WO2015197978A1 - Procede de protection d'un routeur contre des attaques - Google Patents

Procede de protection d'un routeur contre des attaques Download PDF

Info

Publication number
WO2015197978A1
WO2015197978A1 PCT/FR2015/051696 FR2015051696W WO2015197978A1 WO 2015197978 A1 WO2015197978 A1 WO 2015197978A1 FR 2015051696 W FR2015051696 W FR 2015051696W WO 2015197978 A1 WO2015197978 A1 WO 2015197978A1
Authority
WO
WIPO (PCT)
Prior art keywords
address
router
network
packet
subnet
Prior art date
Application number
PCT/FR2015/051696
Other languages
English (en)
Inventor
Jean-Michel Combes
Aurélien WAILLY
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2015197978A1 publication Critical patent/WO2015197978A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure

Definitions

  • the present invention relates to a technique of protecting a router against attacks.
  • IPv6 protocol relies on a standardized neighbor discovery mechanism (or "Neighbor Discovery") described in RFC 4861 ("Request for Comment”) for establishing network communication and routing a packet. to an equipment of a network.
  • This mechanism which operates at layer 3 of the Open Systems Interconnection (OSI) model, is responsible for discovering devices on the same network link and determining their IP address. It establishes a correspondence between an IPv6 address, identifier of a device at layer 3, and a "MAC" address (of the "Media Access Control”) of this equipment which corresponds to a layer 2 identifier of the device. 'equipment.
  • OSI Open Systems Interconnection
  • a router that receives a packet to be routed to a LAN device relies on this mechanism to route the packet.
  • the router receives a packet the destination IP address corresponds to an address potentially assigned to a device of the local network that it serves, it checks in a cache memory called "Neighbor Cache" if an entry associated with the IP address destination exists.
  • Such memory associates with an IP address a MAC address that allows the router to route the packet to the equipment whose IP address is equal to the destination IP address of the packet and which is on the same network link.
  • the router sends a neighbor solicitation request on the local network to ask if a equipment located on the network link has the IPv6 address. In parallel, it creates an entry in the "cache cache" cache for this IPv6 address; this entry has a predefined life. If the router receives the response from a device, then it completes the entry by associating the MAC address of the device with the already registered IPv6 address. If it receives no response, meaning that no device has the IPv6 address, then it clears the entry at the end of a given time that corresponds to the lifetime of the entry.
  • the router creates an entry in the cache cache "Neighbor cache" for each destination IP address that appears in a received packet, unless that entry is already in the cache memory. . When the entry is not in the cache, it creates this new entry whose life is predefined.
  • the cache memory of a router has a predefined size. For example, this size can handle 512 entries. It is understood that if the attacker floods the query router with incremented addresses of "1" that are likened to random addresses, then the cache is quickly saturated and the router can not forward any legitimate packet to the devices of the sub-system. network. In any case, none of the devices in the subnet can receive a request.
  • One solution to overcome this kind of attack is to set up a flow control mechanism (the term usually used is the term "rate limiting”) to control the traffic sent or received on a network interface.
  • a flow control mechanism the term usually used is the term "rate limiting”
  • Such a mechanism may include limiting the rate on an interface of the router and rejecting or delaying excess packets.
  • Such a mechanism does not distinguish between legitimate packet attack packets and legitimate packets can be rejected or delayed.
  • the effect for a legitimate client is that it can no longer send packets to a node in the subnet, or that the packets it sends are delayed. Current techniques are not satisfactory to counter such attacks.
  • One of the aims of the invention is to remedy the shortcomings / disadvantages of the state of the art and / or to make improvements thereto.
  • the invention proposes a method of protecting a router against attacks, the router carrying IP packets for at least one subnet identified by a network prefix, said method comprising:
  • the method of protecting a router against attacks provides a dynamic mechanism for filtering so-called orphaned IP communications, i.e. communications comprising IP packets destined for nodes that do not exist in an addressed LAN. by a router.
  • IP communications i.e. communications comprising IP packets destined for nodes that do not exist in an addressed LAN. by a router.
  • Such a dynamic filtering solution does not currently exist.
  • This solution filters only orphaned communications while allowing legitimate communications, Le., For existing devices on the subnet / LAN.
  • the solution makes it possible to mitigate denial of service attacks that exploit the limitations inherent in the implementation of the router's neighbor discovery mechanism, hopefully limiting the number of entries in the memory table. cache "Neighbor cache”.
  • Such attacks aim at rendering a router out of service by saturating it with IP packets whose destination address field includes a network prefix identical to the router's network prefix and a random suffix. Note that the solution described here is more selective than known solutions based for example on the limiting rate, since only illegitimate packets are blocked. The proposed method is therefore more efficient.
  • the method further comprises a step of sending by the address validation module the valid IP address of said device to the packet filtering module.
  • the address validation and filtering modules each have their data table storing the legitimate IP addresses of the sub-network.
  • it is the address validation module that transmits to the filtering module the legitimate IP address that it stores when allocating an IP address to a device in the subnet. Because of the role played by the validation module when allocating an IP address, it is informed of the updates in real time and can thus transmit them over the water to the filtering module. Thus, there is no risk that the attack finally targets the filter module itself by sending illegitimate packets.
  • the method comprises a step of sending by the filtering module of the incoming IP packet to a security device, when the destination IP address of the incoming IP packet is not a valid address.
  • the method thus allows an analysis of IP packets judged to be suspect, in the sense that they are addressed to devices whose IP address is not part of the legitimate devices. present in the subnet.
  • the security device can thus analyze packets filtered by the filtering device and detect that an attack is in progress and where appropriate, identify the origin of the attack and / or implement countermeasures.
  • the invention also relates to a system for protecting a router against attacks, the router being arranged to route IP packets for at least one subnet identified by a network prefix, the system comprising:
  • an IP address validation module associated with the sub-network, comprising means for obtaining the IP address of at least one device of the sub-network, said means for obtaining the address being able to memorize an IP address in association with a physical link parameter, during a step of allocating the IP address to said device in the subnet, said IP address being qualified as a valid IP address,
  • a filtering module arranged to forward to the router an incoming IP packet whose destination IP address comprises the network prefix, when the destination IP address of the incoming packet is a valid address.
  • the validation module comprises means for sending addresses, arranged to send the valid IP address to the filtering module.
  • the invention also relates to a device for routing IP packets in a network comprising a protection system as described above.
  • the invention also relates to an access gateway allowing access to devices of a local area network to an IP network comprising a routing device as described above.
  • the invention also relates to a computer program on a data carrier and loadable in the memory of a computer, the program comprising code instructions for performing the steps of the method of protecting a router against such attacks. as previously described, when the program is run on said computer.
  • FIG. 1 is a schematic representation of a network architecture adapted to implement the steps of a method of protection against attacks, according to a first embodiment of the invention
  • FIG. 2 is a schematic representation of a network architecture adapted to implement the steps of a method of protection against attacks, according to a second embodiment of the invention
  • FIG. 3 shows the steps of the method of protection against attacks, according to an exemplary embodiment of the invention
  • FIG. 4 is a schematic representation of a protection system of a router against attacks, according to an exemplary embodiment of the invention.
  • the network architecture comprises a router 10, arranged to route packets between the Internet network 11, more precisely between a device T1, T2, and a device Ml, M2, located on the same network link as the router 10. It is considered that the equipment Ml, M2, etc., located on the same network link as the router 10, belong to a subnetwork 12.
  • the subnet 12 is for example a subnetwork of the type enterprise network, home network, etc. Such a subnet 12 may also be called a local area network.
  • the router 10 corresponds to an access gateway allowing the equipment of the local network to access the IP network.
  • an IP address comprises two parts of 64 bits.
  • the first part called the network prefix
  • the second part corresponds to an interface identifier specific to the equipment Ml, M2, etc.
  • the network prefix Ml, M2 is identical to the network prefix of the router 10.
  • An IP packet whose destination IP address field comprises the network prefix is transmitted to the router 10 in order to be routed by that router.
  • This mechanism which operates at layer 3 of the Open Systems Interconnection (OSI) model, is responsible for discovering devices on the same network link as a router and routing packets. IP to these devices. It establishes a link between an IP address, identifier of the device at layer 3, and a "MAC" address (of the "Media Access Control") of this device which corresponds to a layer 2 identifier of the device .
  • OSI Open Systems Interconnection
