WO2007122305A1 - Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil - Google Patents

Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil Download PDF

Info

Publication number
WO2007122305A1
WO2007122305A1 PCT/FR2007/000448 FR2007000448W WO2007122305A1 WO 2007122305 A1 WO2007122305 A1 WO 2007122305A1 FR 2007000448 W FR2007000448 W FR 2007000448W WO 2007122305 A1 WO2007122305 A1 WO 2007122305A1
Authority
WO
WIPO (PCT)
Prior art keywords
equipment
frame
detachment
address
attachment
Prior art date
Application number
PCT/FR2007/000448
Other languages
English (en)
Inventor
Laurent Butti
Roland Duffau
Jérôme RAZNIEWSKI
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007122305A1 publication Critical patent/WO2007122305A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Definitions

  • the present invention relates to wireless access technologies to telecommunications networks, for example IEEE 802.11 type networks standardized by the Institute of Electrical and Electronics Engineers (IEEE). More particularly, the invention relates to the hacking of wireless networks by address spoofing of a device, for example an access point or a client station.
  • IEEE 802.11 type networks standardized by the Institute of Electrical and Electronics Engineers (IEEE). More particularly, the invention relates to the hacking of wireless networks by address spoofing of a device, for example an access point or a client station.
  • an equipment for example a client station
  • other equipment of a wireless network constituting access to the network for example an access point
  • this first equipment here the client station
  • IEEE 802.11-based technologies provide that the attachment of a client station to an access point is done in three steps.
  • beacons the client station listens to the radio channel to search for specific frames called beacons.
  • the client examines the information contained in this type of frame, for example the name of the network (or ESSID, of the English "Extended Service Set Identifier") or parameters specific to the deployed network.
  • the client also sends access point search frames ("probe request"). These frames include among others the name of the searched network.
  • the access point (s) concerned respond to these search frames by sending back a response response frame ("probe response" in English) signaling their presence.
  • the client can then select an access point and send an authentication request frame ("authentication request" in English).
  • the access point returns a positive or negative authentication response.
  • the "open” mode is typically used in open networks, such as a hot-spot network or an enterprise open network.
  • the “closed” mode is typically used in closed networks, for example a residential network in which network access is reserved for certain client equipment.
  • association request the client requests to associate with the access point by sending an association request frame ("association request").
  • association request The access point returns a positive or negative association response.
  • the client can send and receive data in the usual sense of the term via this access point.
  • the client station and the access point may operate in accordance with a tri-state state machine to implement such an attachment procedure.
  • the access point can of course include several state machines, each managing the attachment to a client station, and decide to assign such state machine to such a client station when the latter is trying to establish an attachment.
  • FIG. 1 shows an exemplary state machine in equipment known from the prior art.
  • the equipment machines completely detached from each other are in a state 1. After successful authentication, the state machines are in a state 2, and only after a successful association that the state machines go into a state 3.
  • Two devices in a state i can exchange between them messages or class frames between 1 and i, as shown in FIG. 1.
  • the class 3 frames make it possible to carry data in the usual meaning of the term, for example data corresponding to the text of an email.
  • a Disassociation notification and / or a de-authentication notification can be transmitted from one device to another. Both devices go from state 3 to state 2 when a mis-association notification is transmitted from one device to another.
  • a de-authentication notification switches devices from state 2 to state 1, or from state 3 to state 1.
  • PSPF Publicly Secure Packet Forwarding
  • the access point When a direct connection between clients is established via an access point, the access point relays radio packets directly from one client station to another.
  • An illegitimate client can establish a direct connection with a legitimate client, either to attack it or to make a discrete pair-to-peer connection. In both cases, there is no reason to tolerate such a connection in an open network.
  • the PSPF technique makes it possible to prevent two clients associated with the same access point from communicating directly with each other, by blocking any relay of data packets sent by a client on the radio part to the other clients of the radio part associated with the same access point.
  • the PSPF technique can not avoid a particular attack class, in which an attacking device completely usurps the characteristics, especially the MAC layer address ("Medium Access
  • the IEEE 802.11 standard provides mechanisms allowing an access point receiving frames of data from a client not attached to this access point, to force the same client to restart the entire procedure. attachment. It is therefore possible for an attacker who impersonates a legitimate access point to which a client is associated, to force the latter to associate with the illegitimate access point. If the IP address of the illegitimate access point is in the same subnet as the client's IP address, then the illegitimate access point may attack the client directly.
  • PSPF technology which blocks packet relays between clients associated with the same access point, is inefficient in countering these attacks by a client through an illegitimate access point.
  • FIGS 2 and 3 show two examples of association of a client station C to an illegitimate access point B and a legitimate access point A. These two figures will be commented simultaneously.
  • the state in which the state machine of each equipment A, B, C is located is represented by a digit surrounded by a square. According to the examples shown in Figures 2 and 3, the equipment A, B, C are configured differently and do not conform exactly to the same protocols.
  • the client C is initially associated with a legitimate access point A. These two devices A, C have a state machine in a state 3 and exchange frames of class 3 data_3.
  • the illegitimate access point B whose state machine is in state 1, is not supposed to exchange such frames with the client.
  • the access point B After receiving a class 3 data_3 frame, the access point B sends the client C a de-authentication notification (de-auth.).
  • the state machines of equipment B and C then go to state 1, while the state machine of legitimate access point A remains in state 3.
  • Client C then begins an attachment procedure: the attachment frames sent by client C (probe_request, auth., Association_request in the example of Figure 2, auth and association_request only in the example of Figure 3 ) are received at a time by the equipment
  • the equipment A and B respond to the attachment frames so as to establish each a new attachment.
  • the state machines of the three equipment A, B, C are then in state 3.
  • equipment A and B react substantially differently.
  • the legitimate equipment A begins by accepting the attachment with the client C to which it is already attached, and then terminates it by notifying a de-authentication.
  • Illegitimate equipment B accepts authentication, but refuses association. Indeed, the association request frame sent by the client C has an ESSID network name field left empty.
  • Equipment B is configured to refuse an association with equipment transmitting frames with an ESSID field different from its own. No attachment has therefore been established, the state machines equipment A, B, C are found in state 1.
  • the client C again initiates an attachment process at the end of which the client C is associated with both the legitimate equipment A and the illegitimate equipment B.
  • the mechanisms provided by the IEEE 802.11 type technologies are therefore ineffective to prevent the attachment of an illegitimate access point to a client station already associated with a legitimate access point.
  • the client is associated at the same time with the legitimate access point and the illegitimate access point.
  • An illegitimate client station can thus access a closed network by pretending to be a legitimate client station.
  • an illegitimate client station can associate with an access point of a closed network by usurping the identity of a legitimate client station. to which the access point is associated.
  • the present invention overcomes this disadvantage.
  • the subject of the invention is a protection method intended to be implemented in a wireless network, by a first equipment attached to a second equipment, the method comprising the following steps, following the reception of a detachment frame having a source address field that includes the address of the second equipment:
  • the second equipment responds to the verification frame with a deny frame.
  • the first equipment then refuses to end the attachment.
  • the method thus makes it possible to prevent a detachment initiated by attacking equipment usurping the address of the second equipment, and thus ultimately to prevent an attachment of the attacking equipment to the first equipment.
  • the detachment is accepted if no frame having a source address field which includes the address of the second equipment is received during the determined duration.
