FR2875981A1 - Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique - Google Patents
Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique Download PDFInfo
- Publication number
- FR2875981A1 FR2875981A1 FR0410353A FR0410353A FR2875981A1 FR 2875981 A1 FR2875981 A1 FR 2875981A1 FR 0410353 A FR0410353 A FR 0410353A FR 0410353 A FR0410353 A FR 0410353A FR 2875981 A1 FR2875981 A1 FR 2875981A1
- Authority
- FR
- France
- Prior art keywords
- address
- network
- data
- fingerprint
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
L'invention renforce l'accès à un réseau les attaques d'usurpation d'adresse de réseau d'un client légitime. A cet effet, l'invention prévoit un dispositif de filtrage sur l'adresse de réseau d'un client 101, tout en rajoutant une vérification supplémentaire. La vérification supplémentaire consiste à vérifier le système d'exploitation 102, 104 et 105 correspondant à l'adresse de réseau du client. Le dispositif de filtrage effectuant le filtrage des paquets de données, d'une part sur les adresses de réseau mais également sur le système d'exploitation, peut repérer une différence de système d'exploitation correspondant à deux dispositifs clients théoriquement identiques, ce qui permet d'identifier qu'une adresse est usurpée.
Description
PROCEDE ET DISPOSITIF DE FILTRAGE POUR DETECTER UNE USURPATION D'ADRESSE
DANS UN RESEAU INFORMATIQUE
L'invention se rapporte à un réseau informatique et plus particulièrement à l'accès à un réseau informatique lorsque celui-ci dispose d'une connexion filaire ou sans fil qui est accessible à un public non trié. Plus particulièrement l'invention se préoccupe de détecter des usurpations d'adresses de réseau pour accéder au réseau.
Pour accéder à un réseau informatique, il est connu d'identifier les personnes ou les dispositifs désirant se connecter au réseau pour utiliser certaines ressources. Une authentification de client permet de déterminer si le client est autorisé à se connecter et permet de lui attribuer les privilèges qui lui sont associés pour se déplacer dans le réseau et accéder aux données qui lui sont autorisées. Une fois qu'un client a été authentifié, l'utilisation de son adresse IP (de l'anglais Internet Protocol), éventuellement accompagnée d'une adresse MAC (de l'anglais Medium Access Control), permettent d'identifier le client et de lui faire bénéficier des privilèges qui lui sont attribués.
Une technique d'intrusion dans un réseau sécurisé consiste à usurper l'adresse IP et éventuellement l'adresse MAC d'un client authentifié. Ce type d'usurpation d'identité est plus facile à réaliser avec les réseaux sans fil disposés dans les endroits publics. En effet, il est alors possible d'intercepter par radio l'adresse MAC et également l'adresse IP d'un client connecté à un réseau et d'utiliser son adresse IP et son adresse MAC pour se connecter en même temps que lui au même réseau et bénéficier des mêmes privilèges que le client légitime. Afin d'éviter que des clients illégitimes ne profitent indûment du réseau, il est nécessaire d'en contrôler l'accès. Tout d'abord, il faut s'assurer que seuls des clients autorisés par le gestionnaire du réseau peuvent l'utiliser. Cette première étape est réalisée lors de l'authentification du client qui tente de se connecter sur le réseau. Ensuite, il convient de maintenir une relation d'authentification avec le client, c'est à dire de s'assurer que le client autorisé qui utilise le réseau est bien le même que celui qui s'est authentifié afin d'éviter qu'un client non autorisé usurpe l'identité d'un client autorisé. Pour maintenir le contrôle sur un client autorisé et connecté, plusieurs techniques 2875981 -2- permettent de contrôler l'accès. Une première technique est une technique physique. Les prises de connexion au réseau ne peuvent être accessibles qu'à des personnes pouvant rentrer dans un local fermé. Ainsi, seules les personnes autorisées pourront se connecter à partir d'une machine dont l'adresse IP sera reconnue comme étant une adresse sécurisée. Pour des réseaux complètement ouverts, notamment, à travers Internet, il existe des techniques basées sur la cryptographie pour échanger des données entre un utilisateur et un serveur. Cet échange de données est conditionné par la possession d'un secret permettant de mettre en oeuvre les techniques cryptographiques.
