WO2013045857A1 - Procede de prevention d'usurpation d'adresse - Google Patents

Procede de prevention d'usurpation d'adresse Download PDF

Info

Publication number
WO2013045857A1
WO2013045857A1 PCT/FR2012/052200 FR2012052200W WO2013045857A1 WO 2013045857 A1 WO2013045857 A1 WO 2013045857A1 FR 2012052200 W FR2012052200 W FR 2012052200W WO 2013045857 A1 WO2013045857 A1 WO 2013045857A1
Authority
WO
WIPO (PCT)
Prior art keywords
address
machine
request
packet
association
Prior art date
Application number
PCT/FR2012/052200
Other languages
English (en)
Inventor
Jean-Michel Combes
Marc Lacoste
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2013045857A1 publication Critical patent/WO2013045857A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Definitions

  • the invention relates to a method for preventing spoofing of addresses in a network
  • the invention finds a particularly interesting application in the prevention of certain types of attacks based on an address spoofing, for example denial of service attacks, during which a terminal that wishes to perpetrate such an attack masks its identity. its IP address, spoofing the IP address and thus the identity of another terminal. Thus, it becomes difficult to locate the terminal as the source of the attack.
  • a first known mechanism which we will not detail here, makes it possible to detect an address spoofing between machines of different subnets, by analysis of the network prefixes of the source address fields of the messages.
  • DHCP Dynamic Host Configuration Protocol
  • the address is defined by auto-configuration of the machine, in the case of an IPv6 address.
  • the SAVI mechanism will be described for the two IP address assignment methods, in connection with FIGS. 1A and 1B.
  • a device 10 which implements the SAVI mechanism is positioned as close to the machines, denoted M1, M2, and M3, ....
  • the equipment 10 is cut off from the exchanges between the machines M1, M2, M3, .. and other equipment of a network 12, for example the Internet.
  • the mechanism can be implemented by a dedicated equipment, or by known network equipment, such as a router, a switch, a "DSLAM” (for "Digital Subscriber Line Access Multiplexer"), a virtual private network (or " VPN ", for Virtual Private Network”), etc.
  • the equipment 10 is a dedicated equipment subsequently called "SAVI device". According to FIG.
  • a machine in the case of obtaining an IP address from a DHCP server 11, a machine, for example M1, requests from the DHCP server 11 an IP address by broadcasting a DHCP_DISCOVER request.
  • the DHCP server 11 which receives the request diffuses to the attention of the machine Ml a DHCP_OFFER offer which includes an IP address proposed by the DHCP server 11.
  • the machine Ml if it accepts this address, responds to this offer by sending a request DHCP_REQUEST which includes the IP address that has just been proposed.
  • the message DHCP_REQUEST which passes through the device S AVI 10 allows the latter to record in a BT association table (usually referred to as a "Binding Table") a correspondence between, for example a port number pl on which the device SAVI 10 receives the DHCP_REQUEST message from the machine Ml, and the IP address that has been assigned and accepted by the machine Ml.
  • the DHCP_REQUEST message in short, is analyzed by the SAVI device 10 and the IP address associated with the machine M1 retrieved during this analysis.
  • the SAVI device 10 manages the BT association table which records for each machine Ml, M2, M3, ... which is assigned an IP address by the DHCP server 11 a correspondence between a port number of the SAVI device 10 on which the machine communicates on the network, and the IP address assigned to said machine.
  • a machine for example M3, usurps the IP address of another machine, for example M1, and sends an IP datagram on the network comprising as the source IP address the impersonated address of the machine M1
  • the device SAVI detects an inconsistency.
  • the SAVI device 10 blocks the datagram sent from the machine M3 which comprises as the source address, the address of the machine M1.
  • a machine receives from a router 13 in a "Router Advertisment" message, a network prefix pfx.
  • the machine Ml then generates an interface identifier of its own, as a suffix of the IPv6 address.
  • the machine Ml then concatenates the network prefix and the generated suffix to forge its IP1 IP address.
  • DAD Downlicate Address Detection
  • the machine Ml sends to the attention of its neighbors of the same sub-network, here the machines M2, M3, a solicitation message including the address it has forged.
  • the SAVI equipment 10 records in a association table a temporary correspondence between the IP address of the machine Ml, extracted from the solicitation message, and the port number on which it received this message. If no other machine in the subnet responds to this solicitation message for a predefined duration, then this means that the IPv6 address forged by the machine M1 is unique in the subnet and the IPv6 address is valid for the subnet. machine Ml.
  • the association between the IP address and the port number is validated and becomes definitive at the end of this predefined period during which the SAVI equipment has not received any response to the solicitation message. If, on the other hand, a subnet machine responds to the prompt to inform the machine Ml that the address is already assigned, then the SAVI device erases the temporary match it has recorded.
  • IPv6 autoconfiguration or the assignment of an IPv4 or IPv6 address via a DHCP server
  • IPv6 autoconfiguration corresponds to a particular SAVI device and / or particular implementation.
  • the two address assignment mechanisms are deployed in a network, first machines forging their address by auto-configuration and other machines obtaining it from a DHCP server, then it is necessary to implement both mechanisms, which generates additional costs.
  • neither of the two methods of address assignment is used, then no solution exists to prevent denial of service attacks. This is the case, for example, when the IP address of a device is configured manually.
  • the invention overcomes the disadvantages presented above by proposing a method of preventing the theft of an IP address of a first machine, said IP address having been previously configured, the method comprising:
  • M2 second machine
  • a single address spoofing prevention mechanism is suitable for different IP address configuration methods.
  • the mechanism of the invention avoids additional costs related to the implementation in a network of several mechanisms.
  • the IP address of the first machine has been configured according to a known method among the group comprising: an IPv6 address autoconfiguration, a manual configuration, obtaining an address from a DHCP server.
  • the mechanism of the invention is suitable for all known IP address configuration methods.
  • the mechanism of the invention is also adapted to a network where machines configure their IP address manually.
  • no solution of prevention of address spoofing was proposed until now in this case.
  • the invention proposes a solution to a hitherto unsolved problem of preventing address spoofing in the case of a manual configuration of IP address.
  • the registration server is a domain name server.
  • the method further comprises:
  • the method of the invention makes it possible to take account of any IP address updates.
  • Such an update may occur when a new network prefix is transmitted from a router. In this case it is necessary that the machines whose packets are routed by this router update their address, according to this new prefix. This ensures that the association table is always up to date.
  • the method further comprises receiving a validation message of the IP address of the machine from the registration server, following the transmission of said request to the registration server, and conditioning the storage step.
  • storing an anchor association in the association table is conditioned by the registration of the IP address of the machine in the registration server.
  • the validity of the association table is proven. Indeed, only the associations corresponding to IP addresses correctly registered with the recording server are stored.