  • the second equipment that has actually issued the detachment frame can abstain from responding to the verification frame. This is particularly the case for a second equipment known from the prior art.
  • the first equipment accepts the detachment at the end of the predetermined duration.
  • the equipment arranged to implement the method according to this aspect of the invention is thus capable of operating with equipment known in the prior art.
  • an alert can be triggered if a cancellation frame is received during the determined duration.
  • a denial frame comes from equipment that has not issued the detachment frame.
  • the first equipment thus receives from two separate equipment frames having a source address field that has the same address. In other words, one of these two devices usurps the address of the equipment legitimately attached to the first device.
  • the determined duration is advantageously less than the second.
  • the wait begins as soon as the verification frame is transmitted and can for example terminate VT. second later.
  • the subject of the invention is a method intended to be implemented by a second piece of equipment attached to a first piece of equipment, in a wireless network to which a first piece of equipment is accessed.
  • the second device is arranged to transmit a detachment frame to the first device in order to detach itself from this first device, and to store at least temporarily in a memory data of the detachment frame, typically field values of the first device. detachment frame.
  • the method comprises, after receiving a verification frame having a source address field which includes the address of the first equipment, the following steps:
  • the first equipment is able to check whether a frame of detachment emanates from the equipment to which he is attached.
  • the detachment frame emanates from a third illegitimate equipment, the data possibly stored in the memory do not correspond to the verification frame.
  • the second equipment responds to the verification frame with an invalid frame.
  • the first equipment then refuses to end the detachment.
  • the second equipment transmits a confirmation frame in case of compatibility noted in the comparison of the data.
  • the second equipment may, after receiving the verification frame, abstain from responding if it has actually issued the detachment frame in order to end the attachment with the first equipment.
  • the memory may for example comprise one or more memory areas, each memory area being dedicated to the management of an attachment.
  • the second equipment may decide to assign such memory area to such first equipment during a start of an attachment procedure with this first equipment.
  • the data stored in a memory area dedicated to the management of a given attachment in case of transmission of a detachment frame can be limited to a value of a first binary variable.
  • a value of this first variable at 1 indicates that a detachment frame has been issued to terminate this attachment.
  • the data of the verification frame may also be limited to a second binary variable, a value of 1 of this second variable indicating that a verification frame has been received. If the second variable is at 1 and the first variable at O, so we find an incompatibility and the frame of denial is issued.
  • the data stored in the memory in the event of transmission of a detachment frame may include a detachment date, or else a MAC address of the equipment to which the detachment was issued.
  • the memory can be regularly erased.
  • the second equipment when the second equipment transmits the detachment frame, the second equipment waits for the verification frame for a given duration. If no verification frame is received, the second equipment terminates the attachment. Alternatively, the second equipment can end the attachment immediately after issuing the detachment frame.
  • the first equipment may not be arranged to implement the method according to the first aspect of the invention, so that it detached after the reception of the detachment frame.
  • the detachment of the second equipment thus makes it possible to use a second equipment implementing a method according to the first aspect of the invention with a first device known from the prior art.
  • the existing IEEE 802.11 standard can for example be modified to allow a practical implementation of the methods according to the first or second aspect of the invention.
  • Two new 802.11 management frames can be created: a check frame and a response frame.
  • the response frame includes a response field whose value indicates whether it is a confirmation frame or an invalid frame. For example, a value equal to 0 corresponds to a reversal and a value equal to 1 corresponds to a confirmation.
  • These new management frames can for example be identified respectively with subtypes "1101" and "1111".
  • the modifications to be made to the existing network equipment configuration methods are therefore relatively light.
  • the invention also relates to a device for a first equipment in a wireless network, comprising:
  • transmission / reception means arranged for, after receiving a detachment frame having a source address field which includes the address of a second equipment, transmitting a verification frame with an address field destination that contains the address of the second equipment,
  • delay means for waiting for a predetermined period of time for a cancellation frame having a source address field which includes the address of the second piece of equipment
  • This device makes it possible to implement the method according to the first aspect of the invention.
  • This device can be part of the first equipment, or even include the first equipment.
  • the device further comprises a state machine comprising at least one detachment state, corresponding to a detachment of the first equipment to the second equipment, and a state of attachment, corresponding to an attachment of the first equipment to the second equipment.
  • the decision means makes it possible to go from the attachment state to the detach state if no retraction frame is received during the determined duration.
  • Existing equipment may indeed include a state machine including inter alia the detachment state and the state of attachment. Such existing equipment can thus be modified relatively easily to implement the method according to the first aspect of the invention. It suffices to modify the conditions for changing from the attachment state to the detachment state. Such a device is of course only an example of implementation of the invention.
  • the invention relates to a device for a second device attached to a first device in a wireless network, the second device being arranged to transmit a detachment frame to the first device in order to detach from said first equipment, and storing in a data memory of said detachment frame at least temporarily, the device comprising
  • comparison means for, after receiving a verification frame having a source address field which includes the address of the first equipment, comparing data of the verification frame with the data stored in said memory,
  • transmission means arranged to transmit to the first equipment a denial in case of incompatibility identified by the comparison means.
  • This device makes it possible to implement the method according to the second aspect of the invention.
  • This device can be part of the second equipment, or even include the second equipment.
  • This device may advantageously comprise timing means arranged for, following the transmission of the detachment frame, waiting for a given duration of the verification frame, and decision means for terminating the attachment if no verification frame is received during the given period.
  • the invention also proposes a system for a wireless network, the system comprising at least the first equipment and the second equipment described above.
  • the invention also proposes a computer program intended to be stored in a memory of a first device in a wireless network and / or stored on a memory medium intended to cooperate with a reader of said device. equipment and / or downloaded via a telecommunication network, the program comprising instructions for performing the steps of the method according to the first aspect of the invention.
  • the invention also relates to a computer program intended to be stored in a memory of a second device in a wireless network and / or stored on a storage medium intended to cooperate with a reader of said equipment and / or downloaded via a telecommunication network.
  • the second device is arranged to send to a first equipment to which it is attached a detachment frame, and to temporarily store data of the detachment frame in a memory.
  • the program includes instructions for performing the steps of the method according to the second aspect of the invention.
  • FIG. 1 is a block diagram of a state machine of a network equipment known from the prior art
  • FIG. 2 schematically shows a known example of associating a client station with an illegitimate access point and a legitimate access point
  • FIG. 3 schematically shows another known example of association of a client station to an illegitimate access point and a legitimate access point
  • FIG. 4 is a block diagram of an example of a wireless network in which the invention can be implemented, in a preferred embodiment
  • FIG. 5 schematically shows an example of communications between a client station, a legitimate access point and an illegitimate access point, according to the preferred embodiment of the invention
  • FIG. 6 is an exemplary flowchart of a program executable by the client station represented in FIG. 4;
  • FIG. 7 is a block diagram of an exemplary state machine of the client station shown in FIG. 4;
  • FIGS. 8A and 8B are examples of program flowcharts executable by one of the access points shown in FIG. 4.
  • the invention is described hereinafter in a particular application, namely in an IEEE 802.11 type wireless network.