  • Such memory associates an IP address with a MAC address, and allows the router 10 to route the packet to the destination device of the IP packet that is on the same network link.
  • the router 10 sends a neighbor solicitation request ("neighbor solicitation") to the devices of the subnet 12 so to ask if a device located on the network link has the IP address. It also creates a "Neighbor cache" cache entry for the IP address specified in the request for solicitation. This entry is created with a predefined life. If the router 10 receives a response from a device of the subnet 12, then it completes the entry by associating the MAC address with the IP address of the device. If it receives no response, meaning that no device in the subnet 12 has the IP address, it clears the cache entry after the lifetime of the entry.
  • the network architecture also includes an address validation network equipment 13 which implements an address validation mechanism called "SAVI" (Source Addressing Validation Improvement), which is being standardized. "IETF” (for "Internet Engineering Task Force”).
  • SAVI Source Addressing Validation Improvement
  • IETF Internet Engineering Task Force
  • the SAVI mechanism is adapted to detect address spoofing in a subnet within which all devices have the same IP address prefix. This mechanism is implemented when an IP address is allocated to a device in the subnet 12.
  • the network equipment 13 for address validation is located as close to the devices of the subnet 12. It is known that a device of a sub-network, for example the devices M1, M2, obtain an IP address according to one of the following methods:
  • a device of the subnet 12 requires from the DHCP server 14 an IP address in broadcasting a "DHCP_SOLICIT" request.
  • the DHCP server 14 which receives the request diffuses to the attention of the device Ml a "DHCP_ADVERTISE" offer which includes an IP address proposed by the DHCP server 14.
  • the device Ml if it accepts this address, responds to this offer by sending a request "DHCP_REQUEST" that includes the IP address that has just been proposed.
  • DHCP_REQUEST that passes through the network equipment 13 address validation allows the latter to record in a BT association table (usually referred to as "Binding Table") an association between a physical parameter associated with the device-specific physical link Ml in the subnet 12 and the logical IP address, which has been assigned and accepted by the device M1.
  • BT association table usually referred to as "Binding Table”
  • anchoring association the term usually used is the term “binding anchor”
  • binding anchor binding anchor
  • the network equipment 13 for address validation manages the BT association table which records for all the devices Ml, M2, of the subnet 12 which are allocated an IP address by the DHCP server 14, a correspondence between a port number and the IP address allocated to said device.
  • the physical parameter of the registered device in association with its IP address is a MAC address, or a network interface.
  • the address validation equipment 13 is thus adapted to detect address spoofing in the subnet 12. Indeed, if a device M3 of the subnet 12 impersonates the IP address of the device M1 and sends a packet IP comprising, as the source IP address, the spoofed address of the device M1, then the address validation equipment 13 detects an inconsistency. There is indeed inconsistency between the source IP address contained in the IP packet sent by the device M3 and the IP address normally associated in the BT association table with the network port on which it has just received the packet, by the port associated with the M3 device in the BT association table. The address validation equipment 13 then blocks the IP packet transmitted from the machine M3 which comprises as the source address the address of the machine M1.
  • the IP address is obtained from the DHCP server 14 which is included in the subnet 12.
  • the subnet 12 includes a DHCP relay which communicates with a DHCP server outside the subnet 12.
  • the DHCP relay provides the same services Ml equipment, M2, subnet 12, through exchanges with the DHCP server.
  • the DHCP relay then allocates the IP addresses to the equipment Ml, M2, ...
  • a device of the subnet 12 receives from the router 10 the network prefix in a "Router Advertisement" message. ".
  • the device M1 then generates an interface identifier of its own, as an IP address suffix.
  • the device Ml then concatenates the network prefix received from the router 10 and the suffix generated for forge its IP address.
  • the device M1 implements an address detection mechanism. Duplicate called "D AD” (for "Duplicate Address Detection"), described in RFC 4862 (for "Request For Comment").
  • the device Ml transmits to the attention of its neighbors of the same sub-network, here the devices M2, etc., a solicitation message including the address it has forged.
  • the address validation equipment 13 saves in the association table BT a temporary correspondence between the IP address of the device Ml, extracted from the request message, and the port number on which he received this message. If no other device in the subnet 12 responds to this solicitation message during a given time interval, then this means that the IP address forged by the device M1 is unique in the subnet 12 and the IP address is valid for the device Ml.
  • the association between the IP address and the port number is validated and becomes definitive at the end of this given period of time during which the address validation equipment 13 did not see any response to the prompt. If, on the other hand, a device of the subnet 12 responds to the solicitation message to inform the device M1 that the address is already assigned, then the address validation equipment 13 erases the temporary correspondence that it has recorded. . Once all the IP addresses have been forged for the machines in the subnet 12, and the address validation equipment 13 thus has a complete and up-to-date BT association table, the spoofing prevention of address is then operated in the same way as before.
  • the network 10 further comprises a filtering network equipment 15 of firewall type ("firewall" in English) for filtering IP packets according to the destination IP address field.
  • the filtering network equipment 15 is an equipment implementing ACL access control lists for "Access Control List", for example the router 10.
  • the filtering equipment 15 is placed in between the router 10 and the Internet network 11. Any IP packet intended for a device of the subnet 12 therefore passes through the filtering equipment 15.
  • the filtering equipment 15 is set to receive the validation equipment 13 address the legitimate IP addresses of the equipment of the subnet 12, and to save them in an FT filtering table.
  • an IP address received from the address validation equipment 13 and registered in the FT filtering table is a legitimate address of the subnet 12.
  • the filtering table FT is used by the filtering equipment 15 to filter the IP packets received from the Internet and to a device of the subnet 12, depending on the destination IP address that is in a field of the IP packet.
  • an IP packet destined for a device of the subnet 12 is received by the equipment of filtering 15, it analyzes the destination IP field of the received packet. If the destination IP address is in the FT filtering table then, it is a packet intended for a legitimate device of the subnet 12. It is therefore not filtered by the filtering equipment 15 and is transmitted to the router 10 for routing in the subnet 12.
  • the packet is filtered by the In a first exemplary embodiment, the packet is destroyed by the filtering equipment 15. In a second exemplary embodiment, the packet is transmitted to a security device (not shown). The security equipment is arranged to analyze the packets, detect attacks by cross-checking data, identify the origin of attacks and, where appropriate, implement countermeasures.
  • the address validation equipment 13 and the filtering equipment 15 are two separate devices that each manage a data table: the table BT managed by the address validation equipment 13 and which includes the legitimate IP addresses of the subnet 12 and the FT filtering table which includes the IP addresses of the devices of the subnet 12 and which have been transmitted by the address validation equipment 13.
  • the address validation equipment 13 and the filtering equipment 15 constitute IP address validation and filtering modules of an address validation and filtering device which manages a single table, comparable to the BT table, which is also used to filter IP packets whose destination IP address field is not included in the single table.
  • the router 10 is intended to serve a plurality of subnetworks NW1, NW2, NW3, etc.
  • Each of the subnets therefore comprises an address validation equipment which transmits to the filtering equipment 15 the valid IP addresses of the equipment of the different subnetworks.
  • Such an architecture corresponds, for example, to an enterprise network that comprises a plurality of subnetworks, each of the subnets corresponding to an entity that has its own subnetwork.
  • the architecture is described here in the case of addressing in accordance with version 6 of the IP protocol.
  • the invention is not limited to this type of addressing.
  • addressing according to version 4 of the IP protocol is used.
  • ARP Address Resolution Protocol
  • ICMP Router Discovery and Router Redirect to provide the functionality equivalent to the Internet Protocol Message Protocol.
  • discovery of Neighbor Discovery neighbors of version 6 of the IP protocol is used.
  • the devices M1, M2, etc. acquire an IP address in the sub-network 12.
  • This phase PO corresponds for example to a power-up of the devices M1, M2, etc.
  • the devices Ml, M2, etc. are allocated an IP address either by means of a DHCP request or not auto-configuration. In this example, it is assumed that the devices obtain their IP address from the DHCP server 14.
  • a device for example the device Ml, broadcasts a "DHCP_SOLICIT" request and receives a DHCP_ADVERTISE message from the DHCP server 14 in response. which includes an IP address proposal.
  • the device Ml sends a message "DHCP_REQUEST" which includes the validated IP address.
  • This message which passes through the address validation equipment 13 allows the latter to record in the association table BT, during a recording step El, the IP address validated in association with a physical identifier, for example a port number through which the device M1 communicates.