Actuellement, on voit apparaître des points d'accès accessibles à tout public, par exemple dans les gares ou aéroports mais également dans les entreprises, où des liaisons sans fil sont disponibles afin d'éviter les branchements et débranchements d'ordinateurs par des personnes amenées à se déplacer fréquemment. Egalemeni: en entreprise, il est possible qu'un client souhaite se connecter à travers le réseau de l'entreprise visitée à sa propre entreprise en passant par Internet. Dans ce cadre de liaison sans fil, toutes les communications sont facilement interceptables sans que l'on puisse contrôler nécessairement la liaison physique au réseau. Par ailleurs, l'utilisation de la cryptographie n'est pas bien appliquée à ce type de liaison car les moyens de cryptographie du réseau qui reçoit la connexion et de l'utilisateur qui désire s'y connecter doivent être adaptés l'un avec l'autre, ce qui peut poser des problèmes avec les réseaux où l'utilisateur se connecte. De plus, l'utilisation de la cryptographie rajoute du temps de traitement et de la redondance d'informations qui réduit la vitesse de communication.
Un mécanisme de portail captif a été développé pour apporter une solution se substituant aux solutions de sécurisation précédemment énoncées. Le principe du portail captif met en oeuvre un dispositif de filtrage, également appelé pare-feu (firewall) pour filtrer les adresses IP et également les adresses MAC lorsque celles-ci sont utilisées. Lors d'une connexion, si l'adresse IP et éventuellement l'adresse MAC ne sont pas enregistrées dans le dispositif de filtrage, tout message électronique ou paquet de données en provenance de ces adresses ne peut passer le filtre. Lors de la première présentation d'une 2875981 -3- adresse IP non autorisée, le client est invité à ouvrir son navigateur Internet et est automatiquement redirigé vers un portail d'authentification d'un gestionnaire du réseau, d'où le nom de portail captif. Ce portail permet au client de s'authentifier de manière sécurisée, par exemple en utilisant le protocole SSL (de l'anglais Secure Sockets Layer). Toutes les autres requêtes du client non authentifiées seront bloquées par le dispositif de filtrage tant que l'authentification n'aura pas réussie. En cas d'authentification réussie et dans le cas où le client authentifié est autorisé à accéder au réseau, une mise à jour des règles de filtrage du dispositif de filtrage est effectuée pour laisser passer les paquets de données en provenance de l'adresse IP accompagnée éventuellement de l'adresse MAC correspondant au client identifié. Comme le contrôle d'accès par adresse MAC et adresse IP est relativement faible dans le cas d'un réseau ouvert, le portail captif peut utiliser un contrôle d'accès supplémentaire par jetons échangés au niveau applicatif. Le portail captif garde en effet un canal de communication sécurisé ouvert avec le client, toujours à l'aide du protocole SSL. Périodiquement, le client doit présenter un jeton d'authentification grâce à ce canal. Le défaut de présentation de ce jeton entraîne la modification du dispositif de filtrage et le remet dans un état bloquant pour l'adresse IP. Ainsi un client non autorisé et usurpant l'adresse IP et éventuellement l'adresse MAC d'un client autorisé ne pourra pas présenter ce jeton et verra sa connexion terminée. Le jeton peut également être présenté sur requête si l'utilisateur tente d'accéder à des ressources sensibles.
Le portail captif est particulièrement bien adapté pour être utilisé dans le cadre de réseaux sans fil, par exemple utilisant la technologie IEEE802.11 mais également dans le cas d'un réseau filaire dont une partie du réseau serait mise à disposition du visiteur par une entreprise. Ceci est d'autant plus vrai qu'actuellement les réseaux de type sans fil utilisant le standard IEEE802.11 n'ont pas de mécanisme de sécurité prévu contre l'intrusion. De même, un réseau de type Ethernet (IEEE802.3) misant sur l'impossibilité physique de s'y connecter, ne dispose pas lui non plus de moyens de sécurisation en cas de mise à disposition d'une prise de connexion.
Comme il a été indiqué précédemment, le filtrage par adresse IP et éventuellement par adresse MAC est une protection faible. En effet, ces 2875981 -4- protections sont très faciles à contourner car il suffit d'usurper l'adresse IP et l'adresse MAC d'un client autorisé lorsque ledit client est connecté. L'utilisation du jeton d'authentification est relativement efficace mais présente quelques limitations. En effet, pour que le jeton puisse être échangé, il faut impérativement que le dispositif client et le serveur d'authentification du réseau soient capables de dialoguer en permanence pour pouvoir échanger le jeton. Or, une application fortement utilisée par des clients sur des accès de type sans.fil, par exemple dans les aéroports, consiste à monter un tunnel entre leur ordinateur et leur entreprise. Le tunnel est une sorte de réseau privé virtuel utilisé pour des raisons de sécurité afin d'être sûr que, sur un réseau ouvert, par exemple de type Internet, il ne soit pas possible qu'un intrus puisse intervenir. Justement pour des raisons de sécurité, la plupart des applications de réseaux privés virtuels interdisent toute communication à destination ou en provenance du client autre que celle qui passe à l'intérieur du tunnel ainsi créé.