  • the network is of open type
  • the first equipment comprises a client station
  • the second equipment comprises a legitimate access point
  • the open network for example a Hot Spot network
  • the open network comprises a number of access points distributed over the coverage area of the network, only one of which is represented in FIG.
  • the access points according to one aspect of the invention are connected to an IP 2 type network which may be the Internet or an Intranet.
  • a client station 5 can access the IP type network 2 via the access point 1, while being attached to the access point 1. To make an attachment, the client station 5 listens to the radio channel to search for tags when an access point discovery step. The client 5 can then select an access point 1 and ask to authenticate with this access point 1. The authentication is accepted by default in an open network.
  • the client station 5 and the access point 1 each comprise a state machine whose state then changes from a detachment state, here a state 1, to an intermediate state 2. Finally, the client 5 requests to be associated with the access point 5. If the latter accepts, the state machines go to a state of attachment, here a state 3. The client station 5 and the access point 1 are then attached to each other and can exchange class 3 data.
  • a third piece of equipment 8 says attacking equipment, can impersonate the legitimate access point 1, in particular the MAC address of the access point 1, in order to attack the client station 5 by establishing an attachment with it.
  • the client 5 and the legitimate access point 1 exchange class 3 data, for example a data_3 frame sent by the client 5 to access point 1.
  • This data_3 frame has a field of destination address that includes the address of access point 1 and is therefore received by illegitimate equipment 8.
  • the illegitimate equipment 8 is arranged to communicate on an IEEE 802.11 type network and also comprises a state machine relatively similar to those of the legitimate equipment 1, 5.
  • the state machine of illegitimate equipment 8 is then in state 1, client 5 and illegitimate equipment 8 detached from each other.
  • the illegitimate equipment 8 transmits a detachment frame, for example a de-authentication frame, in order to change the state machine from the client 5 to the state 1.
  • the illegitimate equipment 8 stores in a memory 7 'field values of the authentication frame, for example a date and a destination address.
  • This detachment frame has a source address field which comprises the usurped address of the access point 1 and a destination address field which includes the address of the client 5.
  • Transmission / reception means for example an antenna 10, the client 5 receive this frame.
  • Time delay means for example a counter, allow to wait for a response frame of this access point during a fixed term.
  • the verification frame is received by both the legitimate access point 1 and the illegitimate access point 8.
  • Comparison means 6 ' for example a processor, of the illegitimate access point 8 compare the received verification frame with the data of the de-authentication frame stored in the memory T. Not subject to incompatibility, the access point 8 sends a confirmation frame (confirmationJDK).
  • Comparison means 6 for example a processor, of the legitimate access point 1 also compares data of the received verification frame with data stored in a memory 7.
  • the memory 7 is empty because no detach frames have been issued by the access point for one minute.
  • the comparison means 6 therefore conclude that there is an incompatibility, and transmission / reception means, for example an antenna 3, of the access point 1 emit a cancellation frame (confirmation_NOK).
  • the client 5 thus receives a confirmation frame and an invalid frame.
  • Decision means 9 for example a processor, therefore refuse to terminate the attachment, that is to say here that the state machine of the customer remains in state 3.
  • the client 5 continues to exchange class 3 data with access point 1, and does not attempt to reset an attachment with access point 8.
  • the client 5 may possibly trigger an alarm, for example to the operator of the wireless network, to prevent the current attack.
  • FIG. 6 is an exemplary flowchart of a program executable by the client station 5.
  • the client station When the client station receives a de-authentication frame (step 61), it transmits a verification frame (step 62) and then stands waiting for a response for a determined duration ⁇ t (step 63) of for example a few seconds . At the end of this duration ⁇ t, a test is performed (step
  • step 64 as to the number of response frames received. If no frame has been received during the duration ⁇ t, the client station terminates the attachment, i.e., its state machine returns to the state 1 state_1 (step 65). A frame of answer can be a confirmation frame or a reversal frame. If one or more response frames have been received, a further test (step 66) is performed on the number of frames of invalidation among the one or more response frames received. If no override frame has been received during the duration ⁇ t, then the client station also terminates the attachment (step 65). If one (or more) idle frame has been received during the duration ⁇ t, then the client station triggers an alert (step 68) and refuses to terminate the attachment. In other words, its state machine remains in the state 3 state_3 (step 67).
  • the client station therefore agrees to terminate the attachment when, following the sending of the verification frame:
  • the client station receives a single response frame, this frame comprising a confirmation frame, or
  • the client station receives two confirmation frames.
  • the posting request is validated.
  • the client station refuses to terminate the attachment when, following the sending of the verification frame:
  • the client station receives a single response frame, this frame comprising an invalid frame
  • the client station receives a confirmation frame and an invalid frame, or
  • the client station receives two frames of invalidation.
  • Figure 7 shows an exemplary state machine in a client station according to the preferred embodiment of the invention.
  • This state machine differs from the state machine example shown in Figure 1 mainly because of the conditions necessary to go from state 3 to state 1 or 2, and to go from state 2 to state 1. Indeed, it is not enough for a notification of de-association or de-authentication, as in the prior art, but a validation of the de-association or the de-authentication.
  • the client station receives one or more frame (s) of denial, the request for de-association or de-authentication is rejected ("dissociation reject” or “de-authentication reject” in English).
  • the state machine then remains in the same state.
  • FIG. 8A is an exemplary flowchart executable by one of the access points 1 or 8 in FIG. 4.
  • This access point transmits a detach frame (step 81), here a de-authentication frame, to terminate the attachment of the client 5 to the access point 1.
  • the access point waits for a period of time. predetermined ⁇ t '(step 82) of for example a few seconds. At the end of this duration ⁇ t ', a test is made (step 83) as to the number of verification frames received. If no verification frame is received, the access point terminates the attachment by placing its state machine in state 1 state_1 (step 84). If a verification frame is received, then the access point returns a confirmation frame (step 85), and terminates the attachment (step 84).
  • this end-of-attachment step 84 can be performed directly after step 81 of sending the detachment frame.
  • the instructions for executing steps 82, 83, 84 and 85 may be programmed as a follow-up to the instruction to execute step 81 of sending the detach frame.
  • the access point program may also provide for sending a response frame, normally a reversal, following reception of the access point. a check frame.
  • FIG. 8B shows an exemplary flowchart corresponding to such a program portion.
  • the access point is configured to, in case of transmission of a detachment frame, store in this memory data of the detachment frame.
  • the access point transmits a confirmation frame (OK_confirm) to the client (step 88), then terminates the attachment (step 90) by placing its state machine in state state_1. Otherwise, the access point transmits a deny frame (confirmation_NOK) to the client (step 89) and refuses to terminate the attachment (step not shown in Figure 8B).
  • the method of FIG. 8B can for example be implemented via an interrupt mechanism in the event of reception of a verification frame.
  • the first equipment may include an access point and the second equipment a client station, particularly in the case of closed networks.
  • the present invention then makes it possible to protect against an attacking client station that impersonates a client legitimately attached to an access point and wishes to be attached to this access point itself.
  • the illegitimate station may send the access point a detachment frame. The latter then sends a verification frame, to which the legitimate client responds with an invalid frame. The access point then refuses to terminate the attachment with the legitimate client.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Small-Scale Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un procédé de détection d'usurpation d'adresse dans un réseau sans fil. Lorsqu'un premier équipement (1) attaché à un autre équipement (5) du réseau reçoit une trame de détachement, il renvoie une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement. Le premier équipement attend alors une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement pendant une durée déterminée. Le premier équipement refuse de mettre fin à l'attachement en cas de réception de la trame d'infirmation pendant la durée déterminée.