  • the address validation equipment 13 sends, in a step E2 for sending an IP address, the IPv6 addresses that it has memorized during the PO phase to the filtering device 15. It should be noted that any address stored by the equipment 13 address validation corresponds to the IP address of a device that is actually present in the sub-network 12. Such an address is called a valid address. In an exemplary embodiment, the addresses are sent by the address validation equipment 13 at regular intervals. In a second exemplary embodiment, as soon as the address validation equipment 13 stores a device IP address in the BT association table, it transmits this IP address to the filtering equipment 15.
  • the filtering equipment 15 which interrogates the address validation equipment 13 in order to know if an IP address which appears in the destination IP address field of an incoming IP packet belongs to a legitimate device of the sub. - network 12.
  • the filtering equipment can memorize the legitimate addresses as and when.
  • the filtering equipment 15 systematically interrogates the address validation device; it does not store legitimate IP addresses.
  • the IP addresses sent by the address validation equipment 13 during the sending step E2 are received and stored by the filtering equipment 15 in the transmission table.
  • FT filtering during a step E3 receiving and storing.
  • the filtering table FT comprises the set IP addresses of the devices that are part of the subnet 12. These addresses are valid IP addresses.
  • a step E4 sending a packet the equipment T1 sends an IP packet to the router 10 through the Internet 11 (not shown in Figure 3).
  • the equipment T1 is not part of the devices of the subnet 12.
  • the IP packet includes in the destination IP address field an address whose first part is identical to the network prefix of the subnet 12 and whose second part is random. It is therefore intended to be routed by the router 10 in the subnet 12.
  • the IP packet is routed in the network to the router 10, for example via other routers (not shown).
  • the IP packet is received by the filtering device 15, located in a gap between the Internet network 11 and the router 10.
  • the filtering device 15 checks whether the address that is in the destination IP address field of the received packet is stored in the FT filtering table.
  • the packet is not intended for any known device of the subnet 12.
  • the packet is potentially an attack package.
  • the packet is blocked by the filtering equipment 15.
  • the packet is transmitted to a network security device (not shown in FIG. 2).
  • the security equipment has a global vision of the traffic and is intended to study the blocked packets so as to identify possible attacks as well as their origin and possibly to implement countermeasures.
  • the packet is then transmitted to the router 10 by the filtering equipment 15 during a transmission step E8, to be routed in the subnet 12. In other words, in this case the packet is not filtered.
  • the router 10 routes the packet to the device of the subnet 12.
  • the router 10 which implements the IP version 6, relies on the a standard neighbor discovery mechanism for establishing network communication and forwarding the received packet to a device in the subnet it serves.
  • This mechanism which operates at layer 3 of the OSI model, establishes a correspondence between an IPv6 address, a device identifier at layer 3, and a MAC address of this device that corresponds to a layer 2 identifier of this device. device.
  • the router 10 receives the IP packet, it checks in the "Neighbor Cache" cache if an entry associated with the destination IP address that appears in the IP packet exists.
  • Such a memory associates with the IP address of a device of the subnet a MAC address, that is to say a layer 2 identifier, which allows the router 10 to route the packet to the device whose IP address is equal to the destination IP address of the packet, in this case the device Ml.
  • the router sends a request to request neighbors in the subnet 12 to ask if a device located on the network link has the IP address. In parallel, it creates an entry in the cache for this IP address; this entry has a predefined life. If the router receives the response from a device, then it completes the entry by associating the MAC address of the device with the already registered IP address.
  • the cache memory already includes an entry that associates the IP address that is in the destination IP field of the received packet with the MAC address of the device Ml of the subnet 12, and in this case the packet is routed to the device, or no entry is in the cache.
  • the router creates an entry and sends a request to solicit neighbors.
  • the router 10 then receives a response that allows it to complete the entry with the MAC address of the device Ml for which the packet is intended. Indeed, in these two cases, the packet is intended for a device that exists in the subnet 12. It is transmitted and received by the latter during a receiving step E10.
  • the router 10 If the router 10 receives no response, meaning that no device has the IP address, then it clears the entry after a given time which corresponds to the lifetime of the entry.
  • the system 40 for protecting a router against attacks includes an IP address validation equipment 13 and a filtering equipment 15.
  • the validation equipment 13 of IP addresses is placed closer to the devices of the subnet 12. It is arranged to record in the association table BT an association between a physical parameter associated with a device of the subnet 12, for example a number of port through which the device communicates, and the IP address of the device which constitutes a logical parameter associated with the device.
  • the filtering equipment 15 is placed in a cutoff between the Internet network 11 (not shown in FIG. 4) and the router 10. It is intended to analyze any incoming IP packet destined for the subnet 12 and to verify that the IP address that is in the destination IP address field of the packet corresponds to a legitimate device of the subnet 12.
  • a legitimate device is a device actually present in the subnet 12 whose IP address is in the association table BT managed by the address validation device 13.
  • the protection system 40 of a router comprises:
  • a first microprocessor 131 or "CPU” (Central Processing Unit), which is a processing unit of the address validation device 13,
  • the set of memories also comprises storage means 133, for example a read-only memory, or "ROM” (of the English “Read Only Memory Adapted to store the association table BT which, at each device IP address M1, M2, etc., of the subnet 12 associates a physical parameter of the physical link on which the device communicates, for example a port number. ,
  • means 134 for obtaining the associations arranged to obtain associations between the IP address of a device of the subnet 12 and the physical parameter of the physical link on which the device communicates. These associations are intended to be stored by the storage means 133 in the BT association table. The associations are obtained during the allocation of the IP addresses to the devices of the sub-network 12. These means 134 characterize the function offered by a SAVI equipment,
  • first network interfaces 136 arranged to communicate with the devices of the sub-network 12 and with the router 10,
  • the system 40 also includes:
  • the second set of memories also comprises storage means 153, for example a read-only memory or ROM, adapted for storing the FT filtering table which includes the IP addresses of the legitimate devices of the subnet 12,
  • the IP addresses of the devices are sent by the end-address validation equipment 13, that is to say, whenever the address validation equipment 13 registers an association in the BT association table. In another exemplary embodiment, the addresses are sent at regular intervals by the address validation device 13.
  • second network interfaces 155 arranged to communicate with equipment of the Internet network 11, more specifically with devices T1, T2, of the Internet network and with the router 10.
  • the protection system 40 also comprises interrogation means 13 of the address validation device 13 (not shown) arranged for the filtering equipment 15 to interrogate the address validation equipment 13. upon receipt of an incoming IP packet to verify that the address that is in the destination IP field of the incoming IP packet belongs to a device of the subnet 12.
  • the means 134 for obtaining associations, the sending means 135, the first network interfaces 136, the receiving means 154, the second network interfaces 155 are preferably software modules comprising software instructions for executing the steps of the method protection of a previously described router.
  • the invention therefore also relates to:
  • a computer program on a data medium and loadable in the memory of a computer, the program comprising code instructions for performing the steps of the method of protecting a router against attacks as described above when this program is executed by a processor, and
  • the software modules can be stored in, or transmitted by, a data carrier.
  • a data carrier This may be a hardware storage medium, for example a CD-ROM, a floppy disk magnetic or a hard disk, or a transmission medium such as a signal or a telecommunications network.
  • the address validation and filtering facilities 13 share a data table that stores the IP addresses of the legitimate devices of the subnet 12.
  • the protection system 40 of a router is described herein as comprising an IP address validation equipment 13 and a filtering equipment.
  • the protection system 40 comprises an address validation and filtering equipment adapted to validate the IP addresses of the devices of the sub-network by storing the associations between the IP addresses of the subscribers. devices and a parameter of the physical link through which they communicate, and for filtering incoming packets based on the destination IP address field of the incoming packet.
  • the protection system 40 is integrated in a routing device, such as a router.
  • the protection system 40 is integrated in an access gateway allowing access to equipment from a local area network to an IP network.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un procédé de protection d'un routeur (10) contre des attaques, le routeur acheminant des paquets IP pour au moins un sous-réseau (12) identifié par un préfixe réseau. Le procédé comprend : - une étape (E3) d'obtention par l'intermédiaire d'un module de validation d'adresses IP (13) de l'adresse IP attribuée à au moins un dispositif (M1, M2, etc.) du sous-réseau, ledit module étant apte à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape (P0) d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide, - une étape (E8) de retransmission au routeur d'un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.. (Figure 3) 20