  • the method comprising securing exchanges between the registration server and the machine according to a public key cryptography scheme, the method comprises a step of verifying a signature of the validation message of the IP address received from the registration server.
  • This embodiment is adapted to secure exchanges between the machines and the recording server named SIG (O).
  • the association memorized during the storage step also comprises a fully qualified name of the first machine.
  • This embodiment enhances the security of the process and makes it possible to overcome an IP address spoofing during the registration phase with the registration server. Indeed, to deceive the mechanism of the invention, it would be necessary that a machine that impersonates an IP address, also impersonates the FQDN registered in the DNS server. However, if a DNS security mechanism is used, in the hope TSIG, or SIG (O), this is not possible because the usurping machine can not sign the registration requests in the place of another machine .
  • the invention also relates to a device for preventing an IP address from being impeded by a first machine, said machine having previously configured its IP address, said device comprising:
  • memory means arranged to store in an association table an association between the IP address of the first machine and a first physical link parameter on which a registration request is intercepted
  • interception means arranged to intercept a request to record the IP address from the first machine and to a recording server, the request comprising at least the IP address of the first machine , and to intercept an IP packet from a second machine, a second physical link parameter being associated with the transmission of said packet,
  • blocking means arranged to block the received IP packet if a source address field of the IP packet comprises the IP address of the first machine and the second physical link parameter is different from the first stored physical link parameter.
  • the invention also relates to a computer program intended to be installed in a memory of a computer, comprising instructions for the implementation of the steps of the method of preventing spoofing of the invention's IP addresses that are executed by the device, when the program is executed by a processor.
  • the invention also relates to a data carrier on which the computer program according to the invention is stored.
  • FIGS. 1A and 1B illustrate methods for preventing IP address spoofing using a known mechanism called SAVI according to whether the IP address is obtained by a machine from a DHCP server, respectively by self-configuration of the machine. ;
  • FIG. 2 presents the steps of an IP address spoofing prevention mechanism according to a first embodiment of the invention
  • FIG. 3 represents a device able to implement the method of preventing IP address spoofing according to the invention.
  • a plurality of machines Ml, M2, M3, of an IP subnetwork (not shown in FIG. 2) is connected to an IP address spoofing prevention device 20 according to the invention. It should be understood here that the equipment 20 is located closest to the machines Ml, M2, M3, ... and that messages from or to the machines pass through the equipment 20.
  • a domain name server registration device 21 (the term usually used is the English term "DNS" for "Domain Name Server") is intended to storing records associated with the machines of the network.
  • a record is data that includes at least one machine IP address and machine-specific information, for example, a fully qualified machine name, or "FQDN" (Fully Qualified Domain Name), or domain name.
  • the domain name, or FQDN makes it possible to name the machine Ml in an understandable manner, for example www.MachineMl .corn, rather than by means of an IP address, difficult to memorize.
  • the registration server is queried to obtain the associated IP address and correctly forward the message to the network.
  • the machine Ml configures its IP address.
  • a configuration can be obtained according to various known mechanisms: either to a "Dynamic Host Configuration Protocol” (DHCP) server for an IPv4 or IPv6 address,
  • DHCP Dynamic Host Configuration Protocol
  • the equipment 20 analyzes the DNS request and extracts from this request the IP1 address of the machine M1. This analysis is possible because the DNS request is a message in the clear.
  • the equipment 20 retransmits the registration request to the registration server 21.
  • the registration server 21 receives and records the base DNS record in a reception step E4 and of setting in base.
  • an association step E5 the equipment 20 records in an association table (the term usually used is the term "Binding Table") an association between the IP IP address of the machine Ml and an associated physical parameter. to the physical link on which the network of the machine Ml operates.
  • the association thus consists of a strong link intended to link the IP address, logical, of the machine M1 to an identity of the machine M1, independent of the logical address.
  • Such an association is also known as the “anchoring association” (the term usually used is the term “binding anchor").
  • the strong link associates with the IP address of the machine M1 information that characterizes the communication between the machine M1 and the equipment 20.
  • the physical parameter associated with the physical link is independent of the IP address of the machine Ml.
  • the strong link, or the anchoring association associates with the IP address of the machine M1 a port number of the equipment 20 through which the equipment receives, respectively transmits, the messages of, respectively to, the machine Ml.
  • the IP1 address of the machine Ml is associated with a noted port pl, the address of the machine M2 with a port denoted p2, the address of the machine M3 with a port denoted p3, etc.
  • the equipment 20 When the configuration steps E0, record E1, interception E2, analysis E3 and association E5 have been executed for the machines M1, M2, M3,. of the same sub-network, the equipment 20 has in its association table, an anchoring association specific to each of the machines M1, M2, M3,. which at each IP address associates a port number of the equipment 20 which characterizes the point by which each machine M1, M2, M3, ... communicates with the other machines, whether the machines of this subnet or the other machines of the network (not shown in Figure 2).
  • a subsequent step E6 of attempting to usurpate the IP address of the machine Ml by the machine M2 the machine M2 sends messages by usurping the IP address of the machine M1 (the term usually used for such an operation is the English term "spoofing").
  • the machine M2 sends messages by usurping the IP address of the machine M1 (the term usually used for such an operation is the English term "spoofing").
  • spokeing the term usually used for such an operation is the English term "spoofing"
  • the equipment 20 then consults its association table stored during the association step E5 to verify that the data contained in the IP packets are consistent with the data stored in the association table.
  • the equipment 20, which receives the packets on a certain port verifies that the IP address which appears in the source address field of the received packets is identical to the IP address which is associated in the association table. to the physical value parameter the port number.
  • the IP packets sent from the machine M2 are received by the equipment 20 on the port p2.
  • the IP address associated with port p2 in the association table is the IP2 address of machine M2.
  • the device 20 easily detects that there is an attempt to usurpation of the IP1 address of the machine M1 by the machine M2, since the source address field of the IP packets includes the IP1 address and not the IP2 address. of the M2 machine, as expected.
  • the equipment 20 then blocks the packets emitted by the machine M2 during a blocking step E8.
  • the attempt at usurpation of address by the machine M2 can not succeed.
  • a machine for example the machine Ml changes IP address.
  • the machine M1 changes IP address in order to have an address consistent with the new prefix.
  • the machine Ml transmits a DNS registration message to the registration server 21 for it to update its recording table.
  • the equipment 20 which sees such a request then updates the association table by replacing in the relevant anchoring association the IP address of the machine M1 previously recorded by the newly configured IP address.