Description

PROCEDE, DISPOSITIF ET PROGRAMME DE DETECTION D'USURPATION D'ADRESSE DANS UN RESEAU SANS FIL
La présente invention concerne les technologies d'accès sans fil à des réseaux de télécommunications, par exemple les réseaux de type IEEE 802.11 normalisé par l'Institute of Electrical and Electronics Engineers (IEEE). Plus particulièrement, l'invention se rapporte au piratage de réseaux sans fil par usurpation d'adresse d'un équipement, par exemple d'un point d'accès ou d'une station cliente.
Pour qu'un équipement, par exemple une station cliente, puisse échanger des données avec un autre équipement d'un réseau sans fil constituant l'accès au réseau, par exemple un point d'accès, il est nécessaire d'attacher ce premier équipement, ici la station cliente, au réseau.
Par exemple, les technologies de type IEEE 802.11 prévoient que l'attachement d'une station cliente à un point d'accès s'effectue en trois étapes.
Tout d'abord, lors d'une étape de découverte du point d'accès, la station cliente écoute la voie radio pour rechercher des trames spécifiques appelées balises ("beacon" en anglais). Le client examine les informations contenues dans ce type de trame, par exemple le nom du réseau (ou ESSID, de l'anglais "Extended Service Set Identifier") ou des paramètres propres au réseau déployé. Le client envoie également des trames de recherche de point d'accès ("probe request" en anglais). Ces trames comprennent entre autres le nom du réseau recherché. Le ou les points d'accès concernés répondent à ces trames de recherche en renvoyant une trame de réponse à la recherche (« probe response » en anglais) signalant leur présence.
Le client peut alors sélectionner un point d'accès et envoyer une trame de demande d'authentification ("authentication request" en anglais). Le point d'accès renvoie une réponse d'authentification ("authentication response" en anglais) positive ou négative. Il existe deux types d'authentification, l'une en mode « ouvert », où toute demande est acceptée par défaut, et l'autre en mode de « secret partagé », où la connaissance d'un secret est nécessaire pour s'authentifier auprès du point d'accès. Le mode « ouvert » est typiquement utilisé dans des réseaux ouverts, comme par exemple un réseau Hot-Spot ou un réseau ouvert d'entreprise. Le mode « fermé » est typiquement utilisé dans des réseaux fermés, par exemple un réseau résidentiel dans lequel l'accès au réseau est réservé à certains équipements clients.
Si l'authentification a réussi, le client demande alors à s'associer auprès du point d'accès en envoyant une trame de demande d'association ("association request" en anglais). Le point d'accès renvoie une réponse d'association ("association response" en anglais) positive ou négative. Dés lors que l'association est réussie, le client peut envoyer et recevoir des données au sens courant du terme via ce point d'accès.
La station cliente et le point d'accès peuvent fonctionner conformément à une machine à états à trois états pour mettre en oeuvre une telle procédure d'attachement. Le point d'accès peut bien entendu comprendre plusieurs machines à états, chacune gérant l'attachement à une station cliente, et décider d'affecter telle machine à états à telle station cliente lorsque cette dernière cherche à établir un attachement.
La figure 1 montre un exemple de machine à états dans un équipement connu de l'art antérieur.
Les machines à états d'équipements complètement détachés l'un de l'autre se trouvent dans un état 1. Après une authentification réussie, les machines à états se trouvent dans un état 2, et ce n'est qu'après une association réussie que les machines à états passent dans un état 3.
Deux équipements dans un état i, allant de 1 à 3, peuvent échanger entre eux des messages ou trames de classe comprise entre 1 et i, comme illustré figure 1. Les trames de classe 3 permettent de transporter des données au sens courant du terme, par exemple des données correspondant au texte d'un courriel.
Pour mettre fin à un attachement entre deux équipements, une notification de dé-association ("disassociation" en anglais) et/ou une notification de dé-authentification ("de-authentication" en anglais) peuvent être transmises d'un équipement à l'autre. Les deux équipements passent de l'état 3 à l'état 2 lorsqu'une notification de dé-association est transmise d'un équipement à l'autre. Une notification de dé-authentification fait passer les équipements de l'état 2 à l'état 1 , ou bien de l'état 3 à l'état 1.
Avec le succès et la démocratisation des technologies d'accès sans fil, des techniques de piratage ou d'attaque sont apparues.
Dans les réseaux ouverts de type IEEE 802.11 , une technique de protection contre les attaques appelée PSPF (de l'anglais "Publicly Secure Packet Forwarding") a été développée afin de se prémunir contre les connexions directes entre clients.
Lorsqu'une connexion directe entre clients est établie via un point d'accès, le point d'accès relaie directement des paquets sur voie radio d'une station cliente à l'autre. Un client illégitime peut établir une connexion directe avec un client légitime, soit pour l'attaquer, soit pour réaliser une connexion de type paire à paire ("peer to peer" en anglais) discrète. Dans les deux cas, il n'y a aucune raison de tolérer une telle connexion dans un réseau ouvert.
La technique PSPF permet d'empêcher deux clients associés à un même point d'accès de communiquer directement entre eux, en bloquant tout relais de paquets de données émis par un client sur la partie radio vers les autres clients de la partie radio associés au même point d'accès.
Cependant, la technique PSPF ne peut éviter une classe d'attaque particulière, dans laquelle un équipement attaquant usurpe complètement les caractéristiques, notamment l'adresse de couche MAC ("Médium Access
Control" en anglais), d'un point d'accès légitime afin de pouvoir communiquer directement avec un client légitime.
En effet, la norme IEEE 802.11 prévoit des mécanismes permettant à un point d'accès recevant des trames de données d'un client non attaché à ce point d'accès, de forcer ce même client à recommencer toute la procédure d'attachement. Il est donc possible pour un attaquant usurpant l'identité d'un point d'accès légitime auquel un client est associé, d'obliger ce dernier à s'associer au point d'accès illégitime. Si l'adresse IP du point d'accès illégitime est dans le même sous-réseau que l'adresse IP du client, alors le point d'accès illégitime peut attaquer le client directement.
La technologie PSPF, qui bloque les relais de paquets entre clients associés à un même point d'accès, est inefficace pour lutter contre ces attaques d'un client par un point d'accès illégitime.
Les figures 2 et 3 montrent deux exemples d'association d'une station cliente C à un point d'accès illégitime B et à un point d'accès légitime A. Ces deux figures seront commentées simultanément. L'état dans lequel se trouve la machine à états de chaque équipement A, B, C est représenté par un chiffre entouré d'un carré. Selon les exemples représentés sur les figures 2 et 3, les équipements A, B, C sont configurés différemment et ne se conforment pas exactement aux mêmes protocoles.
Le client C est au départ associé avec un point d'accès légitime A. Ces deux équipements A, C ont une machine à états dans un état 3 et échangent des trames de classe 3 data_3. Le point d'accès illégitime B, dont la machine à états est dans l'état 1 , n'est pas supposé échanger de telles trames avec le client. Suite à la réception d'une trame de classe 3 data_3, le point d'accès B envoie au client C une notification de dé-authentification (de-auth.). Les machines à états des équipements B et C passent alors dans l'état 1 , tandis que la machine à états du point d'accès légitime A reste dans l'état 3.
Le client C commence alors une procédure d'attachement : les trames d'attachement envoyées par le client C (probe_request, auth., association_request dans l'exemple de la figure 2, auth. et association_request seulement dans l'exemple de la figure 3) sont reçues à la fois par l'équipement
A et l'équipement B.
Dans l'exemple de la figure 2, les équipements A et B répondent aux trames d'attachement de façon à établir chacun un nouvel attachement. Les machines à états des trois équipements A, B, C se trouvent alors à l'état 3.
Toutefois, il est prévu que Ie point d'accès légitime A, du fait qu'il vient d'accepter une association avec un équipement déjà associé, envoie une trame de de-authentification (de-auth.). Les machines à états des équipements A et C retournent alors à l'état 1.