Ce réseau virtuel fonctionne en mode bloquant. Il n'est pas possible dans ce cas de maintenir un échange de jetons d'authentification entre le dispositif client et un serveur d'authentification propre au point de connexion du dispositif client. Par ailleurs, l'utilisation du jeton ne résout que partiellement le problème d'usurpation d'identité car il est toujours possible à un attaquant d'établir une connexion au travers du portail captif en utilisant l'adresse IP et éventuellement MAC d'un client légitime pendant une fenêtre de temps correspondant à la dernière présentation du jeton par le dispositif client légitime. Le dispositif client légitime peut en outre renvoyer des jetons autant de fois qu'il est possible à la place du dispositif illégitime, maintenant ainsi le passage au travers du dispositif de filtrage.
Le but de l'invention est de renforcer l'accès à un réseau dans le cas d'attaques qui tentent d'usurper l'adresse de réseau d'un client légitime. A cet effet, l'invention prévoit un dispositif de filtrage sur l'adresse de réseau d'un client, cette adresse de réseau incluant l'adresse IP et éventuellement l'adresse MAC tout en rajoutant une vérification supplémentaire. La vérification supplémentaire consiste à vérifier la nature du système d'exploitation correspondant à l'adresse du client, à partir des en-têtes des paquets de données de couche 3 et 4 de la pile TCP/IP (Transmission Control 2875981 -5- Protocol/lnternet Protocol). Cette technique est appelée prise d'empreinte du système d'exploitation. Si l'on considère que la plupart des ordinateurs disposent d'un système d'exploitation relativement standard et peu facile d'utilisation pour effectuer du piratage de réseau par usurpation d'adresse, il est légitime de penser qu'un dispositif tentant d'usurper l'identité d'un dispositif légitime disposera dans la majeure partie des cas d'un système d'exploitation différent. Le dispositif de filtrage effectuant le filtrage des paquets de données, d'une part sur les adresses de réseau mais également sur le système d'exploitation, peut repérer une différence de système d'exploitation correspondant à deux dispositifs clients théoriquement identiques, ce qui permet d'identifier qu'une adresse esi: usurpée.
L'invention est un procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données apte à laisser passer ou non des données à destination d'un réseau en fonction de critères d,e filtrage. A réception de données émises par un dispositif, le filtre effectue des étapes de détermination d'une empreinte d'identification du dispositif émetteur des données, à l'aide d'informations contenues dans les données reçues, ladite empreinte étant composée d'au moins une adresse de réseau dudit dispositif et d'un identifiant du système d'exploitation fonctionnant sur le dispositif; de comparaison de l'empreinte du dispositif avec des empreintes valides d'identification de dispositifs; de détection de l'usurpation d'une adresse si l'empreinte du dispositif comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation différent de celui de l'empreinte valide.
Selon un autre aspect, l'invention est un dispositif de filtrage d'accès à un réseau comportant un moyen de filtrage apte à laisser passer ou non les données vers le réseau en fonction de critères de filtrage, un premier moyen d'identification apte à identifier l'adresse de réseau d'un dispositif émetteur des données, un deuxième moyen d'identification apte à identifier un système d'exploitation du dispositif émetteur des données et à former une empreinte d'identification du dispositif émetteur, ladite empreinte étant constituée de l'adresse de réseau du dispositif émetteur et d'un identifiant du système d'exploitation, un moyen de comparaison apte à comparer l'empreinte d'identification du dispositif émetteur avec des empreintes valides 2875981 -6- d'identification de dispositifs, un moyen de détection apte à détecter une usurpation d'adresse si l'empreinte du dispositif émetteur comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation différent de celui de l'empreinte valide.
Selon encore un autre aspect, l'invention est un programme d'ordinateur enregistré sur un support lisible par ordinateur, ledit programme comportant des portions de code de logiciel pour l'exécution des étapes du procédé lorsque ledit programme est exécuté par un ordinateur. Le support de données peut être un support matériel de stockage, par exemple un CDROM, 7o une disquette magnétique, un disque dur, un circuit de mémoire, ou bien un support transmissible tel qu'un signal électrique, optique ou radio.