  • the equipment 20 for prevention of address spoofing is a dedicated equipment.
  • the invention is not limited to this embodiment.
  • the method of the invention is implemented in an existing network equipment.
  • the method can be implemented in a network switch (usually referred to as a "switch"), in a router, and so on.
  • the physical parameter associated with an IP address in the association table is a "MAC" (Media Access Control) address of the machines Ml, M2, M3,. . , or a network interface.
  • the invention can also be implemented in a wireless network.
  • the physical parameter associated with the IP addresses in the table Association is a security association ("Security Association").
  • the physical parameters make it possible to identify the communication network interface between the equipment 20 and the machines M1, M2, M3. It can be a port number, a MAC address, a security association, a radio channel, a VPN index, and so on.
  • the exchanges between the machines M1, M2, M3,. and the registration server 21 are secure.
  • the recording server 21 shares with each of the machines M1, M2, M3,. a secret key K 1 , K 2 , K 3 ,.
  • This security mode called “TSIG” (for "Transaction SIGnature") is described in RFC 2845.
  • TSIG Transaction SIGnature
  • the machine Ml signs, by means of the shared secret key K l 5 the registration request.
  • DNS that it sends to the recording server 21 during the recording step El.
  • the registration server 21 verifies the signature of the request during the reception and setting step E4.
  • the registration server 21 sends the machine Ml a positive acknowledgment message.
  • This message intercepted by the equipment 20, allows it to validate the anchor link between the IP1 address of the machine Ml and the physical parameter, in this case the port number, stored during the step E5 of association.
  • the anchor link associated with the IP address of the machine M1 and stored during the step E5 is temporary.
  • the final memorization of this anchor link in the association table is conditioned by the receipt of a positive acknowledgment message from the registration server 21. Otherwise, that is, if the signature of the request is not valid, the registration server 21 sends the machine Ml a negative acknowledgment.
  • This accused of reception is intercepted by the equipment 20 which then erases in the association table the anchor link associated with the machine M1 during the association step E5. Indeed, the IP1 address of the machine Ml can not be recorded in the recording server 21, it is not valid.
  • the recording server 21 and each machine M1, M2, M3,. have a private / public key pair.
  • This security mode called SIG (O)
  • SIG This security mode
  • the machine Ml signs the request that it sends to the recording server 21 by means of its private key.
  • the registration server 21 verifies the signature by means of the public key of the machine Ml and in one embodiment sends the machine Ml a positive or negative acknowledgment, according to the result of the verification of the signature, signed at the means of the private key of the server.
  • the equipment 20 which intercepts this acknowledgment checks the signature of the acknowledgment by means of the public key of the recording server 21. This check enables the equipment 20 to confirm or delete the link of anchoring associated with the machine Ml during the association step E5. This check conditions the memorization of the anchor link associated with the machine Ml in the association table
  • the equipment 20 is based on securing exchanges between the recording server 21 and the machines to secure the association table.
  • the association table a third piece of information, in addition to the IP address and the physical parameter representative of the communication network interface between the device 20 and the machines.
  • This third piece of information is the fully qualified name, or FQDN of the machines.
  • Storage of the fully qualified name takes place during step E5 of association. Indeed, the fully qualified name is included in the registration request transmitted by the machine Ml during the recording step E1 and intercepted by the device 20 during the step E2. The fully qualified name can therefore be extracted from the request during the analysis step E3 and stored during the storage step E5.
  • the presence of the fully qualified name of the machine Ml makes it possible to overcome a spoofing of IP address that would occur at the time of registration of a machine with the registration server 21.
  • the machine M2 which attempts to impersonate the IP address of the machine Ml sends a registration request which includes the IP address of the machine Ml.
  • the IP address of the machine Ml is associated in the association table the physical parameter corresponding to the communication interface between the machine M2 and the device 20.
  • the name fully Qualified which has been sent in the registration request and which is supposed to be that of the machine M2 is then an additional differentiating element when IP packets emitted by the machine M2 usurp the IP address of the machine Ml.
  • TSIG or SIG (O) is used, the machine M2 does not have the key (s) necessary (s) to send a signed request to carry out the recording in the recording server 21. In this case , the recording server responds that the update is not valid and the equipment 20 does not update its association table.
  • the IP packets sent from the machine M2 by falsifying the IP address of the machine M1 are blocked, according to the method of the invention.
  • IP address spoofing prevention equipment 20 will now be described in connection with FIG. 3.
  • the equipment 20 for prevention of address spoofing is located closer to the machines M1, M2, M3, ... (not shown in FIG. 3) and is cut off from the exchanges of each of the machines with other network equipment, for example the recording server 21.
  • the equipment 20 may be a dedicated equipment for the prevention of spoofing of addresses within the same sub-network.
  • the equipment 20 is a network equipment, for example a switch, a router, and so on. which implements the method of the invention.
  • the equipment 20 comprises:
  • microprocessor 201 or "CPU” (of the "Central Processing Unit") which is a processing unit,
  • RAM Random Access Memory
  • storage means 203 for example a memory type "ROM” (English “Read Only Memory”) adapted to store the association table that each machine IP address Ml, M2, M3, ... associates a physical parameter of the physical link on which a registration request sent from the machine to the recording server 21 transits,
  • network interfaces 204 adapted to communicate on the one hand with the machines M1, M2, M3, etc. and on the other hand with other equipment of the network, such as the recording server 21, or data processing machines.
  • interception means 205 arranged to intercept a request to record the IP address from the machines M1, M2, M3, ... and to the recording server 21, the request comprising at least the IP address of the machines.
  • the interception means 205 are also arranged to intercept an IP packet from the machines, in order to verify that there is no spoofing of an IP address,
  • blocking means 206 arranged to block an IP packet received from a machine if it turns out that the source address in the packet has been spoofed. More precisely, the blocking means 26 are adapted to block the IP packet received from a certain machine on a network interface corresponding to a given physical parameter, if the IP address associated with this physical physical link parameter in the association table is different from the IP address that is in the source address field of the IP packet being scanned.
  • the network interfaces 204, the interception means 205 and the blocking means 206 are preferably software modules comprising software instructions for executing the steps of the previously described IP address spoofing prevention method.
  • the invention therefore also relates to:
  • the software modules can be stored in, or transmitted by, a data carrier.
  • a data carrier This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmission medium such as a signal or a telecommunications network.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