Dans l'exemple de la figure 3, les équipements A et B réagissent de façon sensiblement différente. L'équipement légitime A commence par accepter l'attachement avec le client C auquel il est déjà attaché, puis y met fin en notifiant une de-authentification. L'équipement illégitime B accepte l'authentification, mais refuse l'association. En effet, la trame de demande d'association envoyée par le client C comporte un champ de nom de réseau ESSID laissé vide. L'équipement B est configuré pour refuser une association avec un équipement émettant des trames avec un champ ESSID différent du sien. Aucun attachement n'a donc été établi, les machines à états des équipements A, B, C se retrouvent dans l'état 1.
Dans les deux exemples représentés, le client C initie à nouveau un processus d'attachement au terme duquel le client C est associé à la fois à l'équipement légitime A et à l'équipement illégitime B.
Les mécanismes prévus par les technologies de type IEEE 802.11 sont donc inefficaces pour empêcher l'attachement d'un point d'accès illégitime à une station cliente déjà associée à un point d'accès légitime. Le client est associé en même temps au point d'accès légitime et au point d'accès illégitime.
Les attaques par usurpation d'adresse de station cliente constituent un autre exemple d'attaque par usurpation d'adresse. Une station cliente illégitime peut ainsi accéder à un réseau fermé en se faisant passer pour une station cliente légitime. De la même façon que dans les exemples illustrés par les figures 2 et 3, il est possible à une station cliente illégitime de s'associer à un point d'accès d'un réseau fermé en usurpant l'identité d'une station cliente légitime à laquelle le point d'accès est associé.
De manière générale, les technologies d'accès sans fil à des réseaux de télécommunications ne sont pas protégées contre un attachement d'un équipement illégitime usurpant l'identité d'un équipement légitime à un équipement tiers attaché à l'équipement légitime.
La présente invention permet de remédier à cet inconvénient.
Selon un premier aspect, l'invention a pour objet un procédé de protection destiné à être mis en œuvre dans un réseau sans fil, par un premier équipement attaché à un deuxième équipement, le procédé comprenant les étapes suivantes, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement :
- émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement,
- attendre pendant une durée déterminée une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement, et
- refuser le détachement en cas de réception de la trame d'infirmation pendant la durée déterminée.
En effet, si la trame de détachement reçue provient d'un troisième équipement distinct du deuxième équipement, le deuxième équipement répond à la trame de vérification par une trame d'infirmation. Le premier équipement refuse alors de mettre fin à l'attachement. Le procédé permet ainsi d'empêcher un détachement initié par un équipement attaquant usurpant l'adresse du deuxième équipement, et donc à terme d'empêcher un attachement de l'équipement attaquant au premier équipement.
Avantageusement, le détachement est accepté si aucune trame ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement n'est reçue pendant la durée déterminée. En effet, le deuxième équipement ayant effectivement émis la trame de détachement peut s'abstenir de répondre à la trame de vérification. C'est en particulier le cas pour un deuxième équipement connu de l'art antérieur. En cas de non-réponse à la trame de vérification, le premier équipement accepte le détachement au terme de la durée prédéterminée. Les équipements agencés pour mettre en œuvre le procédé selon cet aspect de l'invention sont ainsi capables de fonctionner avec des équipements connus de l'art antérieur.
Avantageusement, une alerte peut être déclenchée si une trame d'infirmation est reçue pendant la durée déterminée. En effet, une trame d'infirmation provient d'un équipement qui n'a pas émis la trame de détachement. Le premier équipement reçoit donc de deux équipements distincts des trames ayant un champ d'adresse source qui comporte la même adresse. Dit autrement, l'un de ces deux équipements usurpe l'adresse de l'équipement légitimement attaché au premier équipement.
La durée déterminée est avantageusement inférieure à la seconde. L'attente commence dés l'émission de la trame de vérification et peut par exemple prendre fin VT. seconde plus tard.
Selon un deuxième aspect, l'invention a pour objet un procédé destiné à être mis en œuvre par un deuxième équipement attaché à un premier équipement, dans un réseau sans fil auquel accède un premier équipement. Le deuxième équipement est agencé pour émettre une trame de détachement à destination du premier équipement en vue de se détacher de ce premier équipement, et pour stocker au moins temporairement dans une mémoire des données de la trame de détachement, typiquement des valeurs de champs de la trame de détachement. Le procédé comprend, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement, les étapes suivantes :
- comparer des données de la trame de vérification, typiquement des valeurs de champs de la trame de vérification, avec les données stockées dans la mémoire,
- émettre à destination du premier équipement une trame d'infirmation en cas d'incompatibilité relevée dans la comparaison.
Ainsi, le premier équipement est en mesure de vérifier si une trame de détachement émane bien de l'équipement auquel il est attaché.
En effet, si la trame de détachement émane d'un troisième équipement illégitime, les données éventuellement stockées dans la mémoire ne correspondent pas à la trame de vérification. Le deuxième équipement répond à la trame de vérification par une trame d'infirmation. Le premier équipement refuse alors de mettre fin au détachement.
Avantageusement, suite à la réception de la trame de vérification, le deuxième équipement émet une trame de confirmation en cas de compatibilité relevée dans la comparaison des données.
Ainsi, si la trame de détachement émane effectivement du deuxième équipement, alors une trame de confirmation est émise suite à la réception de la trame de vérification.
Alternativement, le deuxième équipement peut, suite à la réception de la trame de vérification, s'abstenir de répondre si il a effectivement émis la trame de détachement en vue de mettre fin à l'attachement avec le premier équipement.
Afin d'éviter de prendre une trame de détachement émise pour mettre fin à un attachement ancien pour la trame de détachement à la suite de laquelle le premier équipement a émis la trame de vérification, la mémoire peut par exemple comprendre une ou plusieurs zones mémoire, chaque zone mémoire étant dédiée à la gestion d'un attachement. Le deuxième équipement peut décider d'affecter telle zone mémoire à tel premier équipement lors d'un début d'une procédure d'attachement avec ce premier équipement.
Les données stockées dans une zone mémoire dédiée à la gestion d'un attachement donné en cas d'émission d'une trame de détachement peuvent se limiter à une valeur d'une première variable binaire. Une valeur de cette première variable à 1 indique qu'une trame de détachement a été émise pour mettre fin à cet attachement. Les données de la trame de vérification peuvent également se limiter à une seconde variable binaire, une valeur à 1 de cette seconde variable indiquant qu'une trame de vérification a été reçue. Si la seconde variable est à 1 et la première variable à O, alors on relève une incompatibilité et la trame d'infirmation est émise.
Alternativement, les données stockées dans la mémoire en cas d'émission d'une trame de détachement peuvent comprendre une date du détachement, ou bien encore une adresse MAC de l'équipement à destination duquel le détachement a été émis. Alternativement, la mémoire peut être régulièrement effacée.
Avantageusement, lorsque le deuxième équipement émet la trame de détachement, le deuxième équipement attend la trame de vérification pendant une durée donnée. Si aucune trame de vérification n'est reçue, le deuxième équipement met fin à l'attachement. Alternativement, le deuxième équipement peut mettre fin à l'attachement aussitôt après avoir émis la trame de détachement.
En effet, le premier équipement peut ne pas être agencé pour mettre en oeuvre le procédé selon le premier aspect de l'invention, de sorte qu'il s'est détaché dés la réception de la trame de détachement. Le détachement du deuxième équipement permet ainsi d'utiliser un deuxième équipement mettant en œuvre un procédé selon le premier aspect de l'invention avec un premier équipement connu de l'art antérieur.