L'invention sera mieux comprise et d'autres particularités et avantages apparaîtront à la lecture de la description qui va suivre, la description faisant référence aux dessins annexés parmi lesquels: - la figure 1 représente un réseau disposant d'un accès accessible au public selon l'invention, - la figure 2 représente un organigramme réalisé par le dispositif de filtrage sur les paquets de données le traversant.
La figure 1 représente un réseau d'entreprise mettant en oeuvre l'invention. Le réseau d'entreprise est constitué d'un réseau de type Intranet 1 qui dispose d'un certain nombre de ressources dont la plupart ne sont pas représentées, toutes ces ressources étant reliées à un medium de communication. Ce réseau Intranet dispose en outre d'une partie de réseau 2 accessible au public par l'intermédiaire d'un point d'accès 3 ou de prises de connexion 4 qui permettent à des terminaux 5 et 6 de se connecter au réseau Intranet 1. Un dispositif de filtrage 7 s'interpose entre un medium d'accès de la partie de réseau 2 et le medium de communication du réseau Intranet 1. Le réseau Intranet 1 est par ailleurs relié au réseau Internet 8 par l'intermédiaire d'un deuxième dispositif de filtrage 9. Afin de gérer la connexion des terminaux 5 et 6 sur la partie de réseau 2 pour la connexion à Intranet 1, un dispositif de détection 10 et un serveur d'authentification 11 sont également reliés au réseau Intranet 1.
2875981 -7- Le réseau Intranet 1 est par exemple un réseau fonctionnant selon une norme de réseau local de type filaire, par exemple la norme IEEE802.3. Un tel type cle réseau dispose d'au moins un serveur pour gérer les différents accès au réseau, et d'une pluralité de dispositifs utilisateurs et de ressources qui communiquent entre eux par l'intermédiaire dudit réseau. Le serveur d'authentification 11 sert notamment à gérer les accès au réseau Intranet et sert d''une part à valider la connexion d'utilisateurs à l'intérieur du réseau mais également à valider la connexion d'utilisateurs se connectant à l'aide de terminaux 5 et 6 par l'intermédiaire de la partie de réseau 2. La partie de réseau 2 est une partie publique ou semi publique qui permet à des utilisateurs de passage sur un site soit de se connecter au moyen d'un câble sur la prise 4, soit au moyen d'une liaison sans fil par l'intermédiaire du point d'accès 3. Le point d'accès 3 est par exemple un point d'accès sans fil conforme à la norme IEEE802.11.
Lesdits premier et deuxième dispositifs de filtrage 7 et 9 servent à filtrer les échanges de messages et plus généralement de tout paquet de données entre le réseau Intranet et, d'une part, la partie de réseau 2 et, d'autre part, le réseau Internet 8. Ces dispositifs de filtrage 7 et 9 sont également connus sous l'appellation pare-feu (en anglais firewall).
Selon l'invention, un dispositif de détection 10 est connecté au réseau Intranet 1 pour contrôler le premier dispositif de filtrage 7. Le dispositif de détection 10 est, sur la figure 1, présenté comme un dispositif indépendant, cependant celui-ci peut être intégré dans un serveur qui peut être le même serveur que le serveur d'authentification 11. Eventuellement, ce serveur peut également comprendre le filtre 7 el: constituera un serveur d'accès à part entière disposant d'une première connexion pour se relier sur le réseau Intranet 1 et d'une deuxième connexion pour se relier à la partie de réseau 2. Dans le cadre de l'invention, on s'intéressera plus particulièrement aux communications entre le filtre 7, le dispositif de détection 10 et le serveur d'authentification 11. Dans la réalité le serveur d'authentification 11 peut également communiquer avec bien d'autres éléments du réseau Intranet 1, et le dispositif de détection 10 peut également être mis en commun avec le filtre 9. Cependant, pour simplifier la description, il ne sera décrit que la partie 2875981 -8- concernant le filtre 7 dédié à l'interconnexion entre la partie de réseau 2 et le réseau Intranet 1, l'interaction avec le filtre 9 étant similaire. Les communications entre le dispositif de filtrage 7, le dispositif de détection 10 et le serveur d'authentification 11 passent par le réseau Intranet 1. Cependant, nous avons représenté avec des flèches bidirectionnelles les différentes liaisons réalisées.