L'invention concerne un procédé de prévention d'usurpation d'une adresse IP d'une première machine, ladite adresse IP ayant été préalablement configurée, le procédé comprenant : une étape d'interception d'une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine, une étape de mémorisation dans une table d'association, d'une association entre l'adresse IP reçue et un premier paramètre de liaison physique sur laquelle la requête est reçue, une étape ultérieure d'interception d'un paquet IP en provenance d'une deuxième machine, un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, un blocage du paquet IP reçu si un champ adresse source du paquet IP comprend l'adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.

Description

Procédé de prévention d'usurpation d'adresse
L'invention concerne un procédé de prévention d'usurpation d'adresses dans un réseau
IP.
L'invention trouve une application particulièrement intéressante dans la prévention de certains types d'attaque basés sur une usurpation d'adresse, par exemple des attaques par déni de service, au cours desquelles un terminal qui souhaite perpétrer une telle attaque masque son identité, c'est-à-dire son adresse IP, en usurpant l'adresse IP et donc l'identité d'un autre terminal. Ainsi, il devient difficile de localiser le terminal en tant que source de l'attaque.
II existe différents mécanismes permettant de prévenir l'usurpation d'adresses IP.
Un premier mécanisme connu, que nous ne détaillerons pas ici, permet de détecter une usurpation d'adresses entre machines de sous-réseaux différents, par analyse des préfixes réseau des champs adresse source des messages.
Il existe également un mécanisme connu qui permet de détecter une usurpation d'adresse d'une première machine par une deuxième machine à l'intérieur d'un même sous- réseau. Ce mécanisme, appelé « SAVI » (pour « Source Address Validation Improvement »), en cours de standardisation à « IETF » (pour « Internet Engineering Task Force »), détecte une usurpation d'adresse dans un sous-réseau à l'intérieur duquel toutes les machines ont le même préfixe d'adresse IP. Ce mécanisme est mis en œuvre lorsque l'adresse IP est attribuée à une machine, conformément à l'une des deux méthodes suivantes :
soit l'adresse est obtenue auprès d'un serveur « DHCP » (pour « Dynamic Host Configuration Protocol »), dans le cas d'une adresse IPv4, ou d'une adresse IPv6,
soit l'adresse est définie par auto-configuration de la machine, dans le cas d'une adresse IPv6.
Le mécanisme SAVI va être décrit pour les deux méthodes d'attribution d'adresse IP, en relation avec les figures 1A et 1B.
Un équipement 10 qui met en œuvre le mécanisme SAVI est positionné au plus près des machines, notées Ml, M2, et M3, .... L'équipement 10 est en coupure des échanges entre les machines Ml, M2, M3, ... et d'autres équipements d'un réseau 12, par exemple le réseau Internet. Le mécanisme peut être mis en œuvre par un équipement dédié, ou par un équipement réseau connu, tel qu'un routeur, un switch, un « DSLAM » (pour « Digital Subscriber Line Access Multiplexer »), un réseau privé virtuel (ou « VPN », pour Virtual Private Network »), etc. Dans l'exemple décrit en relation avec la figure 1A, l'équipement 10 est un équipement dédié appelé par la suite « dispositif SAVI ». Selon la figure 1A, dans le cas de l'obtention d'une adresse IP auprès d'un serveur DHCP 11 , une machine, par exemple Ml requiert auprès du serveur DHCP 11 une adresse IP en diffusant une requête DHCP_DISCOVER. Le serveur DHCP 11 qui reçoit la requête diffuse à l' attention de la machine Ml une offre DHCP_OFFER qui comprend une adresse IP proposée par le serveur DHCP 11. La machine Ml, si elle accepte cette adresse, répond à cette offre en envoyant une requête DHCP_REQUEST qui comprend l'adresse IP qui vient de lui être proposée. Le message DHCP_REQUEST qui transite par le dispositif S AVI 10 permet à ce dernier d'enregistrer dans une table d' association BT (on parle habituellement de « Binding Table ») une correspondance entre, par exemple un numéro de port pl sur lequel le dispositif SAVI 10 reçoit le message DHCP_REQUEST de la machine Ml, et l'adresse IP qui a été attribuée et acceptée par la machine Ml . Le message DHCP_REQUEST, en clair, est analysé par le dispositif SAVI 10 et l'adresse IP associée à la machine Ml récupérée lors de cette analyse. Ainsi, le dispositif SAVI 10 gère la table d'association BT qui enregistre pour chaque machine Ml , M2, M3, .. . qui se voit attribuer une adresse IP par le serveur DHCP 11 une correspondance entre un numéro de port du dispositif SAVI 10 sur lequel la machine communique sur le réseau, et l'adresse IP attribuée à ladite machine.
Ensuite, si une machine, par exemple M3, usurpe l' adresse IP d'une autre machine, par exemple Ml , et envoie un datagramme IP sur le réseau comprenant comme adresse IP source l' adresse usurpée de la machine Ml , alors le dispositif SAVI détecte une incohérence. En effet, il y a alors incohérence entre l'adresse IP source contenue dans le datagramme et l' adresse IP normalement associée dans la table d' association BT au port réseau sur lequel il vient de recevoir le datagramme, en l'espèce le port p3 associé à la machine M3. Le dispositif SAVI 10 bloque alors le datagramme émis depuis la machine M3 qui comprend comme adresse source, l' adresse de la machine Ml.
Dans un cas d'attribution d' adresse IPv6 par auto-configuration, décrit en relation avec la figure 1B, une machine, par exemple Ml, reçoit d'un routeur 13 dans un message « Router Advertisment », un préfixe réseau pfx. La machine Ml génère alors un identifiant d'interface qui lui est propre, en tant que suffixe de l'adresse IPv6. La machine Ml concatène alors le préfixe réseau et le suffixe généré pour forger son adresse IP IP1. Une fois l' adresse IPv6 forgée par la machine Ml , celle-ci doit s'assurer que l' adresse IP est unique sur le réseau. A cette fin, elle met en œuvre un mécanisme de détection d'adresse dupliquée appelé « DAD » (pour « Duplicate Address Détection »), décrit dans la « RFC » 4862 (pour « Request For Comment »). Avec ce mécanisme, la machine Ml émet à l'attention de ses voisins du même sous-réseau, ici les machines M2, M3, un message de sollicitation comprenant l'adresse qu'il s'est forgé. Lors de la diffusion de ce message, l'équipement SAVI 10 enregistre dans une table d'association une correspondance temporaire entre l'adresse IP de la machine Ml , extraite du message de sollicitation, et le numéro de port sur lequel il a reçu ce message. Si aucune autre machine du sous-réseau ne répond à ce message de sollicitation pendant une durée prédéfinie, alors cela signifie que l'adresse IPv6 forgée par la machine Ml est unique dans le sous-réseau et que l'adresse IPv6 est valable pour la machine Ml . Au niveau de l'équipement SAVI, l' association entre l' adresse IP et le numéro de port est validée et devient définitive au terme de cette période prédéfinie pendant laquelle l'équipement SAVI n' a vu passer aucune réponse au message de sollicitation. Si au contraire, une machine du sous-réseau répond au message de sollicitation afin d'informer la machine Ml que l' adresse est déjà attribuée, alors l'équipement SAVI efface la correspondance temporaire qu'il a enregistrée.
Une fois que toutes les adresses IP ont été forgées pour les machines du sous-réseau, et que l'équipement SAVI possède donc une table d'association complète et à jour, la prévention d'usurpation d'adresse est alors opérée de la même manière que précédemment.
Cependant, à chaque mécanisme d' attribution d' adresse IP utilisé, en l'espèce l' auto- configuration IPv6, ou l'attribution d'une adresse IPv4 ou IPv6 via un serveur DHCP, correspond un équipement SAVI particulier ou/et une mise en œuvre particulière. Ainsi, lorsque les deux mécanismes d'attribution d' adresse sont déployés dans un réseau, de premières machines forgeant leur adresse par auto-configuration et d'autres machines l'obtenant auprès d'un serveur DHCP, alors il est nécessaire de mettre en œuvre les deux mécanismes, ce qui génère un surcoût. Par ailleurs, si aucune des deux méthodes d' attribution d'adresse n'est employée, alors aucune solution n'existe pour prévenir des attaques par déni de service. C'est le cas par exemple lorsque l' adresse IP d'un équipement est configurée manuellement.