La norme IEEE 802.11 existante peut par exemple être modifiée afin de permettre une implémentation pratique des procédés selon le premier ou deuxième aspect de l'invention. Deux nouvelles trames de gestion de type 802.11 peuvent être créées : une trame de vérification et une trame de réponse. La trame de réponse comprend un champ de réponse dont la valeur indique si il s'agit d'une trame de confirmation ou d'une trame d'infirmation. Par exemple, une valeur égale à 0 correspond à une infirmation et une valeur égale à 1 correspond à une confirmation. Ces nouvelles trames de gestion peuvent par exemple être identifiées respectivement grâce à des sous-types « 1101 » et « 1111 ». Les modifications à apporter aux procédés existants de configuration des équipements réseau sont donc relativement légères. Selon un troisième aspect, l'invention a également pour objet un dispositif pour un premier équipement dans un réseau sans fil, comprenant :
- des moyens d'émission/réception agencés pour, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse d'un deuxième équipement, émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement,
- des moyens de temporisation pour attendre pendant une durée déterminée une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement, et
- des moyens de décision agencés pour refuser de mettre fin à un attachement entre les premier et deuxième équipements en cas de réception de la trame d'infirmation pendant la durée déterminée.
Ce dispositif permet de mettre en œuvre le procédé selon le premier aspect de l'invention. Ce dispositif peut faire partie du premier équipement, ou bien encore comprendre le premier équipement.
Avantageusement, le dispositif comprend en outre une machine à états comprenant au moins un état de détachement, correspondant à un détachement du premier équipement au deuxième équipement, et un état d'attachement, correspondant à un attachement du premier équipement au deuxième équipement. Les moyens de décision permettent de passer de l'état d'attachement à l'état de détachement si aucune trame d'infirmation n'est reçue pendant la durée déterminée.
Les équipements existants peuvent en effet comprendre une machine à états comprenant entre autres l'état de détachement et l'état d'attachement. Un tel équipement existant peut ainsi être modifié relativement facilement pour mettre en œuvre le procédé selon le premier aspect de l'invention. Il suffit en effet de modifier les conditions de passage de l'état d'attachement à l'état de détachement. Un tel dispositif ne constitue bien entendu qu'un exemple de mise de œuvre de l'invention.
Selon un quatrième aspect, l'invention a pour objet un dispositif pour un deuxième équipement attaché à un premier équipement dans un réseau sans fil, le deuxième équipement étant agencé pour émettre une trame de détachement à destination du premier équipement en vue de se détacher dudit premier équipement, et stocker dans une mémoire des données de ladite trame de détachement au moins temporairement, le dispositif comprenant
- des moyens de comparaison pour, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement, comparer des données de la trame de vérification aux données stockées dans ladite mémoire,
- des moyens d'émission agencés pour émettre à destination du premier équipement une infirmation en cas d'incompatibilité relevée par les moyens de comparaison.
Ce dispositif permet de mettre en œuvre le procédé selon le deuxième aspect de l'invention. Ce dispositif peut faire partie du deuxième équipement, ou bien encore comprendre le deuxième équipement.
Ce dispositif peut avantageusement comprendre des moyens de temporisation agencés pour, suite à l'émission de la trame de détachement, attendre pendant une durée donnée la trame de vérification, et des moyens de décision pour mettre fin à l'attachement si aucune trame de vérification n'est reçue pendant la durée donnée.
L'invention propose également un système pour un réseau sans fil, le système comprenant au moins le premier équipement et le deuxième équipement décrits plus haut.
L'invention propose aussi un programme d'ordinateur destiné à être stocké dans une mémoire d'un premier équipement dans un réseau sans fil et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit équipement et/ou téléchargé via un réseau de télécommunication, le programme comprenant des instructions pour exécuter les étapes du procédé selon le premier aspect de l'invention.
L'invention a également pour objet un programme d'ordinateur destiné à être stocké dans une mémoire d'un deuxième équipement dans un réseau sans fil et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit équipement et/ou téléchargé via un réseau de télécommunication.
Le deuxième équipement est agencé pour émettre à destination d'un premier équipement auquel il est attaché une trame de détachement, et pour stocker au moins temporairement des données de la trame de détachement dans une mémoire. Le programme comprend des instructions pour exécuter les étapes du procédé selon le deuxième aspect de l'invention.
D'autres particularités et avantages de la présente invention apparaîtront dans la description ci-après d'exemples de réalisation non limitatifs, en référence aux dessins annexés, dans lesquels :
- la -figure 1 est un schéma synoptique d'une machine à états d'un équipement réseau connu de l'art antérieur;
- la figure 2 montre schématiquement un exemple connu d'association d'une station cliente à un point d'accès illégitime et à un point d'accès légitime; *
- la figure 3 montre schématiquement un autre exemple connu d'association d'une station cliente à un point d'accès illégitime et à un point d'accès légitime ;
- la figure 4 est un schéma synoptique d'un exemple de réseau sans fil dans lequel l'invention peut être mise en œuvre, dans un mode de réalisation préféré;
- la figure 5 montre schématiquement un exemple de communications entre une station cliente, un point d'accès légitime et un point d'accès illégitime, selon le mode de réalisation préféré de l'invention ; ,
13
- la figure 6 est un exemple d'organigramme d'un programme exécutable par la station cliente représentée figure 4 ;
- la figure 7 est un schéma synoptique d'un exemple de machine à états de la station cliente représentée figure 4 ; - les figures 8A et 8B sont des exemples d'organigrammes de programmes exécutables par un des points d'accès représentés figure 4.
L'invention est décrite ci-après dans une application particulière, à savoir dans un réseau sans fil de type IEEE 802.11.
Dans le mode de réalisation préféré, le réseau est de type ouvert, le premier équipement comprend une station cliente et le deuxième équipement comprend un point d'accès légitime.
Comme représenté figure 4, le réseau ouvert, par exemple un réseau de type Hot Spot, comprend un certain nombre de points d'accès répartis sur la zone de couverture du réseau, dont un seul est représenté figure 4, sous le référence 1. Dans cet exemple, les points d'accès selon un aspect de l'invention sont reliés à un réseau de type IP 2 qui peut être l'Internet ou un Intranet.
Une station cliente 5 peut accéder au réseau de type IP 2 via le point d'accès 1 , en étant attachée au point d'accès 1. Pour réaliser un attachement, la station cliente 5 écoute la voie radio pour rechercher des balises lors d'une étape de découverte de point d'accès. Le client 5 peut alors sélectionner un point d'accès 1 et demander à s'authentifier auprès de ce point d'accès 1. L'authentification est acceptée par défaut dans un réseau ouvert. La station cliente 5 et le point d'accès 1 comprennent chacun une machine à états dont l'état passe alors d'un état de détachement, ici un état 1 , à un état 2 intermédiaire. Enfin, le client 5 demande à être associé au point d'accès 5. Si ce dernier accepte, les machines à états passent à un état d'attachement, ici un état 3. La station cliente 5 et le point d'accès 1 sont alors attachés l'un à l'autre et peuvent échanger des données dites de classe 3.
Un troisième équipement 8 selon un aspect de l'invention, dit équipement attaquant, peut usurper l'identité du point d'accès légitime 1 , en particulier l'adresse MAC du point d'accès 1 , et ce afin d'attaquer la station cliente 5 en établissant un attachement avec elle.
Comme représenté figure 5, le client 5 et le point d'accès légitime 1 échangent des données de classe 3, par exemple une trame data_3 émise par le client 5 à destination du point d'accès 1. Cette trame data_3 a un champ d'adresse de destination qui comporte l'adresse du point d'accès 1 et est donc reçue par l'équipement illégitime 8.
L'équipement illégitime 8 est agencé pour communiquer sur un réseau de type IEEE 802.11 et comprend également une machine à états relativement semblable à celles des équipements légitimes 1 , 5.