II va être maintenant expliqué comment un terminal 5 ou 6 se connecte au réseau Intranet 1 et comment celui-ci va être supervisé durant toute la durée de sa connexion au réseau Intranet 1 à l'aide de la figure 2. Cet organigramme est mis en oeuvre conjointement par le filtre 7, le dispositif de détection 10 et le serveur d'authentification 11.
L'organigramme de la figure;2 commence par une étape 100 de début qui consiste en l'envoi d'un paquet de données électronique par un terminal à destination d'une ressource du réseau Intranet 1 à partir de la partie de réseau 2. A titre d'exemple, on considère que le terminal 5 souhaite se connecter de manière légitime par l'intermédiaire du point d'accès 3 à la partie de réseau 2 pour accéder à des ressources du réseau Intranet 1.
On considère dans un premier temps que le paquet de données est un message légitime émis par le terminal 5 avant que celui-ci ne soit authentifié.
Préalablement à l'envoi de ce premier paquet de données, le terminal 5 a établi une communication radio avec le point d'accès 3. Cette connexion radio n'est pas détaillée car elle se déroule par exemple selon la norme IEEE802.11. Le terminal 5 se connectant par l'intermédiaire du point d'accès 3, celui-ci dispose d'une adresse IP, généralement attribuée par un serveur DHCP (Dynamic Host Configuration Protocol), ainsi qu'une adresse MAC qui est son adresse dans le réseau sans fil. Le paquet de données partant du terminal 5 traverse donc le point d'accès 3 pour être transposé sur la partie de réseau 2 sous forme électronique et est adressé à une ressource située au niveau du réseau Intranet 1. Le paquet de données envoyé traverse alors le dispositif de filtrage 7 qui vérifie si le paquet de données provient d'un utilisateur ou d'un terminal utilisateur autorisé. Ceci est fait au cours d'une étape de test 101.
L'étape 101 consiste pour le dispositif de filtrage 7 à vérifier l'adresse 2875981 -9- d'envoi du paquet de données. Dans le paquet de données reçu, le paquet de données contient l'adresse de réseau de l'expéditeur. Dans ce cas présent, l'adresse de réseau est constituée de l'adresse IP et de l'adresse MAC. Le dispositif de filtrage 7 ayant récupéré cette adresse de réseau, il vérifie parmi ses règles ou critères de filtrage si cette adresse est une adresse autorisée. Si l'adresse est autorisée, c'est que le dispositif a été préalablement authentifié. Si l'adresse ne fait pas partie des règles de filtrage qui autorisent l'accès au réseau, c'est que le dispositif n'a pas été authentifié comme dispositif autorisé à accéder au réseau Intranet 1.
Si l'adresse de réseau ne correspond pas à un dispositif déjà authentifié, alors commence une étape d'authentification 102. Au cours de cette étape d'authentification 102, le dispositif de filtrage 7 redirige le terminal 5 vers le serveur d'authentification 11,. Un dialogue est ensuite établi entre le terminal 5 et le serveur d'authentification 11 à travers le filtre 7. Seule cette connexion est autorisée par le filtre 7 pour le terminal répondant à l'adresse du terminal 5. L'authentification se fait généralement par la présentation d'un couple identifiant d'utilisateur et mot de passe à l'aide d'un formulaire de type protégé par exemple à l'aide du protocole SSL. Cette authentification est une authentification bien connue dans le domaine d'Internet et ne nécessite pas de plus amples explications. Le serveur d'authentification 11 ayant reçu l'identifiant de l'utilisateur et son mot de passe de manière cryptée, il vérifie si cette authentification est réussie au cours d'une étape de test 103. Si l'authentification a réussi, alors le serveur d'authentification 11 change les règles du dispositif de filtrage 7, au cours d'une étape 104, et lui indique que le terminal répondant à l'adresse de réseau du terminal 5 est autorisé à se connecter à différentes ressources présentes dans le réseau Intranet 1. Evidemment, ces ressources peuvent être limitées à une petite partie seulernent des ressources du réseau Intranet 1 en fonction des droits d'accès découlant de celles attribuées à l'utilisateur. Une fois que le changement des règles de filtrage est terminé, l'algorithme de la figure 2 est terminé dans l'attente d'un nouveau paquet de données.
Si par contre l'authentification n'a pas réussi, les règles de filtrage restent inchangées et le terminal répondant à l'adresse du terminal 5 n'est pas 2875981 -10- autorisé à accéder à des ressources du réseau Intranet 1. L'algorithme se termine et le filtre 7 attend un nouveau paquet de données.