L'invention remédie aux inconvénients présentés ci-dessus en proposant un procédé de prévention d'usurpation d'une adresse IP d'une première machine, ladite adresse IP ayant été préalablement configurée, le procédé comprenant :
- une étape d'interception d'une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine,
- une étape de mémorisation dans une table d' association, d'une association entre l' adresse IP reçue et un premier paramètre de liaison physique sur laquelle la requête est reçue,
- une étape ultérieure d'interception d'un paquet IP en provenance d'une deuxième machine (M2), un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet, - un blocage du paquet IP reçu si un champ adresse source du paquet IP comprend l' adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.
Avec le procédé de l'invention, un seul mécanisme de prévention d'usurpation d'adresse convient à différentes méthodes de configuration d'adresse IP. En effet, selon que les machines obtiennent leur adresse IP auprès d'un serveur DHCP, dans le cas des adresses IPv4 ou IPv6, ou par auto-configuration dans le cas des adresses IPv6, il n'est plus nécessaire de mettre en œuvre différents mécanismes de prévention d'usurpation d'adresse. Ainsi, le mécanisme de l'invention évite des surcoûts liés à la mise en œuvre dans un réseau de plusieurs mécanismes.
Dans un exemple de réalisation, l'adresse IP de la première machine a été configurée selon une méthode connue parmi le groupe comprenant : une auto-configuration d' adresse IPv6, une configuration manuelle, l'obtention d'une adresse auprès d'un serveur DHCP.
Le mécanisme de l'invention est adapté à toutes les méthodes de configuration d' adresse IP connues. En particulier, le mécanisme de l'invention est également adapté à un réseau où des machines configurent leur adresse IP manuellement. Or, aucune solution de prévention d'usurpation d'adresse n'était proposée jusqu' à présent dans ce cas. Ainsi, l'invention propose une solution à un problème jusqu'alors non résolu de prévention d'usurpation d'adresse dans le cas d'une configuration manuelle d' adresse IP.
Selon un exemple de réalisation, le serveur d'enregistrement est un serveur de noms de domaine.
Dans un autre exemple de réalisation, le procédé comprend en outre :
- une étape d'interception d'une deuxième requête d'enregistrement de l'adresse IP en provenance de la première machine, la requête comprenant une nouvelle adresse IP,
- une étape de mise à jour de la table d' association par remplacement dans l'association entre l'adresse IP et le premier paramètre physique, de l' adresse IP de la première machine par la nouvelle adresse IP.
Le procédé de l'invention permet de tenir compte d'éventuelles mises à jour d'adresse IP. Une telle mise à jour peut se produire lorsqu'un nouveau préfixe réseau est transmis depuis un routeur. Dans ce cas il est nécessaire que les machines dont les paquets sont routés par ce routeur mettent à jour leur adresse, conformément à ce nouveau préfixe. Ainsi, on est assuré que la table d'association est toujours à jour.
Dans un exemple de réalisation, le procédé comprend en outre la réception d'un message de validation de l'adresse IP de la machine en provenance du serveur d'enregistrement, consécutive à la transmission de ladite requête au serveur d'enregistrement, et conditionnant l'étape de mémorisation. Dans cet exemple, la mémorisation d'une association d'ancrage dans la table d'association est conditionnée par l'enregistrement de l'adresse IP de la machine dans le serveur d'enregistrement. Ainsi, la validité de la table d'association est prouvée. En effet, seules les associations correspondant à des adresses IP correctement enregistrées auprès du serveur d'enregistrement sont mémorisées.
Selon un exemple de réalisation, le procédé comprenant une sécurisation des échanges entre le serveur d'enregistrement et la machine conforme à un schéma de cryptographie à clé publique, le procédé comprend une étape de vérification d'une signature du message de validation de l'adresse IP reçu du serveur d'enregistrement.
Ce mode de réalisation est adapté à une sécurisation des échanges entre les machines et le serveur d'enregistrement nommé SIG(O).
Dans un exemple de réalisation, l'association mémorisée au cours de l'étape de mémorisation comprend également un nom pleinement qualifié de la première machine.
Ce mode de réalisation renforce la sécurité du procédé et permet de pallier une usurpation d'adresse IP durant la phase d'enregistrement auprès du serveur d'enregistrement. En effet, pour tromper le mécansiem de l'invention, il faudrait qu'une machine qui usurpe une adresse IP, usurpe également le FQDN enregistré dans le serveur DNS. Or, si un mécanisme de sécurisation DNS est utilisé, en l'espère TSIG, ou SIG(O), cela n'est pas possible car la machine qui usurpe ne peut signer les requêtes d'enregistrement à la place d'une autre machine.
L'invention concerne aussi un dispositif de prévention d'usurpation d'une adresse IP d'une première machine, ladite machine ayant préalablement configuré son adresse IP, ledit dispositif comprenant :
- des moyens de mémorisation, agencés pour mémoriser dans une table d'association une association entre l'adresse IP de la première machine et un premier paramètre de liaison physique sur laquelle une requête d'enregistrement est interceptée,
- des moyens d'interception, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement, la requête comprenant au moins l'adresse IP de la première machine, et pour intercepter un paquet IP en provenance d'une deuxième machine, un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet,
- des moyens de blocage, agencés pour bloquer le paquet IP reçu si un champ adresse source du paquet IP comprend l'adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.
L'invention concerne aussi un programme d'ordinateur destiné à être installé dans une mémoire d'un ordinateur, comprenant des instructions pour la mise en œuvre des étapes du procédé de prévention d'usurpation d'adresses IP l'invention qui sont exécutées par le dispositif, lorsque le programme est exécuté par un processeur.
L'invention porte également sur un support de données sur lequel est enregistré le programme d'ordinateur selon l'invention.
De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description de modes particuliers de réalisation en référence aux dessins annexés donnés à titre non limitatif, et dans lesquels :
- les figures 1A et 1B illustrent des méthodes de prévention d'usurpation d'adresse IP selon un mécanisme connu appelé SAVI selon que l'adresse IP est obtenue par une machine auprès d'un serveur DHCP, respectivement par auto-configuration de la machine ;
- la figure 2 présente les étapes d'un mécanisme de prévention d'usurpation d' adresse IP selon un premier exemple de réalisation de l'invention ;
- la figure 3 représente un équipement apte à mettre en œuvre le procédé de prévention d'usurpation d'adresse IP selon l'invention.
Le procédé de prévention d'usurpation d'adresse IP dans un réseau, selon un premier exemple de réalisation, va maintenant être décrit en relation avec la figure 2.
Une pluralité de machines Ml , M2, M3, d'un sous-réseau IP (non représenté sur la figure 2) est reliée à un équipement 20 de prévention d'usurpation d'adresses IP selon l'invention. Il faut comprendre ici que l'équipement 20 est situé au plus proche des machines Ml , M2, M3, .. . et que des messages en provenance ou à destination des machines transitent par l'équipement 20. Un dispositif serveur d'enregistrement des noms de domaine 21 (le terme habituellement utilisé est le terme anglais « DNS » pour « Domain Name Server ») est destiné à mémoriser des enregistrements associés aux machines du réseau. Un enregistrement est une donnée qui comprend au moins une adresse IP de machine et une information propre à la machine, par exemple, un nom de machine pleinement qualifié, ou « FQDN » (de l'anglais « Fully Qualified Domain Name »), ou nom de domaine. Le nom de domaine, ou FQDN, permet de nommer la machine Ml de manière compréhensible, par exemple www.MachineMl .corn, plutôt qu'au moyen d'une adresse IP, difficile à mémoriser. Ainsi, lorsqu'un message est envoyé à www.MachineMl .coin, le serveur d'enregistrement est interrogé afin d'obtenir l'adresse IP associée et d' acheminer correctement le message dans le réseau.