La machine à états de l'équipement illégitime 8 se trouve alors dans l'état 1 , le client 5 et l'équipement illégitime 8 détachés l'un de l'autre. Suite à la réception d'une trame de classe 3 data_3, l'équipement illégitime 8 émet une trame de détachement, par exemple une trame de de-authentification, afin de faire passer la machine à états du client 5 à l'état 1. L'équipement illégitime 8 stocke dans une mémoire 7' des valeurs de champs de la trame de de- authentification, par exemple une date et une adresse de destination.
Cette trame de détachement a un champ d'adresse source qui comporte l'adresse usurpée du point d'accès 1 et un champ d'adresse de destination qui comporte l'adresse du client 5. Des moyens d'émission/réception, par exemple une antenne 10, du client 5 reçoivent cette trame.
Avant toute dé-association, l'antenne 10 émet une trame de vérification à destination du point d'accès 1. Des moyens de temporisation 11 , par exemple un compteur, permettent d'attendre une trame de réponse de ce point d'accès pendant une durée déterminée.
La trame de vérification est reçue à la fois par le point d'accès légitime 1 et par le point d'accès illégitime 8. Des moyens de comparaison 6', par exemple un processeur, du point d'accès illégitime 8 comparent la trame de vérification reçue aux données de la trame de de-authentification mémorisées dans la mémoire T . Ne relevant pas d'incompatibilité, le point d'accès 8 émet une trame de confirmation (confirmationJDK).
Des moyens de comparaison 6, par exemple un processeur, du point d'accès légitime 1 comparent également des données de la trame de vérification reçue à des données stockées dans une mémoire 7. Dans cet exemple, la mémoire 7 est vide du fait qu'aucune trame de détachement n'a été émise par le point d'accès depuis une minute. Les moyens de comparaison 6 concluent donc à une incompatibilité, et des moyens d'émission/réception, par exemple une antenne 3, du point d'accès 1 émettent une trame d'infirmation (confirmation_NOK).
Le client 5 reçoit ainsi une trame de confirmation et une trame d'infirmation. Des moyens de décision 9, par exemple un processeur, refusent donc de mettre fin à l'attachement, c'est-à-dire ici que la machine à états du client reste à l'état 3. Le client 5 continue ainsi à échanger des données de classe 3 avec le point d'accès 1, et ne cherche pas à réinitialiser un attachement avec le point d'accès 8.
Le client 5 peut éventuellement déclencher une alarme, par exemple vers l'opérateur du réseau sans fil, afin de le prévenir de l'attaque en cours.
La figure 6 est un exemple d'organigramme d'un programme exécutable par la station cliente 5.
Lorsque la station cliente reçoit une trame de de-authentification (étape 61), elle émet une trame de vérification (étape 62), puis se place en attente d'une réponse pendant une durée déterminée Δt (étape 63) de par exemple quelques secondes. A la fin de cette durée Δt, il est procédé à un test (étape
64) quant au nombre de trames de réponse reçues. Si aucune trame n'a été reçue pendant la durée Δt, la station cliente met fin à l'attachement, c'est-à-dire que sa machine à états retourne dans l'état 1 state_1 (étape 65). Une trame de réponse peut être une trame de confirmation ou une trame d'infirmation. Si une ou plusieurs trames de réponse ont été reçues, il est procédé à un autre test (étape 66), quant au nombre de trames d'infirmation parmi la ou les trames de réponse reçues. Si aucune trame d'infirmation n'a été reçue pendant la durée Δt, alors la station cliente met également fin à l'attachement (étape 65). Si une (ou plusieurs) trame d'infirmation a été reçue pendant la durée Δt, alors la station cliente déclenche une alerte (étape 68) et refuse de mettre fin à l'attachement. Dit autrement, sa machine à états reste dans l'état 3 state_3 (étape 67).
La station cliente accepte donc de mettre fin à l'attachement quand, suite à l'envoi de la trame de vérification :
- la station cliente ne reçoit aucune trame de réponse,
- la station cliente reçoit une seule trame de réponse, cette trame comprenant une trame de confirmation, ou
- la station cliente reçoit deux trames de confirmation.
Dans les trois cas ci-dessus, la demande de détachement est validée.
La station cliente refuse de mettre fin à l'attachement quand, suite à l'envoi de la trame de vérification :
- la station cliente reçoit une seule trame de réponse, cette trame comprenant une trame d'infirmation,
- la station cliente reçoit une trame de confirmation et une trame d'infirmation, ou
- la station cliente reçoit deux trames d'infirmation.
Dans ces trois cas, la demande de détachement est rejetée.
La figure 7 montre un exemple de machine à états dans une station cliente selon le mode de réalisation préféré de l'invention.
Cette machine à états diffère de l'exemple de machine à états représenté figure 1 principalement de part les conditions nécessaires pour passer de l'état 3 à l'état 1 ou 2, et pour passer de l'état 2 à l'état 1. En effet, il ne suffit pas d'une notification de dé-association ou de de-authentification, comme dans l'art antérieur, mais d'une validation de la dé-association ou de la de-authentification.
Si la station cliente reçoit une ou plusieurs trame(s) d'infirmation, la demande de dé-association ou de dé-authentification est rejetée (« dissociation reject » ou « de-authentication reject » en anglais). La machine à états reste alors dans le même état.
La figure 8A est un exemple d'organigramme exécutable par l'un des points d'accès 1 ou 8 sur la figure 4.
Ce point d'accès émet une trame de détachement (étape 81), ici une trame de dé-authentification, pour mettre fin à l'attachement du client 5 avec le point d'accès 1. Le point d'accès attend pendant une durée prédéterminée Δt' (étape 82) de par exemple quelques secondes. A la fin de cette durée Δt', il est procédé à un test (étape 83) quant au nombre de trames de vérification reçues. Si aucune trame de vérification n'est reçue, le point d'accès met fin à l'attachement en plaçant sa machine à états dans l'état 1 state_1 (étape 84). Si une trame de vérification est reçue, alors le point d'accès renvoie une trame de confirmation (étape 85), puis met fin à l'attachement (étape 84).
Alternativement, cette étape 84 de fin d'attachement peut être effectuée directement après l'étape 81 d'émission de la trame de détachement.
Les instructions pour exécuter les étapes 82, 83, 84 et 85 peuvent être programmées comme faisant suite à l'instruction pour exécuter l'étape 81 d'émission de la trame de détachement. Pour les cas où la trame de détachement émanerait d'un autre équipement que le point d'accès, le programme du point d'accès peut également prévoir un envoi d'une trame de réponse, normalement une infirmation, suite à la réception d'une trame de vérification. La figure 8B montre un exemple d'organigramme correspondant à une telle portion de programme. Suite à la réception d'une trame de vérification (étape 86), le point d'accès cherche à déterminer si il a effectivement émis la trame de détachement à la suite de laquelle le client 5 a émis la trame de vérification. Le point d'accès compare à cet effet des données de la trame de vérification reçue à l'étape 86 à des données stockées dans une mémoire (étape 87). En effet, le point d'accès est configuré pour, en cas d'émission d'une trame de détachement, stocker dans cette mémoire des données de la trame de détachement. En cas de compatibilité, le point d'accès émet une trame de confirmation (confirmation_OK) à destination du client (étape 88), puis met fin à l'attachement (étape 90) en plaçant sa machine à états dans l'état state_1. Dans Ie cas contraire, le point d'accès émet une trame d'infirmation (confirmation_NOK) à destination du client (étape 89) et refuse de mettre fin à l'attachement (étape non représentée sur la figure 8B).
Le procédé de la figure 8B peut par exemple être implémenté via un mécanisme d'interruption en cas de réception d'une trame de vérification.
Variante
Le premier équipement peut comprendre un point d'accès et le deuxième équipement une station cliente, en particulier dans le cas de réseaux fermés. La présente invention permet alors de se protéger contre une station cliente attaquante qui usurpe l'identité d'un client légitimement attaché à un point d'accès et qui souhaite être elle-même attachée à ce point d'accès. La station illégitime peut envoyer au point d'accès une trame de détachement. Ce dernier envoie alors une trame de vérification, à laquelle le client légitime répond par une trame d'infirmation. Le point d'accès refuse alors de mettre fin à l'attachement avec le client légitime.