Après avoir été authentifié, si le terminal 5 renvoie à nouveau un paquet de données pour accéder à l'une des ressources du réseau Intranet 1, alors ce paquet de données fait redémarrer l'organigramme de la figure 2 à l'étape de début 100. Lorsque le dispositif de filtrage 7 effectue le test de l'étape 101, il s'aperçoit que l'adresse correspondant au terminal 5 est une adresse authentifiée qui a le droit d'accéder à certaines ressources du réseau Intranet 1. Par contre, celui-ci va passer la main au dispositif de détection 10 pour que celui-ci établisse si le terminal 5 est toujours un terminal autorisé. Ceci se fait lors d'une étape de test 102, où le dispositif de filtrage 7 vérifie si le paquet de données envoyé par le terminal 5 comporte des éléments permettant d'identifier le système d'exploitation (OS) du terminal. L'OS d'un terminal peut-être déterminé à partir des paquets TCP qui contiennent des éléments d'information permettant d'identifier l'OS, tel que les paquets disposant d'un drapeau SYN, ACK, SYN/ACK ou RST à 1. Par ailleurs, il existe également des informations permettant d'identifier l'OS qui sont contenues dans l'en-tête des trames IP.
Si l'OS n'est pas identifié dans le paquet de données qui vient d'être transrnis, alors le paquet de données est autorisé à passer à travers le dispositif de filtrage 7 au cours d'une étape 103, si ce paquet de données est adressé à une ressource pour laquelle l'accès est autorisé.
Si le paquet de données qui traverse le filtre 7, comporte des éléments permettant d'identifier l'OS, alors on effectue une étape 104. L'étape 104 consiste à identifier puis à mémoriser un identifiant de l'OS qui s'applique à l'adresse de réseau du terminal utilisateur. On réalise ainsi une prise d'empreinte du système d'exploitation. L'association de l'adresse réseau du terminal 5 et de l'identifiant du système d'exploitation du terminal 5 forme en définitive une empreinte d'identification du terminal 5. Par ailleurs, au cours de cette étape, on va rechercher s'il existe déjà une prise d'empreinte valide correspondant au terminal 5, c'est-à-dire si un identifiant d'OS a déjà été enregistré préalablement pour cette rnême adresse de terminal 5. L'adresse de 2875981 -11 - réseau est composée bien entendu de l'adresse IP et, dans le cas du dispositif du terminal 5, de l'adresse MAC.
La correspondance d'identifiant de l'OS est vérifiée au cours d'une étape de test 105. Si au cours de l'étape de test 105, les identifiants d'OS sont différents pour deux paquets de données provenant d'une même adresse de réseau, alors on effectue une étape 106. L'étape de test 105 consiste en définitive à comparer l'empreinte d'identification du terminal 5 avec des empreintes valides d'identification de dispositifs.
L'étape 106, correspond à la réaction du filtre 7 suite à la détection d'une usurpation d'adresse de réseau. Différentes opérations peuvent être réalisées simultanément ou de manière optionnelle, suivant le niveau de sécurité requis. Le paquet de données peut simplement être bloqué au niveau du filtre 7. Au cours de cette étape 106, on peut également émettre une alarme soit au niveau du réseau, soit au niveau du terminal d'un opérateur supervisant le réseau pour indiquer qu'une attaque par usurpation d'adresse vient d'être détectée. Le filtre 7 peut être modifié pour interdire tous les paquets de données provenant de l'adresse de réseau pour laquelle deux OS différents ont été trouvés. Cela signifie que si le dispositif légitime désire à nouveau communiquer avec le réseau Intranet 1, celui-ci doit nécessairement repasser par une étape d'authentification. L'organigramme de la figure 2 est terminé, et le filtre 7 attend un nouveau paquet de données.
Si par contre pour une même adresse de réseau, l'OS correspondant au paquet de données que l'on tente de transmettre est le même qu'un paquet de données précédent, alors on effectue l'étape 103.
Les avantages d'un tel système par rapport à l'état de la technique sont multiples. Tout d'abord, l'homme du métier remarquera que cette méthode de contrôle d'accès est utilisable sans aucun impact sur le client lui- même car celle-ci est tout à fait transparente pour lui.
Un autre avantage est que cette technique est totalement passive car il n'y a pas de canal de communication à maintenir entre le terminal client et un portail captif pour vérifier en permanence qu'il s'agit bien du terminal client authentifié.