Dans une étape initiale E0 de configuration, la machine Ml configure son adresse IP. Une telle configuration peut être obtenue selon différents mécanismes connus : soit auprès d'un serveur « DHCP » (de l'anglais « Dynamic Host Configuration Protocol »), pour une adresse IPv4 ou IPv6,
soit par auto-configuration, pour une adresse IPv6,
soit par configuration manuelle de la machine, pour une adresse IPv4 ou IPv6. Quelque soit le mécanisme de configuration utilisé, la machine Ml possède au terme de l'étape initiale E0 une adresse IP IPl .
Dans une étape El d'enregistrement, la machine Ml s'enregistre auprès du serveur d'enregistrement 21 afin de déclarer qu' à son nom de machine pleinement qualifié, www.MachineMl .fr est associé l'adresse IPl nouvellement configurée. A cet effet, la machine Ml envoie au serveur d'enregistrement 21 une requête d'enregistrement DNS comprenant au moins son adresse IP et son nom de machine pleinement qualifié. Cette requête est transmise conformément au protocole de mise à jour DNS dynamique (l'expression « Dynamic DNS Update » est habituellement utilisée), décrit dans la RFC 2136.
L'équipement 20, en coupure des échanges entre le machine Ml et le réseau intercepte dans une étape E2 d'interception la requête d'enregistrement DNS envoyée par la machine Ml. Dans une étape E3 d'analyse, l'équipement 20 analyse la requête DNS et extrait de cette requête l' adresse IPl de la machine Ml . Cette analyse est possible du fait que la requête DNS est un message en clair. En fin d'étape E3 d' analyse, l'équipement 20 retransmet la requête d'enregistrement au serveur d'enregistrement 21. Le serveur d'enregistrement 21 reçoit et enregistre alors l'enregistrement DNS en base dans une étape E4 de réception et de mise en base.
Dans une étape E5 d'association, l'équipement 20 enregistre dans une table d' association (le terme habituellement utilisé est le terme anglais « Binding Table ») une association entre l'adresse IP IPl de la machine Ml et un paramètre physique associé à la liaison physique sur laquelle fonctionne le réseau de la machine Ml . L'association consiste ainsi en un lien fort destiné à lier l'adresse IP, logique, de la machine Ml à une identité de la machine Ml , indépendante de l' adresse logique. Une telle association est connue aussi sous le nom d' « association d' ancrage » (le terme habituellement utilisé est le terme anglais « binding anchor »). En d' autres termes, le lien fort associe à l'adresse IP de la machine Ml une information qui permet de caractériser la communication entre la machine Ml et l'équipement 20. Le paramètre physique associé à la liaison physique est indépendant de l'adresse IP de la machine Ml . Par exemple, le lien fort, ou l'association d'ancrage associe à l'adresse IP de la machine Ml un numéro de port de l'équipement 20 par lequel l'équipement reçoit, respectivement transmet, les messages de, respectivement à, la machine Ml . Par exemple, l' adresse IPl de la machine Ml est associé à un port noté pl , l'adresse de la machine M2 à un port noté p2, l' adresse de la machine M3 à un port noté p3, etc.
Lorsque les étapes E0 de configuration, El d'enregistrement, E2 d'interception, E3 d' analyse et E5 d'association ont été exécutées pour les machines Ml , M2, M3, .. . du même sous-réseau, l'équipement 20 possède dans sa table d' association, une association d'ancrage propre à chacune des machines Ml , M2, M3, .. . qui à chaque adresse IP associe un numéro de port de l'équipement 20 qui caractérise le point par lequel chaque machine Ml , M2, M3, .. . communique avec les autres machines, que ce soit les machines de ce sous-réseau ou les autres machines du réseau (non représentées sur la figure 2).
Dans une étape ultérieure E6 de tentative d'usurpation de l' adresse IP de la machine Ml par la machine M2, la machine M2 émet des messages en usurpant l' adresse IP de la machine Ml (le terme habituellement utilisé pour une telle opération est le terme anglais « spoofing »). A cette fin, tous les champs adresse source des paquets IP qui constituent les messages transmis depuis la machine M2 sont falsifiés et comprennent l'adresse IPl de la machine Ml au lieu de l' adresse IP de la machine M2 qui envoie les paquets.
Dans une étape suivante E7 de détection et de réaction, l'équipement 20, en coupure des échanges en provenance et à destination des machines Ml , M2, M3, intercepte les paquets IP envoyés par la machine M2. L'équipement 20 consulte alors sa table d' association mémorisée au cours de l'étape E5 d' association afin de vérifier que les données qui figurent dans les paquets IP sont cohérentes avec les données mémorisées dans la table d' association. A cette fin, l'équipement 20, qui reçoit les paquets sur un certain port, vérifie que l'adresse IP qui figure dans le champ adresse source des paquets reçus est identique à l'adresse IP qui est associée dans la table d'association au paramètre physique de valeur le numéro du port. Les paquets IP émis depuis la machine M2 sont reçus par l'équipement 20 sur le port p2. L'adresse IP associée au port p2 dans la table d' association est l' adresse IP2 de la machine M2. Ainsi, l'équipement 20 détecte aisément qu'il y a tentative d'usurpation de l'adresse IPl de la machine Ml par la machine M2, puisque le champ adresse source des paquets IP comprend l'adresse IPl et non l'adresse IP2 de la machine M2, comme attendu. L'équipement 20 bloque alors les paquets émis par la machine M2 au cours d'une étape E8 de blocage. Ainsi, la tentative d'usurpation d'adresse par la machine M2 ne peut aboutir.
Dans un exemple de réalisation, une machine, par exemple la machine Ml change d' adresse IP. Par exemple, dans le cas où l'adresse IP de la machine Ml a été obtenue par autoconfiguration et que le préfixe du réseau change, alors la machine Ml change d' adresse IP afin d' avoir une adresse cohérente avec le nouveau préfixe. Dans ce cas, la machine Ml transmet un message d'enregistrement DNS au serveur d'enregistrement 21 pour que celui-ci mette à jour sa table d'enregistrement. L'équipement 20 qui voit passer une telle requête met alors à jour la table d'association en remplaçant dans l' association d' ancrage concernée l'adresse IP de la machine Ml préalablement enregistrée par l'adresse IP nouvellement configurée.
Dans les exemples de réalisation décrits ici, l'équipement 20 de prévention d'usurpation d' adresses est un équipement dédié. L'invention n'est pas limitée à ce mode de réalisation. Ainsi, dans un autre exemple de réalisation, le procédé de l'invention est mis en œuvre dans un équipement réseau existant. Par exemple, le procédé peut être mis en œuvre dans un commutateur réseau (on parle habituellement de « switch »), dans un routeur, etc. Dans le cas d'un routeur, le paramètre physique qui est associé à une adresse IP dans la table d'association est une adresse « MAC » (de l' anglais « Media Access Control ») des machines Ml , M2, M3, .. . , ou une interface réseau. L'invention peut également être mise en œuvre dans un réseau sans- fil. Dans cet exemple, si les échanges entre un point d' accès et les machines sont sécurisés au moyen de « WPA2 » (« de l' anglais « Wi-Fi Protected Access »), alors le paramètre physique associé aux adresses IP dans la table d' association est une association de sécurité (« Security Association » en anglais). Les paramètres physiques permettent d'identifier l'interface réseau de communication entre l'équipement 20 et les machines Ml , M2, M3.. . Il peut être un numéro de port, une adresse MAC, une association de sécurité, un canal radio, un index de VPN, etc.