Description

Procédé de protection d'un routeur contre des attaques
La présente invention concerne une technique de protection d'un routeur contre des attaques.
Elle trouve une application particulièrement intéressante dans la protection d'un réseau, tel un réseau local de type réseau d'entreprise ou réseau domestique, contre des attaques par déni de service.
Des paquets de données à destination d'un équipement d'un réseau local situé sur un lien réseau donné sont acheminés par l'intermédiaire d'un routeur situé sur le même lien réseau. II est connu que le protocole IPv6 s'appuie sur un mécanisme normalisé de découverte des voisins (ou « Neighbor Discovery ») décrit dans la RFC 4861 (de l'anglais « Request for Comment ») pour établir une communication réseau et acheminer un paquet à un équipement d'un réseau. Ce mécanisme, qui opère au niveau de la couche 3 du modèle « OSI » (de l'anglais « Open Systems Interconnection ») est responsable de la découverte d'équipements sur le même lien réseau et de la détermination de leur adresse IP. Il établit une correspondance entre une adresse IPv6, identifiant d'un équipement au niveau de la couche 3, et une adresse « MAC » (de l'anglais « Media Access Control ») de cet équipement qui correspond à un identifiant couche 2 de l'équipement. Un routeur qui reçoit un paquet à acheminer à un équipement du réseau local s'appuie sur ce mécanisme pour acheminer le paquet. Ainsi, lorsque le routeur reçoit un paquet l'adresse IP destination correspond à une adresse potentiellement attribuée à un équipement du réseau local qu'il dessert, il vérifie dans une mémoire cache appelée « Neighbor cache » si une entrée associée à l'adresse IP destination existe. Une telle mémoire associe à une adresse IP une adresse MAC qui permet au routeur d'acheminer le paquet à l'équipement dont l'adresse IP est égale à adresse IP destination du paquet et qui est sur le même lien réseau. Dans un cas où la mémoire cache ne contient pas l'adresse IP qui figure dans le champ IP destination du paquet, le routeur envoie une requête de sollicitation des voisins (« neighbor solicitation » en anglais) sur le réseau local afin de demander si un équipement situé sur le lien réseau possède l'adresse IPv6. En parallèle il crée une entrée dans la mémoire cache « Neighbor cache » pour cette adresse IPv6 ; cette entrée a une durée de vie prédéfinie. Si le routeur reçoit la réponse d'un équipement, alors il complète l'entrée en associant l'adresse MAC de l'équipement à l'adresse IPv6 déjà enregistrée. S'il ne reçoit aucune réponse, signifiant qu'aucun équipement ne possède l'adresse IPv6, alors il efface l'entrée au bout d'un temps donné qui correspond à la durée de vie de l'entrée.
Des attaquants exploitent ce mécanisme afin de perpétrer des attaques. Ces attaques sont faciles à mettre en œuvre et susceptibles de provoquer des dégâts importants. Ainsi, un attaquant qui cible un sous-réseau particulier dont il connaît le préfixe réseau, envoie une grande quantité de paquets IPv6 avec dans le champ IP destination des adresses IPv6 différentes, qui comprennent le même préfixe réseau. Par exemple, il incrémente l'adresse de « 1 » à chaque nouveau paquet. Selon le fonctionnement classique du mécanisme de découverte des voisins décrit précédemment, le routeur crée dans la mémoire cache « Neighbor cache » une entrée pour chaque adresse IP destination qui figure dans un paquet reçu, à moins que cette entrée ne figure déjà dans la mémoire cache. Lorsque l'entrée ne figure pas dans la mémoire cache, il crée cette nouvelle entrée dont la durée de vie est prédéfinie. Il envoie une requête aux équipements du sous-réseau qu'il dessert afin d'obtenir l'adresse MAC associée à l'adresse IP destination lorsque celle-ci appartient à un équipement du sous-réseau. Si aucun équipement ne répond, cela signifie que l'adresse IP destination ne correspond à aucun équipement du sous- réseau. Dans ce cas, l'entrée est effacée lorsque la durée de vie de l'entrée a expiré.
La mémoire cache d'un routeur a une taille prédéfinie. Par exemple cette taille peut permettre de gérer 512 entrées. On comprend que si l'attaquant inonde le routeur de requêtes avec des adresses incrémentées de « 1 » qui sont assimilées à des adresses aléatoires, alors la mémoire cache est rapidement saturée et le routeur ne peut plus acheminer de paquet légitime aux équipements du sous-réseau. En tout état de cause, aucun des équipements du sous-réseau ne peut plus recevoir de requête.
Une solution pour pallier ce genre d'attaque consiste à mettre en place un mécanisme de contrôle de débit (le terme habituellement utilisé est le terme anglais « rate limiting ») destiné à contrôler le trafic envoyé ou reçu sur une interface réseau. Un tel mécanisme peut consister à limiter le débit sur une interface du routeur et à rejeter ou à retarder des paquets en excès. Cependant un tel mécanisme ne distingue pas des paquets d'attaque de paquets légitimes et des paquets légitimes peuvent être rejetés ou retardés. L'effet pour un client légitime est qu'il ne peut plus envoyer de paquets à un nœud du sous-réseau, ou que les paquets qu'il envoie sont retardés. Les techniques actuelles ne sont pas satisfaisantes pour contrer de telles attaques.
Un des buts de l'invention est de remédier à des insuffisances/inconvénients de l'état de la technique et/ou d'y apporter des améliorations.
A cette fin, l'invention propose un procédé de protection d'un routeur contre des attaques, le routeur acheminant des paquets IP pour au moins un sous-réseau identifié par un préfixe réseau, ledit procédé comprenant :
- une étape d'obtention par l'intermédiaire d'un module de validation d'adresses IP de l'adresse IP attribuée à au moins un dispositif du sous-réseau, ledit module étant apte à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d' adresse IP valide,
- une étape de retransmission au routeur d'un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.
Le procédé de protection d'un routeur contre des attaques propose un mécanisme dynamique de filtrage des communications IP dites orphelines, c'est-à-dire des communications comprenant des paquets IP destinés à des nœuds qui n'existent pas dans un réseau local adressé par un routeur. Une telle solution de filtrage dynamique n'existe pas actuellement. Cette solution permet de filtrer uniquement des communications orphelines tout en laissant passer des communications légitimes, Le., destinées à des dispositifs existants du sous-réseau/réseau local. Ainsi, la solution permet de pallier des attaques par déni de service qui exploitent les limites inhérentes à la mise en œuvre du mécanisme de découverte des voisins par le routeur, en l'espère la limitation du nombre d'entrées dans la table de la mémoire cache « Neighbor cache ». De telles attaques visent à rendre un routeur hors service en le saturant de paquets IP dont le champ adresse destination comprend un préfixe réseau identique au préfixe réseau du routeur et un suffixe aléatoire. On remarque que la solution décrite ici est plus sélective que les solutions connues basées par exemple sur le rate limiting, puisque seuls les paquets illégitimes sont bloqués. La méthode proposée est donc plus efficace.
Dans un exemple de réalisation, le procédé comprend en outre une étape d'envoi par le module de validation d'adresses de l'adresse IP valide dudit dispositif au module de filtrage de paquets.
Dans un exemple de réalisation, les modules de validation d'adresses et de filtrage possèdent chacun leur table de données mémorisant les adresses IP légitimes du sous-réseau. Dans ce cas, c'est le module de validation d'adresses qui transmet au module de filtrage l'adresse IP légitime qu'il mémorise lors de l'allocation d'une adresse IP à un équipement du sous-réseau. Du fait du rôle joué par le module de validation lors de l'allocation d'une adresse IP, il est informé des mises à jour en temps réel et peut ainsi les transmettre au fil de l'eau au module de filtrage. Ainsi, il n'y a pas de risque que l'attaque vise finalement le module de filtrage lui-même par envoi de paquets illégitimes.
Dans un exemple de réalisation, le procédé comprend une étape d'envoi par le module de filtrage du paquet IP entrant à un dispositif de sécurité, lorsque l'adresse IP destination du paquet IP entrant n'est pas une adresse valide.
Le procédé permet ainsi une analyse de paquets IP jugés suspects, dans le sens où ils sont adressés à des dispositifs dont l'adresse IP ne fait pas partie des dispositifs légitimes présents dans le sous-réseau. Le dispositif de sécurité peut ainsi analyser des paquets filtrés par le dispositif de filtrage et détecter qu'une attaque est en cours et le cas échéant, identifier l'origine de l'attaque et/ou mettre en œuvre des contre-mesures.
L'invention concerne aussi un système de protection d'un routeur contre des attaques, le routeur étant agencé pour acheminer des paquets IP pour au moins un sous-réseau identifié par un préfixe réseau, le système comprenant :
- un module de validation d'adresses IP associé au sous-réseau, comprenant des moyens d'obtention de l'adresse IP d'au moins un dispositif du sous-réseau, lesdits moyens d'obtention de l'adresse étant aptes à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide,
- un module de filtrage, agencé pour retransmettre au routeur un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.
Dans un exemple particulier de réalisation du système de protection, le module de validation comprend des moyens d'envoi d'adresses, agencés pour envoyer l'adresse IP valide au module de filtrage.
L'invention concerne aussi un dispositif de routage de paquets IP dans un réseau comprenant un système de protection tel que décrit précédemment.
L'invention porte également sur une passerelle d'accès permettant un accès à des dispositifs d'un réseau local à un réseau IP comprenant un dispositif de routage tel que décrit précédemment.
L'invention concerne aussi un programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un ordinateur, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de protection d'un routeur contre des attaques tel que décrit précédemment, lorsque le programme est exécuté sur ledit ordinateur.
L'invention porte aussi sur un support de données dans lequel est enregistré le programme tel que décrit précédemment. D'autres caractéristiques et avantages de la présente invention seront mieux compris de la description et des dessins annexés parmi lesquels :