2875981 -12- Un autre avantage de l'invention est qu'il n'y a pas d'impact sur le réseau. En effet, les paquets reçus par le dispositif de filtrage 7 ne traversent le filtre que si ces paquets là répondent au critère de validité du filtre 7 et au critère de détection. La vérification des paquets peut s'établir sans qu'ils transitent sur le réseau. Dans le cas où le dispositif de détection 10 est inclut dans un même serveur que le filtre 7 tout se passe à l'intérieur d'un même serveur. Si par contre le dispositif de détection 10 est relié au filtre 7 par le réseau Intranet 1, le dispositif de filtrage 7 peut effectuer la vérification en communiquant au dispositif de détection 10 uniquement les éléments permettant d'identifier l'OS et l'adresse de réseau. En outre, la seule modification à apporter par rapport à l'architecture d'un réseau de type Intranet intervient uniquement au niveau du dispositif de filtrage 7 pour que celui-ci prenne en compte la détection d'OS en coopération avec le dispositif de détection 10. La mise en oeuvre du procédé se fait parl'ajout d'un programme d'ordinateur dans le dispositif informatique assurant la fonction de dispositif de filtrage. Le programme d'ordinateur disposant d'instruction logicielle permettant d'exécuter le procédé.
Autre avantage, cette méthode de contrôle d'accès est relativement complexe à tromper car l'attaquant doit repérer la nature de l'OS du client légitime puis émuler cet OS sans droit à l'erreur car la détection d'une attaque à savoir un changement d'OS ne requiert qu'un seul paquet de données émis par l'attaquant. L'homme du métier pourrait penser que de très nombreux ordinateurs disposent d'un OS semblable, et que de ce fait une telle détection ne permet pas d'avoir une fiabilité suffisamment importante pour s'affranchir d'un terminal illégitime. Il est vrai qu'une grande partie des ordinateurs désirant se connecter à un réseau disposent d'un OS très semblable voir identique, mais ces OS là sont des OS qui ne permettent pas des attaques complexes avec usurpation d'adresses IP et/ou MAC. En effet, pour réaliser ce type d'attaque, il faut disposer d'un OS permettant à l'utilisateur du terminal illégitime de substituer les adresses d'une connexion. Ces OS étant moins répandus, une détection d'OS devient relativement fiable.
De nombreuses variantes de l'invention sont possibles. Tout d'abord, dans la description qui précède, l'adresse de réseau est constituée d'une 2875981 -13- adresse IP et d'une adresse MAC car le dispositif client se connecte par l'intermédiaire d'un réseau sans fil. Dans certains cas, l'adresse de réseau peut ne comporter que l'adresse IP.
Egalement, l'invention apporte un critère de filtrage utilisant l'adresse 5 de réseau et l'OS du dispositif client. Cette détection d'intrusion peut s'ajouter à d'autres critères de filtrages ou à d'autres techniques de protection.
Claims (8)
1. Procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données (7) apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, caractérisé en ce que, à réception de données émises par un dispositif, le filtre effectue les étapes suivantes: - détermination d'une empreinte d'identification du dispositif émetteur des données, à l'aide d'informations contenues dans les données reçues, ladite empreinte étant composée d'au moins une adresse de réseau dudit dispositif et d'un identifiant du système d'exploitation fonctionnant sur le dispositif, - comparaison de l'empreinte du dispositif avec des empreintes valides d'identification de dispositifs, - si l'empreinte du dispositif comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation 15 différent de celui de l'empreinte valide, détection de l'usurpation d'une adresse.
2. Procédé selon la revendication 1, dans lequel suite à la détection de l'usurpation d'adresse, un critère cle filtrage est modifié pour interdire le passage de toutes les données provenant de l'adresse de réseau.
3. Procédé selon l'une des revendications précédentes, dans lequel, suite à une détection d'adresse, une étape parmi les étapes suivantes est exécutée: - blocage des données reçues dans le filtre de données, émission d'une alarme, - modification des critères de filtrage pour interdire le passage de 25 données provenant de l'adresse usurpée.