Dans un exemple de réalisation (non représenté sur la figure 2), les échanges entre les machines Ml , M2, M3, .. . et le serveur d'enregistrement 21 sont sécurisés. Dans un premier mode de sécurisation de ces échanges, le serveur d'enregistrement 21 partage avec chacune des machines Ml , M2, M3, .. . une clé secrète Ki, K2, K3, .. . Ce mode de sécurisation, appelé « TSIG » (pour « Transaction SIGnature ») est décrit dans la RFC 2845. Conformément à ce mode de sécurisation, la machine Ml signe, au moyen de la clé secrète partagée Kl 5 la requête d'enregistrement DNS qu'elle envoie au serveur d'enregistrement 21 au cours de l'étape El d'enregistrement. Le serveur d'enregistrement 21 vérifie la signature de la requête au cours de l'étape E4 de réception et de mise en base. Dans un premier cas où la signature est valide, le serveur d'enregistrement 21 envoie à la machine Ml un message d' accusé de réception positif. Ce message, intercepté par l'équipement 20, permet à celui-ci de valider le lien d'ancrage entre l' adresse IP1 de la machine Ml et le paramètre physique, en l'espèce le numéro de port, mémorisé au cours de l'étape E5 d'association. Dans ce mode de réalisation, le lien d'ancrage associé à l' adresse IP de la machine Ml et mémorisé au cours de l'étape E5 est temporaire. La mémorisation définitive de ce lien d'ancrage dans la table d'association est conditionnée par la réception d'un message d'accusé de réception positif du serveur d'enregistrement 21. Dans le cas contraire, c'est-à-dire si la signature de la requête n'est pas valide, le serveur d'enregistrement 21 envoie à la machine Ml un accusé de réception négatif. Cet accusé de réception est intercepté par l'équipement 20 qui efface alors dans la table d'association la liaison d' ancrage associée à la machine Ml lors de l'étape E5 d' association. En effet, l'adresse IP1 de la machine Ml ne pouvant être enregistrée dans le serveur d'enregistrement 21 , elle n'est alors pas valide.
Dans un deuxième mode de sécurisation des échanges entre les machines et le serveur d'enregistrement 21, basé sur de la cryptographie asymétrique, le serveur d'enregistrement 21 et chaque machine Ml, M2, M3, .. . possèdent un couple de clés privée/publique. Ce mode de sécurisation, appelé SIG(O) est décrit dans la RFC 2931. Avec ce mode de sécurisation, la machine Ml signe la requête qu'elle envoie au serveur d'enregistrement 21 au moyen de sa clé privée. Le serveur d'enregistrement 21 vérifie la signature au moyen de la clé publique de la machine Ml et dans un exemple de réalisation envoie à la machine Ml un accusé de réception positif ou négatif, selon le résultat de la vérification de la signature, signé au moyen de la clé privée du serveur. L'équipement 20 qui intercepte cet accusé de réception vérifie la signature de l' accusé de réception au moyen de la clé publique du serveur d'enregistrement 21. Cette vérification permet à l'équipement 20 de confirmer ou d'effacer la liaison d'ancrage associée à la machine Ml au cours de l'étape E5 d'association. Cette vérification conditionne la mémorisation du lien d' ancrage associé à la machine Ml dans la table d'association
Dans ces deux modes de réalisation, l'équipement 20 s' appuie sur la sécurisation des échanges entre le serveur d'enregistrement 21 et les machines pour sécuriser la table d' association.
Dans un autre exemple de réalisation, il est prévu de mémoriser dans la table d' association une troisième information, en plus de l' adresse IP et du paramètre physique représentatif de l'interface réseau de communication entre le dispositif 20 et les machines. Cette troisième information est le nom pleinement qualifié, ou FQDN des machines. La mémorisation du nom pleinement qualifié a lieu au cours de l'étape E5 d' association. En effet, le nom pleinement qualifié est compris dans la requête d'enregistrement transmise par la machine Ml au cours de l'étape El d'enregistrement et interceptée par le dispositif 20 au cours de l'étape E2. Le nom pleinement qualifié peut donc être extrait de la requête au cours de l'étape E3 d'analyse et mémorisé au cours de l'étape E5 de mémorisation. La présence du nom pleinement qualifié de la machine Ml permet de pallier une usurpation d'adresse IP qui interviendrait au moment de l'enregistrement d'une machine auprès du serveur d'enregistrement 21. En effet, dans ce cas, la machine M2 qui tente d'usurper l'adresse IP de la machine Ml envoie une requête d'enregistrement qui comprend l'adresse IP de la machine Ml . Ainsi, à l' adresse IP de la machine Ml est associée dans la table d'association le paramètre physique correspondant à l'interface de communication entre la machine M2 et le dispositif 20. Le nom pleinement qualifié qui a été envoyé dans la requête d'enregistrement et que l'on suppose être celui de la machine M2 est alors un élément différenciant supplémentaire lorsque des paquets IP émis par la machine M2 usurpent l'adresse IP de la machine Ml. Si TSIG ou SIG(O) est utilisé, la machine M2 ne possède pas la/les clé(s) nécessaire(s) pour envoyer une requête signée pour mener à bien l'enregistrement dans le serveur d'enregistrement 21. Dans ce cas, le serveur d'enregistrement répond que la mise à jour n'est pas valide et l'équipement 20 ne met alors pas à jour sa table d'association. Ainsi, les paquets IP envoyés depuis la machine M2 en falsifiant l'adresse IP de la machine Ml sont bloqués, conformément au procédé de l'invention.
Un équipement 20 de prévention d'usurpation d'adresses IP va maintenant être décrit en relation avec la figure 3.
L'équipement 20 de prévention d'usurpation d'adresses est situé au plus proches des machines Ml, M2, M3, ... (non représentées sur la figure 3) et est en coupure des échanges de chacune des machines avec d'autres équipements du réseau, par exemple le serveur d'enregistrement 21.
L'équipement 20 peut être un équipement dédié à la prévention d'usurpation d'adresses à l'intérieur d'un même sous-réseau. Dans un autre exemple de réalisation, l'équipement 20 est un équipement réseau, par exemple un switch, un routeur, etc. qui met en œuvre le procédé de l'invention.
L'équipement 20 comprend :
un microprocesseur 201, ou « CPU ») (de l'anglais « Central Processing Unit ») qui est une unité de traitement,
une mémoire vive 202, ou « RAM » (pour « Random Access Memory ») qui permet de charger des instructions logicielles correspondant aux étapes du procédé de prévention d'usurpation d'adresses telles que décrites précédemment, et de les faire exécuter par le processeur 201, des moyens de mémorisation 203, par exemple une mémoire de type « ROM » (de anglais « Read Only Memory ») adaptée pour mémoriser la table d'association qui à chaque adresse IP de machine Ml, M2, M3, ... associe un paramètre physique de la liaison physique sur laquelle une requête d'enregistrement envoyée depuis la machine vers le serveur d'enregistrement 21 transite,
des interfaces réseau 204, adaptées pour communiquer d'une part avec les machines Ml, M2, M3, ... et d'autre part avec d'autres équipements du réseau, tels que le serveur d'enregistrement 21, ou des machines d'autres sous-réseaux, des moyens d'interception 205, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance des machines Ml, M2, M3, ... et à destination du serveur d'enregistrement 21, la requête comprenant au moins l'adresse IP des machines. Les moyens d'interception 205 sont également agencés pour intercepter un paquet IP en provenance des machines, dans le but de vérifier qu'il n'y a pas usurpation d'une adresse IP,
des moyens de blocage 206, agencés pour bloquer un paquet IP reçu d'une machine s'il s'avère que l'adresse source qui figure dans le paquet a été usurpée. Plus précisément les moyens de blocage 26 sont adaptés pour bloquer le paquet IP reçu d'une certaine machine sur une interface réseau correspondant à un paramètre physique donné, si l'adresse IP associée à ce paramètre physique de liaison physique dans la table d'association est différente de l'adresse IP qui figure dans le champ adresse source du paquet IP en cours d'analyse.
Les interfaces réseau 204, les moyens d'interception 205 et les moyens de blocage 206 sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé de prévention d'usurpation d'adresses IP précédemment décrites.
L'invention concerne donc aussi :
- un programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé de prévention d'usurpation d'adresse IP tel que décrit précédemment lorsque ce programme est exécuté par un processeur, et
- un support d'enregistrement lisible par un dispositif de prévention d'usurpation d'adresse sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.
Les modules logiciels peuvent être stockés dans, ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication.