- la figure 1 est une représentation schématique d'une architecture réseau adaptée pour mettre en œuvre les étapes d'un procédé de protection contre des attaques, selon un premier exemple de réalisation de l'invention ; - la figure 2 est une représentation schématique d'une architecture réseau adaptée pour mettre en œuvre les étapes d'un procédé de protection contre des attaques, selon un deuxième exemple de réalisation de l'invention ;
- la figure 3 présente les étapes du procédé de protection contre des attaques, selon un exemple de réalisation de l'invention ;
- la figure 4 est une représentation schématique d'un système de protection d'un routeur contre des attaques, selon un exemple de réalisation de l'invention.
Un exemple d'architecture réseau dans laquelle le procédé de protection d'un routeur contre des attaques est mis en œuvre, selon un premier exemple de réalisation, va maintenant être décrit en relation avec la figure 1.
L'architecture réseau comprend un routeur 10, agencé pour acheminer des paquets entre le réseau Internet 11, plus précisément entre un équipement Tl, T2, et un dispositif Ml, M2, situé sur un même lien réseau que le routeur 10. On considère que les équipements Ml, M2, etc., situés sur le même lien réseau que le routeur 10, appartiennent à un sous-réseau 12. Le sous-réseau 12 est par exemple un sous-réseau de type réseau d'entreprise, réseau domestique, etc. Un tel sous-réseau 12 peut également être appelé réseau local. Pour un réseau domestique, le routeur 10 correspond à une passerelle d'accès permettant aux équipements du réseau local d' accéder au réseau IP.
On se place ici dans un cas où le protocole IPv6 est utilisé. De manière connue, selon ce protocole, une adresse IP comprend deux parties de 64 bits. La première partie, appelée préfixe réseau, est utilisée pour le routage de paquets dans le réseau. La deuxième partie correspond à un identifiant d'interface propre à l'équipement Ml, M2, etc. du sous-réseau 12. Le préfixe réseau des équipements Ml, M2, est identique au préfixe réseau du routeur 10. Un paquet IP dont le champ adresse IP destination comprend le préfixe réseau est transmis au routeur 10 afin d'être acheminé par celui-ci à un dispositif du sous-réseau 12. Pour acheminer un paquet destiné à un dispositif du sous-réseau 12, le routeur 10 utilise un mécanisme normalisé de découverte des voisins (ou « Neighbor Discovery ») décrit dans la RFC 4861 (de l'anglais « Request for Comment »). Ce mécanisme, qui opère au niveau de la couche 3 du modèle « OSI » (de l'anglais « Open Systems Interconnection ») est responsable de la découverte de dispositifs sur le même lien réseau qu'un routeur et de l'acheminement de paquets IP à ces dispositifs. Il établit un lien entre une adresse IP, identifiant du dispositif au niveau de la couche 3, et une adresse « MAC » (de l'anglais « Media Access Control ») de ce dispositif qui correspond à un identifiant couche 2 de l'équipement. Ainsi, lorsque le routeur 10 reçoit un paquet dont le champ IP destination comprend une adresse IP potentiellement attribuée à un équipement du sous-réseau 12 qu'il dessert, il vérifie dans une mémoire cache appelée « Neighbor cache » (non représentée) si une entrée associée à l'adresse IP destination qui figure dans le paquet IP existe. Une telle mémoire associe à une adresse IP une adresse MAC, et permet au routeur 10 d'acheminer le paquet au dispositif destinataire du paquet IP qui est sur le même lien réseau. Dans un cas où la mémoire cache ne contient pas l'adresse IP qui figure dans le champ IP destination du paquet, le routeur 10 envoie une requête de sollicitation des voisins (« neighbor solicitation » en anglais) aux dispositifs du sous-réseau 12 afin de demander si un dispositif situé sur le lien réseau possède l'adresse IP. Il crée également une entrée dans la mémoire cache « Neighbor cache » pour l'adresse IP précisée dans la requête de sollicitation. Cette entrée est créée avec une durée de vie prédéfinie. Si le routeur 10 reçoit une réponse d'un dispositif du sous-réseau 12, alors il complète l'entrée en associant l'adresse MAC à l'adresse IP du dispositif. S'il ne reçoit aucune réponse, signifiant qu'aucun dispositif du sous-réseau 12 ne possède l'adresse IP, il efface l'entrée de la mémoire cache à l'expiration de la durée de vie de l'entrée.
L'architecture réseau comprend également un équipement réseau 13 de validation d'adresses qui met en œuvre un mécanisme de validation d'adresses appelé « SAVI » (de l'anglais « Source Address Validation Improvement »), en cours de standardisation à l'« IETF » (pour « Internet Engineering Task Force »). Le mécanisme SAVI est adapté pour détecter une usurpation d'adresse dans un sous-réseau à l'intérieur duquel tous les dispositifs ont le même préfixe d'adresse IP. Ce mécanisme est mis en œuvre lorsqu'une adresse IP est allouée à un dispositif dans le sous-réseau 12. L'équipement réseau 13 de validation d'adresses est situé au plus près des dispositifs du sous-réseau 12. Il est connu qu'un dispositif d'un sous-réseau, par exemple les dispositifs Ml, M2, obtiennent une adresse IP selon l'une des méthodes suivantes :
- obtention de l'adresse auprès d'un serveur « DHCP » (pour « Dynamic Host
Configuration Protocol »),
allocation de l'adresse IP par auto-configuration. Le mécanisme d'auto- configuration n'existe que pour la version 6 du protocole IP.
Dans un premier exemple illustré par la figure 1, dans lequel l'adresse IP est obtenue auprès d'un serveur DHCP 14, un dispositif du sous-réseau 12, par exemple le dispositif Ml, requiert auprès du serveur DHCP 14 une adresse IP en diffusant une requête « DHCP_SOLICIT ». Le serveur DHCP 14 qui reçoit la requête diffuse à l'attention du dispositif Ml une offre « DHCP_ADVERTISE » qui comprend une adresse IP proposée par le serveur DHCP 14. Le dispositif Ml, s'il accepte cette adresse, répond à cette offre en envoyant une requête « DHCP_REQUEST » qui comprend l'adresse IP qui vient de lui être proposée. La requête « DHCP_REQUEST » qui transite par l'équipement réseau 13 de validation d'adresses permet à ce dernier d'enregistrer dans une table d'association BT (on parle habituellement de « Binding Table ») une association entre un paramètre physique associé à la liaison physique propre au dispositif Ml dans le sous-réseau 12 et l'adresse IP, logique, qui a été attribuée et acceptée par le dispositif Ml. Une telle association est connue aussi sous le nom d' « association d'ancrage » (le terme habituellement utilisé est le terme anglais « binding anchor »). Le paramètre physique est indépendant de l'adresse IP ; c'est par exemple un numéro de port pl sur lequel l'équipement de validation d'adresses 13 reçoit la requête « DHCP_REQUEST » du dispositif Ml. Ainsi, l'équipement réseau 13 de validation d'adresses gère la table d'association BT qui enregistre pour tous les dispositifs Ml, M2, du sous-réseau 12 qui se voient allouer une adresse IP par le serveur DHCP 14, une correspondance entre un numéro de port et l'adresse IP allouée audit dispositif. Dans d'autres exemples de réalisation, le paramètre physique du dispositif enregistré en association avec son adresse IP est une adresse MAC, ou une interface réseau.
L'équipement 13 de validation d'adresses est ainsi adapté pour détecter des usurpations d'adresse dans le sous-réseau 12. En effet, si un dispositif M3 du sous-réseau 12 usurpe l'adresse IP du dispositif Ml et envoie un paquet IP comprenant comme adresse IP source l'adresse usurpée du dispositif Ml, alors l'équipement 13 de validation d'adresses détecte une incohérence. Il y a en effet incohérence entre l'adresse IP source contenue dans le paquet IP envoyé par le dispositif M3 et l'adresse IP normalement associée dans la table d'association BT au port réseau sur lequel il vient de recevoir le paquet, en l'espèce le port associé au dispositif M3 dans la table d'association BT. L'équipement 13 de validation d'adresses bloque alors le paquet IP émis depuis la machine M3 qui comprend comme adresse source l'adresse de la machine Ml.
Dans l'exemple décrit ici, l'adresse IP est obtenue auprès du serveur DHCP 14 qui est compris dans le sous-réseau 12. Dans un autre exemple de réalisation (non représenté), le sous- réseau 12 comprend un relais DHCP qui communique avec un serveur DHCP extérieur au sous- réseau 12. Le relais DHCP fournit les mêmes services aux équipements Ml, M2, du sous- réseau 12, par l'intermédiaire d'échanges avec le serveur DHCP. En particulier, le relais DHCP alloue alors les adresses IP aux équipements Ml, M2, ...
Dans un autre exemple de réalisation (non représenté), où l'adresse IP est obtenue par auto-configuration, un dispositif du sous-réseau 12, par exemple le dispositif Ml, reçoit du routeur 10 le préfixe réseau dans un message « Router Advertisement ». Le dispositif Ml génère alors un identifiant d'interface qui lui est propre, en tant que suffixe d'adresse IP. Le dispositif Ml concatène alors le préfixe réseau reçu du routeur 10 et le suffixe généré pour forger son adresse IP. Une fois l'adresse IP forgée par le dispositif Ml, celui-ci doit s'assurer que l'adresse IP est unique dans le sous-réseau 12. A cette fin, le dispositif Ml met en œuvre un mécanisme de détection d' adresse dupliquée appelé « D AD » (pour « Duplicate Address Détection »), décrit dans la RFC 4862 (pour « Request For Comment »). Avec ce mécanisme, le dispositif Ml émet à l'attention de ses voisins du même sous-réseau, ici les dispositifs M2, etc., un message de sollicitation comprenant l'adresse qu'il s'est forgée. Lors de la diffusion de ce message, l'équipement 13 de validation d'adresses enregistre dans la table d'association BT une correspondance temporaire entre l'adresse IP du dispositif Ml, extraite du message de sollicitation, et le numéro de port sur lequel il a reçu ce message. Si aucun autre dispositif du sous-réseau 12 ne répond à ce message de sollicitation pendant un intervalle de temps donné, alors cela signifie que l'adresse IP forgée par le dispositif Ml est unique dans le sous-réseau 12 et que l'adresse IP est valable pour le dispositif Ml. Au niveau de l'équipement 13 de validation d'adresses, l'association entre l'adresse IP et le numéro de port est validée et devient définitive au terme de cet intervalle de temps donné pendant lequel l'équipement 13 de validation d'adresses n'a vu passer aucune réponse au message de sollicitation. Si au contraire, un dispositif du sous-réseau 12 répond au message de sollicitation afin d'informer le dispositif Ml que l'adresse est déjà attribuée, alors l'équipement 13 de validation d'adresses efface la correspondance temporaire qu'il a enregistrée. Une fois que toutes les adresses IP ont été forgées pour les machines du sous-réseau 12, et que l'équipement 13 de validation d'adresses possède donc une table d'association BT complète et à jour, la prévention d'usurpation d' adresse est alors opérée de la même manière que précédemment.
