-17 France Telecom Procédé de détection de points d'accès simulés dans un réseau sans fil
FR2903831A1 (fr) * 2006-07-12 2008-01-18 France Telecom Procede de detection de points d'acces simules dans un reseau sans fil
EP1881435A1 (fr) * 2006-07-18 2008-01-23 France Télécom Procédé et dispositif de detection d'attaques de réseau par déterminer des correlations temporelles de données

Also Published As

Publication number Publication date
EP1794934A1 (fr) 2007-06-13
US20080250498A1 (en) 2008-10-09

Similar Documents

Publication Publication Date Title
WO2006035140A1 (fr) Procede, dispositif et programme de detection d&#39;usurpation de point d&#39;acces.
US9736174B2 (en) Method and apparatus for machine to machine network security monitoring in a communications network
EP2134115B1 (fr) Detection d&#39;anomalie de trafic emis par un terminal mobile dans un réseau de radiocommunication
EP1842389B1 (fr) Procédé, dispositif et programme de détection d&#39;usurpation d&#39;adresse dans un réseau sans fil
JP2010508598A (ja) ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
US20070274274A1 (en) Open wireless access point detection and identification
EP1849261A1 (fr) Procede, dispositif et programme de detection d&#39;usurpation d&#39;adresse dans un reseau sans fil
EP1905194B1 (fr) Detection de double attachement entre un reseau filaire et au moins un reseau sans-fil
WO2007010101A2 (fr) Detection d’une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
FR2984674A1 (fr) Auto-configuration d&#39;un equipement pour la connexion a un reseau sans fil securise
EP2773067B1 (fr) Procédé de fiabilisation de la génération de messages d&#39;alerte sur un réseau synchronisé de données
EP3747238B1 (fr) Agrégation d&#39;une pluralité de connexions radio dans un réseau sans fil
EP3850808B1 (fr) Procédé de surveillance ou de suivi entre terminaux mobiles
EP1881435A1 (fr) Procédé et dispositif de detection d&#39;attaques de réseau par déterminer des correlations temporelles de données
FR3030959A1 (fr) Procede de transmission d&#39;au moins une trame de communication, procede de reception, dispositifs de transmission et de reception, programme de module logiciel et signal correspondants.
FR2925810A1 (fr) Procede de communicatin entre un terminal et un reseau de communication
FR3109692A1 (fr) Procédé de gestion d’une phase de demande d’appairage entre dispositifs de traitement de données.
WO2022238644A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe
US20190319970A1 (en) Network communications protocol for machine-to-machine self orchestration
FR3112002A1 (fr) Procédé et dispositif de détection d&#39;une faille de sécurité.
WO2008006997A1 (fr) Procédé de détection de points d&#39;accès simulés dans un réseau sans fil
WO2015135879A1 (fr) Procede de blocage d&#39;acces a un support de communication
WO2006048529A1 (fr) Systeme et procede d&#39;envoi de messages dans un reseau de communication par messagerie electronique, bases sur l&#39;utilisation d&#39;un filtre d&#39;envoi.
FR2899752A1 (fr) Procede, dispositif et programme de detection d&#39;usurpation d&#39;adresse dans un reseau sans fil
FR2924294A1 (fr) Procede de transmission et systeme de telecommunications

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2005805802

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 11664131

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

WWP Wipo information: published in national office

Ref document number: 2005805802

Country of ref document: EP