Claims

REVENDICATIONS
1. Procédé de prévention d'usurpation d'une adresse IP d'une première machine (Ml), ladite adresse IP ayant été préalablement configurée, le procédé comprenant :
- une étape (E2) d'interception d'une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement (21), la requête comprenant au moins l'adresse IP de la première machine,
- une étape (E5) de mémorisation dans une table d'association, d'une association entre adresse IP reçue et un premier paramètre de liaison physique sur laquelle la requête est reçue,
- une étape ultérieure (E7) d'interception d'un paquet IP en provenance d'une deuxième machine (M2), un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet,
- un blocage (E8) du paquet IP reçu si un champ adresse source du paquet IP comprend l' adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.
2. Procédé de prévention selon la revendication 1 , dans lequel l'adresse IP de la première machine a été configurée selon une méthode connue parmi le groupe comprenant : une auto-configuration d'adresse IPv6, une configuration manuelle, l'obtention d'une adresse auprès d'un serveur DHCP.
3. Procédé selon la revendication 1 , dans lequel le serveur d'enregistrement est un serveur de noms de domaine.
4. Procédé selon la revendication 1 , comprenant :
- une étape d'interception d'une deuxième requête d'enregistrement de l'adresse IP en provenance de la première machine, la requête comprenant une nouvelle adresse IP,
- une étape de mise à jour de la table d' association par remplacement dans l'association entre l'adresse IP et le premier paramètre physique, de l' adresse IP de la première machine par la nouvelle adresse IP.
5. Procédé de prévention selon la revendication 1 , comprenant en outre la réception d'un message de validation de l'adresse IP de la machine en provenance du serveur d'enregistrement, consécutive à la transmission de ladite requête au serveur d'enregistrement, et conditionnant l'étape de mémorisation.
6. Procédé selon la revendication 5, comprenant une sécurisation des échanges entre le serveur d'enregistrement et la machine conforme à un schéma de cryptographie à clé publique, le procédé comprenant en outre une étape de vérification d'une signature du message de validation de l' adresse IP reçu du serveur d'enregistrement.
7. Procédé selon la revendication 1 , dans lequel l'association mémorisée au cours de l'étape de mémorisation comprend également un nom pleinement qualifié de la première machine.
8. Dispositif (20) de prévention d'usurpation d'une adresse IP d'une première machine (Ml), ladite machine ayant préalablement configuré son adresse IP, ledit dispositif comprenant :
- des moyens (203) de mémorisation, agencés pour mémoriser dans une table d' association une association entre l' adresse IP de la première machine et un premier paramètre de liaison physique sur laquelle une requête d'enregistrement est interceptée,
- des moyens (206) d'interception, agencés pour intercepter une requête d'enregistrement de l'adresse IP en provenance de la première machine et à destination d'un serveur d'enregistrement (21), la requête comprenant au moins l'adresse IP de la première machine, et pour intercepter un paquet IP en provenance d'une deuxième machine (M2), un deuxième paramètre de liaison physique étant associé à la transmission dudit paquet,
- des moyens (206) de blocage, agencés pour bloquer le paquet IP reçu si un champ adresse source du paquet IP comprend l'adresse IP de la première machine et que le deuxième paramètre de liaison physique est différent du premier paramètre de liaison physique mémorisé.
9. Programme d'ordinateur destiné à être installé dans une mémoire d'un ordinateur, comprenant des instructions pour la mise en œuvre des étapes du procédé de prévention d'usurpation d'adresses IP l'une des revendications 1 à 7 qui sont exécutées par le dispositif, lorsque le programme est exécuté par un processeur.
10. Support de données sur lequel est enregistré le programme d'ordinateur selon la revendication 9.
PCT/FR2012/052200 2011-09-30 2012-09-28 Procede de prevention d'usurpation d'adresse WO2013045857A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1158790 2011-09-30
FR1158790A FR2980866A1 (fr) 2011-09-30 2011-09-30 Procede de prevention d'usurpation d'adresse

Publications (1)

Publication Number Publication Date
WO2013045857A1 true WO2013045857A1 (fr) 2013-04-04

Family

ID=47071372

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2012/052200 WO2013045857A1 (fr) 2011-09-30 2012-09-28 Procede de prevention d'usurpation d'adresse

Country Status (2)

Country Link
FR (1) FR2980866A1 (fr)
WO (1) WO2013045857A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635067A (zh) * 2014-11-04 2016-06-01 华为技术有限公司 报文发送方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JIANPING WU ET AL: "Source Address Validation: Architecture and Protocol Design", NETWORK PROTOCOLS, 2007. ICNP 2007. IEEE INTERNATIONAL CONFERENCE ON, IEEE, PI, 1 October 2007 (2007-10-01), pages 276 - 283, XP031157060, ISBN: 978-1-4244-1587-8 *
WU J BI TSINGHUA UNIV M BAGNULO UC3M F BAKER CISCO C VOGT J ET AL: "Source Address Validation Improvement Framework; draft-ietf-savi-framework-05.txt", SOURCE ADDRESS VALIDATION IMPROVEMENT FRAMEWORK; DRAFT-IETF-SAVI-FRAMEWORK-05.TXT, INTERNET ENGINEERING TASK FORCE, IETF; STANDARDWORKINGDRAFT, INTERNET SOCIETY (ISOC) 4, RUE DES FALAISES CH- 1205 GENEVA, SWITZERLAND, no. 5, 26 July 2011 (2011-07-26), pages 1 - 14, XP015077459 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635067A (zh) * 2014-11-04 2016-06-01 华为技术有限公司 报文发送方法及装置
EP3133790A4 (fr) * 2014-11-04 2017-08-09 Huawei Technologies Co., Ltd. Procédé et appareil d'envoi de message
CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
US10791127B2 (en) 2014-11-04 2020-09-29 Huawei Technologies Co., Ltd. Packet transmission method and apparatus

Also Published As

Publication number Publication date
FR2980866A1 (fr) 2013-04-05

Similar Documents

Publication Publication Date Title
EP1779589B1 (fr) Systeme de suivi de l'usage d'adresses ip sur la base d'un identificateur de liaison authentifie
EP1797695B1 (fr) Procédé de mise à jour d'une table de correspondance entre une adresse et un numéro d'identification
US20030110274A1 (en) Protecting against distributed denial of service attacks
EP1753173B1 (fr) Contrôle d'accès d'un équipement mobile à un réseau de communication IP par modification dynamique des politiques d'accès
US20100088399A1 (en) Enterprise security setup with prequalified and authenticated peer group enabled for secure DHCP and secure ARP/RARP
EP1965559B1 (fr) Procédé de sécurisation d'un flux de données
Man et al. Dns cache poisoning attack: Resurrections with side channels
CN112398801A (zh) 数据处理方法及设备
KR100856918B1 (ko) IPv6 기반 네트워크상에서의 IP 주소 인증 방법 및IPv6 기반 네트워크 시스템
US20090213752A1 (en) Detecting Double Attachment Between a Wired Network and At Least One Wireless Network
WO2013045857A1 (fr) Procede de prevention d'usurpation d'adresse
FR3023099A1 (fr) Procede de protection d'un routeur contre des attaques
EP3949287B1 (fr) Passerelle et procédé de différentiation de trafic émis par la passerelle, dispositif et procédé gestion du trafic
EP3788762A1 (fr) Procédé d'envoi d'une information et de réception d'une information pour la gestion de réputation d'une ressource ip
FR3015839A1 (fr) Procede de ralentissement d'une communication dans un reseau
US20240007484A1 (en) Method for detecting a malicious device in a communication network, corresponding communication device and computer program
EP2080404B1 (fr) Serveur descripteur de région et procédé de sélection d'un réseau sans fil
FR3112002A1 (fr) Procédé et dispositif de détection d'une faille de sécurité.
EP3070911A1 (fr) Procédé de contrôle d'accès à un réseau privé
WO2023242315A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d'ordinateur correspondants.
WO2024068722A1 (fr) Procedes de resolution de nom, de communication, de traitement de messages et serveur, dispositif client et noeud relais correspondants
FR3124669A1 (fr) Procede et dispositif de securisation d’un reseau local comprenant un commutateur reseau auquel est reliee une station par liaison filaire
Yan et al. A cache-splitting scheme for DNS recursive server
FR3131023A1 (fr) Procédés d’identification d’au moins un serveur de mitigation et de protection d’un domaine client contre une attaque informatique, dispositifs, signal et dispositifs correspondants
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12775787

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12775787

Country of ref document: EP

Kind code of ref document: A1