Le réseau 10 comprend en outre un équipement réseau de filtrage 15 de type pare-feu (« firewall » en anglais) destiné à filtrer des paquets IP en fonction du champ adresse IP destination. Dans un autre mode de réalisation, l'équipement réseau de filtrage 15 est un équipement mettant en œuvre des listes de contrôle d' accès ACL pour « Access Control List », par exemple le routeur 10. L'équipement de filtrage 15 est placé en coupure entre le routeur 10 et le réseau Internet 11. Tout paquet IP destiné à un dispositif du sous-réseau 12 transite donc par l'équipement de filtrage 15. L'équipement de filtrage 15 est paramétré pour recevoir de l'équipement 13 de validation d'adresses les adresses IP légitimes des équipements du sous- réseau 12, et pour les enregistrer dans une table de filtrage FT. Ainsi, une adresse IP reçue de l'équipement 13 de validation d'adresses et enregistrée dans la table de filtrage FT est une adresse légitime du sous-réseau 12. La table de filtrage FT est utilisée par l'équipement de filtrage 15 pour filtrer les paquets IP reçus du réseau Internet et à destination d'un dispositif du sous-réseau 12, en fonction de l'adresse IP destination qui figure dans un champ du paquet IP. Lorsqu'un paquet IP destiné à un dispositif du sous-réseau 12 est reçu par l'équipement de filtrage 15, celui-ci analyse le champ IP destination du paquet reçu. Si l'adresse IP destination figure dans la table de filtrage FT alors, il s'agit d'un paquet destiné à un dispositif légitime du sous-réseau 12. Il n'est donc pas filtré par l'équipement de filtrage 15 et est transmis au routeur 10 pour acheminement dans le sous-réseau 12. Dans le cas contraire où le paquet IP reçu comprend une adresse IP destination qui ne fait pas partie des adresses IP enregistrée dans la table de filtrage FT, alors le paquet est filtré par l'équipement de filtrage 15. Dans un premier exemple de réalisation le paquet est détruit par l'équipement de filtrage 15. Dans un deuxième exemple de réalisation, le paquet est transmis à un équipement de sécurité (non représenté). L'équipement de sécurité est agencé pour analyser les paquets, détecter des attaques par recoupement de données, identifier l'origine d'attaques et le cas échéant mettre en œuvre des contre-mesures.
Dans les exemples de réalisation décrits ici, l'équipement 13 de validation d'adresses et l'équipement de filtrage 15 sont deux équipements distincts qui gèrent chacun une table de données : la table BT gérée par l'équipement 13 de validation d'adresses et qui comprend les adresses IP de dispositifs légitimes du sous-réseau 12 et la table de filtrage FT qui comprend les adresses IP des dispositifs du sous-réseau 12 et qui ont été transmises par l'équipement 13 de validation d'adresses. Dans un autre exemple d'architecture, l'équipement 13 de validation d'adresses et l'équipement de filtrage 15 constituent des modules de validation d'adresses IP et de filtrage d'un dispositif de validation d'adresses et de filtrage qui gère une table unique, comparable à la table BT et qui est utilisée également pour filtrer les paquets IP dont le champ adresse IP destination ne figure pas dans la table unique.
L'invention n'est pas limitée à l'exemple d'architecture décrit en relation avec la figure 1. Ainsi, dans un autre exemple de réalisation illustré par la figure 2, le routeur 10 est destiné à desservir une pluralité de sous-réseaux NW1, NW2, NW3, etc. Chacun des sous-réseaux comprend donc un équipement de validation d'adresses qui transmet à l'équipement de filtrage 15 les adresses IP valides des équipements des différents sous-réseaux. Une telle architecture correspond par exemple à un réseau d'entreprise qui comprend une pluralité de sous-réseaux, chacun des sous-réseaux correspondant à une entité qui possède son propre sous-réseau.
L'architecture est décrite ici dans le cas d'un adressage conforme à la version 6 du protocole IP. L'invention n'est pas limitée à ce type d'adressage. Ainsi, dans une variante de réalisation, un adressage selon la version 4 du protocole IP est utilisé. Dans ce cas, le mécanisme « ARP » (de l'anglais « Address Resolution Protocol ») est utilisé avec « ICMP Router Discovery et Router Redirect » (de anglais « Internet Control Message Protocol ») afin de fournir les fonctionnalités équivalentes au mécanisme de découverte des voisins « Neighbor Discovery » de la version 6 du protocole IP. Les étapes d'un procédé de protection d'un routeur contre des attaques, selon un exemple de réalisation, vont maintenant être décrites en relation avec la figure 3.
On suppose que l'architecture réseau est conforme à l'architecture décrite en relation avec la figure 1.
Dans une phase initiale PO de configuration du sous-réseau 12, les dispositifs Ml, M2, etc., acquièrent une adresse IP dans le sous-réseau 12. Cette phase PO correspond par exemple à une mise sous tension des dispositifs Ml, M2, etc. Selon les méthodes connues décrites précédemment, les dispositifs Ml, M2, etc., se voient allouer une adresse IP soit au moyen d'une requête DHCP, soit pas auto-configuration. On suppose dans cet exemple que les équipements obtiennent leur adresse IP auprès du serveur DHCP 14. De manière classique, un dispositif, par exemple le dispositif Ml, diffuse une requête « DHCP_SOLICIT » et reçoit du serveur DHCP 14 en réponse un message « DHCP_ADVERTISE » qui comprend une proposition d'adresse IP. Le dispositif Ml envoie un message « DHCP_REQUEST » qui comprend l'adresse IP validée. Ce message, qui transite par l'équipement 13 de validation d'adresses permet à ce dernier d'enregistrer dans la table d'association BT, au cours d'une étape El d'enregistrement, l'adresse IP validée en association avec un identifiant physique, par exemple un numéro de port à travers lequel le dispositif Ml communique.
L'équipement 13 de validation d'adresses envoie dans une étape E2 d'envoi d'adresse IP, les adresses IPv6 qu'il a mémorisées durant la phase PO au dispositif de filtrage 15. On remarque que toute adresse mémorisée par l'équipement 13 de validation d'adresses correspond à l'adresse IP d'un dispositif qui est effectivement présent dans le sous-réseau 12. On appelle une telle adresse une adresse valide. Dans un exemple de réalisation, les adresses sont envoyées par l'équipement 13 de validation d'adresses à intervalle régulier. Dans un deuxième exemple de réalisation, dès que l'équipement 13 de validation d'adresses enregistre une adresse IP de dispositif dans la table d'association BT, il transmet cette adresse IP à l'équipement de filtrage 15. Dans un autre exemple de réalisation, c'est l'équipement de filtrage 15 qui interroge l'équipement de validation d'adresses 13 afin de savoir si une adresse IP qui figure dans le champ adresse IP destination d'un paquet IP entrant appartient à un dispositif légitime du sous- réseau 12. Dans ce cas, l'équipement de filtrage peut mémoriser les adresses légitimes au fur et à mesure. Dans un autre exemple de réalisation, l'équipement de filtrage 15 interroge systématiquement le dispositif de validation d'adresses ; il ne mémorise donc pas les adresses IP légitimes.
Les adresses IP envoyées par l'équipement 13 de validation d'adresses au cours de l'étape E2 d'envoi sont reçues et mémorisées par l'équipement de filtrage 15 dans la table de filtrage FT au cours d'une étape E3 de réception et de mémorisation. Ainsi, lorsque tous les équipements du sous-réseau 12 se sont vus allouer une adresse IP enregistrée dans la table d'association BT et que ces adresses ont été transmises à l'équipement de filtrage 15, la table de filtrage FT comprend l'ensemble des adresses IP des dispositifs qui font partie du sous-réseau 12. Ces adresses sont des adresses IP valides.
Dans une étape E4 d'envoi d'un paquet, l'équipement Tl envoie un paquet IP vers le routeur 10 à travers le réseau Internet 11 (non représenté sur la figure 3). On remarque que l'équipement Tl ne fait pas partie des dispositifs du sous-réseau 12. Le paquet IP comprend dans le champ adresse IP destination une adresse dont la première partie est identique au préfixe réseau du sous-réseau 12 et dont la deuxième partie est aléatoire. Il est donc destiné à être acheminé par le routeur 10 dans le sous-réseau 12. Le paquet IP est acheminé dans le réseau jusqu'au routeur 10, par exemple par l'intermédiaire d'autres routeurs (non représentés).
Dans une étape de réception E5, le paquet IP est reçu par le dispositif de filtrage 15, situé en coupure entre le réseau Internet 11 et le routeur 10.
Dans une étape E6 d'analyse du champ adresse IP destination et de test, le dispositif de filtrage 15 vérifie si l'adresse qui figure dans le champ adresse IP destination du paquet reçu est enregistré dans la table de filtrage FT.
Dans un premier cas où l'adresse ne figure pas dans la table de filtrage FT (branche « nok » sur la figure 2), cela signifie que le paquet n'est destiné à aucun dispositif connu du sous-réseau 12. Le paquet est potentiellement un paquet d'attaque. Dans une étape E7 de blocage, le paquet est bloqué par l'équipement de filtrage 15. Dans un autre exemple de réalisation, le paquet est transmis à un équipement de sécurité du réseau (non représenté sur la figure 2). L'équipement de sécurité a une vision globale du trafic et est destiné à étudier les paquets bloqués de manière à identifier d'éventuelles attaques ainsi que leur origine et éventuellement à mettre en œuvre des contre-mesures.