Claims

R E V E N D I C A T I O N S
1. Procédé destiné à être mis en œuvre dans un réseau sans fil, par un premier équipement attaché à un deuxième équipement, le procédé comprenant les étapes suivantes, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement (61) : émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement (62), attendre pendant une durée déterminée (Δt) une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement (63), et refuser le détachement en cas de réception de la trame d'infirmation pendant la durée déterminée (67).
2. Procédé selon la revendication 1 , comprenant en outre l'étape suivante : accepter le détachement si aucune trame ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement n'est reçue pendant la durée déterminée (65).
3. Procédé selon l'une des revendications 1 ou 2, comprenant en outre l'étape suivante : déclencher une alerte si une trame d'infirmation est reçue pendant la durée déterminée (68).
4. Procédé selon l'une des revendications 1 à 3, dans lequel la durée déterminée (Δt) est comprise inférieure à la seconde.
5. Procédé destiné à être mis en œuvre par un deuxième équipement attaché à un premier équipement dans un réseau sans fil, le deuxième équipement étant agencé pour émettre une trame de détachement à destination du premier équipement en vue de se détacher dudit premier équipement et stocker dans une mémoire des données de ladite trame de détachement au moins temporairement, le procédé étant caractérisé en ce qu'il comporte, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement (86), les étapes suivantes :
- comparer des données de la trame de vérification avec les données stockées dans ladite mémoire, et
- émettre à destination du premier équipement une trame d'infirmation en cas d'incompatibilité relevée dans la comparaison (89).
6. Procédé selon la revendication 5, comprenant en outre les étapes préalables suivantes émettre la trame de détachement à destination du premier équipement
(81), attendre pendant une durée donnée (Δf) la trame de vérification (82), et mettre fin à l'attachement si aucune trame de vérification n'est reçue (84).
7. Dispositif pour un premier équipement (5) dans un réseau sans fil, comprenant des moyens d'émission/réception (10) pour, suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse d'un deuxième équipement, émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement, des moyens de temporisation (11) pour attendre pendant une durée déterminée une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement, et des moyens de décision (9) agencés pour refuser de mettre fin à un attachement entre le premier équipement et le deuxième équipement en cas de réception d'une trame d'infirmation pendant la durée déterminée.
8. Dispositif (5) selon la revendication 7, comprenant en outre une machine à états comprenant au moins un état de détachement, correspondant à un détachement du premier équipement au deuxième équipement (1), et un état d'attachement, correspondant à un attachement du premier équipement au deuxième équipement, et dans lequel les moyens de décision (9) permettent de passer de l'état d'attachement à l'état de détachement si aucune trame d'infirmation n'est reçue pendant la durée déterminée.
9. Dispositif pour un deuxième équipement (1) attaché à un premier équipement (5) dans un réseau sans fil, le deuxième équipement étant agencé pour émettre à destination du premier équipement une trame de détachement en vue de se détacher dudit premier équipement, et pour stocker au moins temporairement dans une mémoire (7) des données de ladite trame de détachement, le dispositif comprenant des moyens de comparaison (6) pour, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse du premier équipement, comparer des données de la trame de vérification reçue aux données stockées dans la mémoire, des moyens d'émission (3) agencés pour émettre à destination du premier équipement une trame d'infirmation en cas d'incompatibilité relevée par les moyens de comparaison.
10. Système pour un réseau sans fil, comprenant un premier équipement (5) comprenant un dispositif selon l'une des revendications 7 ou 8, et un deuxième équipement (1) comprenant un dispositif selon la revendication 9.
11. Programme d'ordinateur destiné à être stocké dans une mémoire d'un premier équipement dans un réseau sans fil, et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit équipement et/ou téléchargé via un réseau de télécommunication, le programme comprenant des instructions pour exécuter les étapes suivantes suite à la réception d'une trame de détachement ayant un champ d'adresse source qui comporte l'adresse d'un deuxième équipement auquel le premier équipement est attaché : émettre une trame de vérification avec un champ d'adresse de destination qui comporte l'adresse du deuxième équipement, attendre pendant une durée déterminée une trame d'infirmation ayant un champ d'adresse source qui comporte l'adresse du deuxième équipement, et refuser de mettre fin à l'attachement en cas de réception de la trame d'infirmation pendant la durée déterminée.
12. Programme d'ordinateur destiné à être stocké dans une mémoire d'un deuxième équipement dans un réseau sans fil, et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit deuxième équipement et/ou téléchargé via un réseau de télécommunication, le deuxième équipement étant agencé pour émettre à destination d'un premier équipement attaché au deuxième équipement une trame de détachement en vue de mettre fin audit attachement, et pour stocker au moins temporairement dans une mémoire des données de ladite trame de détachement, le programme comprenant des instructions pour exécuter, suite à la réception d'une trame de vérification ayant un champ d'adresse source qui comporte l'adresse d'un premier équipement attaché au deuxième équipement, une étape de comparaison de données de ladite trame de vérification aux données stockées dans ladite mémoire, une étape d'émission à destination du premier équipement d'une trame d'infirmation en cas d'incompatibilité relevée dans la comparaison des données.
PCT/FR2007/000448 2006-04-07 2007-03-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil WO2007122305A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0603102A FR2899752A1 (fr) 2006-04-07 2006-04-07 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
FR0603102 2006-04-07

Publications (1)

Publication Number Publication Date
WO2007122305A1 true WO2007122305A1 (fr) 2007-11-01

Family

ID=37441444

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2007/000448 WO2007122305A1 (fr) 2006-04-07 2007-03-15 Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil

Country Status (2)

Country Link
FR (1) FR2899752A1 (fr)
WO (1) WO2007122305A1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086465A1 (en) * 2003-10-16 2005-04-21 Cisco Technology, Inc. System and method for protecting network management frames

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086465A1 (en) * 2003-10-16 2005-04-21 Cisco Technology, Inc. System and method for protecting network management frames

Also Published As

Publication number Publication date
FR2899752A1 (fr) 2007-10-12

Similar Documents

Publication Publication Date Title
EP2721857B1 (fr) Procédé de traitement d'un paquet de données a l'émission, procédé de traitement d'un paquet de données à la réception, dispositifs et équipements de noeuds associés
WO2006035140A1 (fr) Procede, dispositif et programme de detection d'usurpation de point d'acces.
EP1965559A1 (fr) Procédé de sécurisation d'un flux de données
EP2600587B1 (fr) Procédé d'authentification d'un terminal à un réseau de télécommunications
EP1902563A2 (fr) Detection d une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
EP2210396B1 (fr) Système d'interconnexion entre au moins un appareil de communication et au moins un système d'information distant et procédé d'interconnexion
WO2006087473A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
EP1905194B1 (fr) Detection de double attachement entre un reseau filaire et au moins un reseau sans-fil
WO2007122305A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
EP3087719B1 (fr) Procédé de ralentissement d'une communication dans un réseau
EP4066461A1 (fr) Procédé de coordination de la mitigation d'une attaque informatique, dispositif et système associés
WO2020002853A1 (fr) Procédés de gestion du trafic associé à un domaine client, serveur, nœud client et programme d'ordinateur correspondants
EP3747238B1 (fr) Agrégation d'une pluralité de connexions radio dans un réseau sans fil
EP4338375A1 (fr) Procede de defense contre une tentative de deconnexion entre deux entites, systeme associe
EP3545384B1 (fr) Système de gestion de consommation électrique dans un appareil
FR2872980A1 (fr) Procede, dispositif et systeme de protection d'un serveur contre des attaques de deni de service
EP3076615B1 (fr) Procédé de protection d'un réseau de communication, dispositif, équipement de contrôle et programme d'ordinateur associés
WO2021260289A1 (fr) Procédé et dispositif de détection d'une faille de sécurité
EP3970336A1 (fr) Procede de gestion d'une information de securite dans un reseau de communication, dispositif, equipement d'acces audit reseau et programmes d'ordinateur correspondants
WO2006035137A1 (fr) Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique
FR2888432A1 (fr) Procedes de protection des trames de gestion echangees entre deux equipements sans fil, de reception et d'emission de telles trames, programmes d'ordinateur et supports de donnees contenant ces programmes d'ordinateur
EP2091280A2 (fr) Procédé de transmission de données entre un premier et un deuxième dispositif de communication
WO2007113408A1 (fr) Procede de controle de la connexion d'un premier et d'un deuxieme dispositif, point d'acces et terminal utilisateur en reseau partage correspondant
FR2995427A1 (fr) Dispositif de surveillance de trames a l'interconnexion d'un reseau local domestique et de l'internet

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07731142

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07731142

Country of ref document: EP

Kind code of ref document: A1