Dans un second cas où l'adresse figure dans la table de filtrage FT (branche « ok » sur la figure 2), cela signifie que le paquet est un paquet légitime, ou plus exactement que le paquet est destiné à un dispositif légitime du sous-réseau 12. Le paquet est alors transmis au routeur 10 par l'équipement de filtrage 15 au cours d'une étape E8 de transmission, pour être acheminé dans le sous-réseau 12. En d'autres termes, dans ce cas le paquet n'est pas filtré.
On suppose que le paquet est destiné au dispositif Ml du sous-réseau 12.
Dans une étape E9 d'acheminement le routeur 10 achemine le paquet au dispositif du sous-réseau 12. A cette fin, et de manière classique, le routeur 10, qui met en œuvre la version 6 du protocole IP, s'appuie sur le mécanisme normalisé de découverte des voisins pour établir une communication réseau et acheminer le paquet reçu à un dispositif du sous-réseau qu'il dessert. Ce mécanisme, qui opère au niveau de la couche 3 du modèle OSI établit une correspondance entre une adresse IPv6, identifiant d'un dispositif au niveau de la couche 3, et une adresse MAC de ce dispositif qui correspond à un identifiant couche 2 de ce dispositif. Lorsque le routeur 10 reçoit le paquet IP, il vérifie dans la mémoire cache « Neighbor cache » si une entrée associée à l'adresse IP destination qui figure dans le paquet IP existe. Une telle mémoire associe à l'adresse IP d'un dispositif du sous-réseau une adresse MAC, c'est-à-dire un identifiant couche 2, qui permet au routeur 10 d'acheminer le paquet au dispositif dont l'adresse IP est égale à l'adresse IP destination du paquet, en l'espèce le dispositif Ml. Dans un cas où la mémoire cache ne contient pas l'adresse IP qui figure dans le champ IP destination du paquet, le routeur envoie une requête de sollicitation des voisins dans le sous-réseau 12 afin de demander si un dispositif situé sur le lien réseau possède l'adresse IP. En parallèle il crée une entrée dans la mémoire cache pour cette adresse IP ; cette entrée a une durée de vie prédéfinie. Si le routeur reçoit la réponse d'un dispositif, alors il complète l'entrée en associant l'adresse MAC du dispositif à l'adresse IP déjà enregistrée. Dans cet exemple de réalisation, soit la mémoire cache comprend déjà une entrée qui associe à l'adresse IP qui figure dans le champ IP destination du paquet reçu à l'adresse MAC du dispositif Ml du sous-réseau 12, et dans ce cas le paquet est acheminé au dispositif, soit aucune entrée ne figure dans la mémoire cache. Dans ce cas, le routeur crée une entrée et envoie une requête de sollicitation des voisins. Le routeur 10 reçoit ensuite une réponse qui lui permet de compléter l'entrée avec l'adresse MAC du dispositif Ml auquel est destiné le paquet. En effet, dans ces deux cas, le paquet est destiné à un dispositif qui existe dans le sous-réseau 12. Il est transmis et reçu par celui-ci au cours d'une étape E10 de réception. Ainsi, une attaque par déni de service connue qui consiste à inonder le routeur de paquets IP dont adresse IP destination comprend le même préfixe réseau que celui du routeur 10 mais qui correspond à une adresse aléatoire est impossible à mettre en œuvre ici. En effet, l'équipement de filtrage 15, en coupure des échanges entre le routeur 10 et le réseau Internet 11 garantit que seuls des paquets destinés à des dispositifs légitimes du sous-réseau 12 sont transmis au routeur 10.
Si le routeur 10 ne reçoit aucune réponse, signifiant qu'aucun dispositif ne possède l'adresse IP, alors il efface l'entrée au bout d'un temps donné qui correspond à la durée de vie de l'entrée.
Un système de protection d'un routeur contre des attaques, selon un exemple de réalisation, va maintenant être décrit en relation avec la figure 4.
Le système 40 de protection d'un routeur contre des attaques comprend un équipement 13 de validation d'adresses IP et un équipement de filtrage 15. L'équipement 13 de validation d'adresses IP est placé au plus près des dispositifs du sous-réseau 12. Il est agencé pour enregistrer dans la table d'association BT une association entre un paramètre physique associé à un dispositif du sous-réseau 12, par exemple un numéro de port grâce auquel le dispositif communique, et l'adresse IP du dispositif qui constitue un paramètre logique associé au dispositif. L'équipement de filtrage 15 est placé en coupure entre le réseau Internet 11 (non représenté sur la figure 4) et le routeur 10. Il est destiné à analyser tout paquet IP entrant et à destination du sous-réseau 12 et à vérifier que l'adresse IP qui figure dans le champ adresse IP destination du paquet correspond à un dispositif légitime du sous-réseau 12. Un dispositif légitime est un dispositif réellement présent dans le sous-réseau 12 dont l'adresse IP figure dans la table d'association BT gérée par le dispositif 13 de validation d'adresses.
Le système 40 de protection d'un routeur comprend :
- un premier microprocesseur 131, ou « CPU » (de l'anglais « Central Processing Unit ») qui est une unité de traitement du dispositif 13 de validation d'adresses,
- un premier ensemble de mémoires dont une mémoire vive 132, ou « RAM » (pour « Random Access Memory ») qui permet de charger des instructions logicielles correspondant aux étapes du procédé de protection d'un routeur qui sont mises en œuvre par le dispositif 13 de validation d'adresses, et de les faire exécuter par le premier processeur 131. L'ensemble de mémoires comprend également des moyens de mémorisation 133, par exemple un mémoire morte, ou « ROM » (de l'anglais « Read Only Memory ») adaptée pour mémoriser la table d'association BT qui à chaque adresse IP de dispositif Ml, M2, etc., du sous-réseau 12 associe un paramètre physique de la liaison physique sur laquelle le dispositif communique, par exemple un numéro de port,
- des moyens 134 d'obtention des associations, agencés pour obtenir des associations entre l'adresse IP d'un dispositif du sous-réseau 12 et le paramètre physique de la liaison physique sur laquelle le dispositif communique. Ces associations sont destinées à être stockées par les moyens de mémorisation 133 dans la table d'associations BT. Les associations sont obtenues lors de l'allocation des adresses IP aux dispositifs du sous-réseau 12. Ces moyens 134 caractérisent la fonction offerte par un équipement SAVI,
- des moyens d'envoi 135, agencés pour envoyer à l'équipement de filtrage 15 les adresses IP des dispositifs légitimes du sous-réseau 12,
- des premières interfaces réseau 136, agencées pour communiquer avec les dispositifs du sous-réseau 12 et avec le routeur 10,
Le système 40 comprend également :
- un deuxième microprocesseur 151, ou CPU, qui est une unité de traitement de l'équipement de filtrage 15, - un deuxième ensemble de mémoires dont une mémoire vive 152, qui permet de charger des instructions logicielles correspondant aux étapes du procédé de protection d'un routeur qui sont mises en œuvre par l'équipement de filtrage 15, et de les faire exécuter par le deuxième processeur 151. Le deuxième ensemble de mémoires comprend également des moyens de mémorisation 153, par exemple un mémoire morte ou ROM, adaptée pour mémoriser la table de filtrage FT qui comprend les adresses IP des dispositifs légitimes du sous- réseau 12,
- des moyens de réception 154, agencés pour communiquer avec l'équipement 13 de validation d'adresses et pour recevoir les adresses IP des équipements légitimes du sous-réseau 12. Dans un exemple de réalisation, les adresses IP des dispositifs sont envoyées par l'équipement 13 de validation d'adresses au fil de l'eau, c'est-à-dire à chaque fois que l'équipement 13 de validation d'adresses enregistre une association dans la table d'associations BT. Dans un autre exemple de réalisation, les adresses sont envoyées à intervalle régulier par le dispositif 13 de validation d'adresses.
- des deuxièmes interfaces réseau 155, agencées pour communiquer avec des équipements du réseau Internet 11, plus précisément avec des dispositifs Tl, T2, du réseau Internet et avec le routeur 10.
Dans un autre exemple de réalisation, le système de protection 40 comprend également des moyens d'interrogation du dispositif 13 de validation d'adresses (non représentés) agencés pour que l'équipement de filtrage 15 interroge l'équipement 13 de validation d'adresses sur réception d'un paquet IP entrant afin de vérifier que l'adresse qui figure dans le champ IP destination du paquet IP entrant appartient à un dispositif du sous-réseau 12.
Les moyens 134 d'obtention des associations, les moyens d'envoi 135, les premières interfaces réseau 136, les moyens de réception 154, les deuxièmes interfaces réseau 155 sont de préférence des modules logiciels comprenant des instructions logicielles pour faire exécuter les étapes du procédé de protection d'un routeur précédemment décrites.
L'invention concerne donc aussi :
- un programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un ordinateur, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de protection d'un routeur contre des attaques tel que décrit précédemment lorsque ce programme est exécuté par un processeur, et
- un support d'enregistrement lisible par un dispositif de protection d'un routeur contre des attaques sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.
Les modules logiciels peuvent être stockés dans, ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunication.
Dans un autre exemple de réalisation, les équipements 13 de validation d'adresses et 15 de filtrage partagent une table de données qui mémorise les adresses IP des dispositifs légitimes du sous-réseau 12.
Le système 40 de protection d'un routeur est décrit ici comme comprenant un équipement 13 de validation d'adresses IP et un équipement 15 de filtrage. L'invention n'est pas limitée à ce mode de réalisation. Ainsi, dans un autre exemple de réalisation (non représenté), le système de protection 40 comprend un équipement de validation d'adresses et de filtrage adapté pour valider les adresses IP des dispositifs du sous-réseau en mémorisant les associations entre les adresses IP des dispositifs et un paramètre de la liaison physique grâce à laquelle ils communiquent, et pour filtrer les paquets entrants en fonction du champ adresse IP destination du paquet entrant. Dans un autre exemple de réalisation (non représenté), le système de protection 40 est intégré dans un dispositif de routage, tel qu'un routeur. Dans un autre exemple de réalisation (non représenté), le système de protection 40 est intégré dans une passerelle d'accès permettant un accès à des équipements d'un réseau local à un réseau IP.

Claims

REVENDICATIONS
1. Procédé de protection d'un routeur (10) contre des attaques, le routeur acheminant des paquets IP pour au moins un sous-réseau (12) identifié par un préfixe réseau, ledit procédé comprenant :
- une étape (E3) d'obtention par l'intermédiaire d'un module de validation d'adresses IP (13) de l'adresse IP attribuée a au moins un dispositif (Ml, M2, etc.) du sous-reseau, ledit module étant apte à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape (PO) d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d'adresse IP valide,
- une étape (E8) de retransmission au routeur d'un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.
2. Procédé de protection d'un routeur selon la revendication 1, comprenant en outre une étape (E2) d'envoi par le module de validation d'adresses de l'adresse IP valide dudit dispositif au module de filtrage de paquets.
3. Procédé de protection selon l'une des revendications précédentes, comprenant une étape d'envoi par le module de filtrage du paquet IP entrant à un dispositif de sécurité, lorsque l'adresse IP destination du paquet IP entrant n'est pas une adresse valide.
4. Système de protection d'un routeur (10) contre des attaques, le routeur étant agencé pour acheminer des paquets IP pour au moins un sous-réseau (12) identifié par un préfixe réseau, le système comprenant :
- un module (13) de validation d'adresses IP associé au sous-réseau, comprenant des moyens d'obtention de l'adresse IP d'au moins un dispositif (Ml, M2, etc.) du sous-réseau, lesdits moyens d'obtention de l'adresse étant aptes à mémoriser une adresse IP en association avec un paramètre de liaison physique, lors d'une étape d'allocation de l'adresse IP audit dispositif dans le sous-réseau, ladite adresse IP étant qualifiée d' adresse IP valide,
- un module de filtrage (15), agencé pour retransmettre au routeur un paquet IP entrant dont l'adresse IP destination comprend le préfixe réseau, lorsque l'adresse IP destination du paquet entrant est une adresse valide.
5. Système selon la revendication 4, dans lequel le module de validation comprend des moyens d'envoi d'adresses, agencés pour envoyer l'adresse IP valide au module de filtrage.
6. Dispositif de routage de paquets IP dans un réseau comprenant un système de protection selon la revendication 4 ou la revendication 5.
7. Passerelle d'accès permettant un accès à des dispositifs d'un réseau local à un réseau IP comprenant un dispositif de routage selon la revendication 6.
8. Programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un ordinateur, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de protection d'un routeur contre des attaques selon l'une des revendications 1 à 3, lorsque le programme est exécuté sur ledit ordinateur.
9. Support de données dans lequel est enregistré le programme selon la revendication 8.
PCT/FR2015/051696 2014-06-26 2015-06-24 Procede de protection d'un routeur contre des attaques WO2015197978A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1455992 2014-06-26
FR1455992A FR3023099A1 (fr) 2014-06-26 2014-06-26 Procede de protection d'un routeur contre des attaques

Publications (1)

Publication Number Publication Date
WO2015197978A1 true WO2015197978A1 (fr) 2015-12-30

Family

ID=51610267

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2015/051696 WO2015197978A1 (fr) 2014-06-26 2015-06-24 Procede de protection d'un routeur contre des attaques

Country Status (2)

Country Link
FR (1) FR3023099A1 (fr)
WO (1) WO2015197978A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111200611A (zh) * 2020-01-06 2020-05-26 清华大学 基于边界接口等价类的域内源地址验证方法及装置
WO2024001987A1 (fr) * 2022-06-28 2024-01-04 华为技术有限公司 Procédé de génération de règle de validation, et appareil associé

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130291117A1 (en) * 2012-04-30 2013-10-31 Cisco Technology, Inc. Protecting address resolution protocol neighbor discovery cache against denial of service attacks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130291117A1 (en) * 2012-04-30 2013-10-31 Cisco Technology, Inc. Protecting address resolution protocol neighbor discovery cache against denial of service attacks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111200611A (zh) * 2020-01-06 2020-05-26 清华大学 基于边界接口等价类的域内源地址验证方法及装置
CN111200611B (zh) * 2020-01-06 2021-02-23 清华大学 基于边界接口等价类的域内源地址验证方法及装置
WO2024001987A1 (fr) * 2022-06-28 2024-01-04 华为技术有限公司 Procédé de génération de règle de validation, et appareil associé

Also Published As

Publication number Publication date
FR3023099A1 (fr) 2016-01-01

Similar Documents

Publication Publication Date Title
EP1494391B1 (fr) Procédé de configuration automatique d'un routeur d'accès, compatible avec le protocole DHCP, pour effectuer un traitement automatique spécifique des flux IP d'un terminal client
EP1965559B1 (fr) Procédé de sécurisation d'un flux de données
EP3787344B1 (fr) Procédé de configuration d'un système d'extension de couverture de communication sans-fil et un système d'extension de couverture de communication sans-fil mettant en oeuvre ledit procédé
EP2294798B1 (fr) Procede de routage d'un paquet de donnees dans un reseau et dispositif associe
WO2015197978A1 (fr) Procede de protection d'un routeur contre des attaques
WO2019211548A1 (fr) Procédé d'envoi d'une information et de réception d'une information pour la gestion de réputation d'une ressource ip
EP3087719B1 (fr) Procédé de ralentissement d'une communication dans un réseau
EP3815335A1 (fr) Procédés de vérification de la validité d'une ressource ip, serveur de contrôle d'accès, serveur de validation, noeud client, noeud relais et programme d'ordinateur correspondants
WO2021105626A1 (fr) Procede de coordination de la mitigation d'une attaque informatique, dispositif et systeme associes
WO2010072953A1 (fr) SYSTEME D'ACHEMINEMENT D'UN PAQUET DE DONNEES IPv4
WO2008001021A1 (fr) Procede et dispositif de gestion de configuration d'equipements d'un reseau
FR2980866A1 (fr) Procede de prevention d'usurpation d'adresse
WO2023242315A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d'ordinateur correspondants.
EP2439901A1 (fr) Procédé de traitement dans un module d'un dispositif d'accès adapté pour connecter un réseau distant à une pluralité de réseaux locaux, module et programme d'ordinateur associés
FR3110802A1 (fr) Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants.
WO2023117802A1 (fr) Procédés d'identification d'au moins un serveur de mitigation et de protection d'un domaine client contre une attaque informatique, dispositifs et signal correspondants
EP4256753A1 (fr) Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants
FR3143150A1 (fr) Procédé de gestion d’un ensemble d’adresses IP, procédé de collaboration et dispositifs configurés pour mettre en œuvre ces procédés.
FR3124669A1 (fr) Procede et dispositif de securisation d’un reseau local comprenant un commutateur reseau auquel est reliee une station par liaison filaire
WO2022084625A1 (fr) Procédés et dispositifs de protection de flux de paquets
EP4027582A1 (fr) Procede de signalisation d'une utilisation d'adresse ip illicite
WO2022136796A1 (fr) Procedes pour la redirection de trafic, terminal, controleur, serveur d'autorisation, serveurs de resolution de noms, et programme d'ordinateur correspondants
FR3117296A1 (fr) Procédé et dispositif de priorisation de flux de paquets
WO2008031967A2 (fr) Procédé de supervision d'une session d'accès a un service établie par un terminal client au moyen d'un protocole de configuration dynamique

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15756951

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15756951

Country of ref document: EP

Kind code of ref document: A1