7. Procédé selon l'une des revendications 1 à 3, dans lequel l'adresse de réseau comporte une adresse IP et/ou MAC.
8. Procédé selon l'une des revendications 1 à 4, dans lequel les données sont envoyées selon le protocole TCP et/ou IP.
2875981 -15- 6. Dispositif de filtrage d'accès à un réseau comportant: un moyen de filtrage apte à laisser passer ou non les données vers le réseau en fonction de critères de filtrage, - un premier moyen d'identification apte à identifier l'adresse de réseau d'un dispositif émetteur des données, caractérisé en ce qu'il comporte en outre: - un deuxième moyen d'identification apte à identifier un système d'explloitation du dispositif émetteur des données et à former une empreinte d'identification du dispositif émetteur, ladite empreinte étant constituée de l'adresse de réseau du dispositif émetteur et d'un identifiant du système d'explloitation, - un moyen de comparaison apte à comparer l'empreinte d'identification du dispositif émetteur avec des empreintes valides d'identification de dispositifs, - un moyen de détection apte à détecter une usurpation d'adresse si l'empreinte du dispositif émetteur comporte une adresse correspondant à une empreinte valide mais avec un identifiant de système d'exploitation différent de celui de l'empreinte valide.
7. Dispositif selon la revendication 6, qui comporte un moyen parmi les moyens suivant: - un moyen de mise à jour apte à modifier un critère de filtrage pour interdire le passage des données correspondant à l'adresse de réseau ayant des identifiants de système d'exploitation différents, un moyen d'alarme apte à émettre une alarme lorsqu'une usurpation d'adresse est détectée.
8. Système informatique comportant une pluralité de ressources, incluant au moins un ordinateur, reliées à un même médium de communication caractérisé en ce qu'il comporte un dispositif selon l'une des revendications 6 ou 7 reliant le médium de communication à un médium d'accès.
9. Système informatique selon la revendication 8, dans lequel au moins un point d'accès radio est relié au médium d'accès.
2875981 -16- 10. Programme d'ordinateur enregistré sur un support lisible par ordinateur, ledit programme comportant des portions de code de logiciel pour l'exécution des étapes du procédé selon l'une des revendications 1 à 5 lorsque ledit programme est exécuté par un ordinateur.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0410353A FR2875981A1 (fr) | 2004-09-30 | 2004-09-30 | Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique |
| PCT/FR2005/002315 WO2006035137A1 (fr) | 2004-09-30 | 2005-09-19 | Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0410353A FR2875981A1 (fr) | 2004-09-30 | 2004-09-30 | Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR2875981A1 true FR2875981A1 (fr) | 2006-03-31 |
Family
ID=34952472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0410353A Pending FR2875981A1 (fr) | 2004-09-30 | 2004-09-30 | Procede et dispositif de filtrage pour detecter une usurpation d'adresse dans un reseau informatique |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR2875981A1 (fr) |
| WO (1) | WO2006035137A1 (fr) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738032A (zh) * | 2020-12-17 | 2021-04-30 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030110274A1 (en) * | 2001-08-30 | 2003-06-12 | Riverhead Networks Inc. | Protecting against distributed denial of service attacks |
| WO2003073724A2 (fr) * | 2002-02-20 | 2003-09-04 | Deep Nines, Inc. | Systeme et procede pour la detection et pour l'elimination de mystification ip dans un reseau de transmission de donnees |
| US20040187032A1 (en) * | 2001-08-07 | 2004-09-23 | Christoph Gels | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators |
-
2004
- 2004-09-30 FR FR0410353A patent/FR2875981A1/fr active Pending
-
2005
- 2005-09-19 WO PCT/FR2005/002315 patent/WO2006035137A1/fr active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040187032A1 (en) * | 2001-08-07 | 2004-09-23 | Christoph Gels | Method, data carrier, computer system and computer progamme for the identification and defence of attacks in server of network service providers and operators |
| US20030110274A1 (en) * | 2001-08-30 | 2003-06-12 | Riverhead Networks Inc. | Protecting against distributed denial of service attacks |
| WO2003073724A2 (fr) * | 2002-02-20 | 2003-09-04 | Deep Nines, Inc. | Systeme et procede pour la detection et pour l'elimination de mystification ip dans un reseau de transmission de donnees |
Non-Patent Citations (2)
| Title |
|---|
| HUSSAIN A ET AL: "Distinguishing between single and multi-source attacks using signal processing", COMPUTER NETWORKS, ELSEVIER SCIENCE PUBLISHERS B.V., AMSTERDAM, NL, vol. 46, no. 4, 17 June 2004 (2004-06-17), pages 479 - 503, XP004590080, ISSN: 1389-1286 * |
| NMAP REMOTE OS DETECTION, 11 June 2002 (2002-06-11), XP002324660, Retrieved from the Internet <URL:http://www.insecure.org/nmap/nmap-fingerprinting-article.html> [retrieved on 20050414] * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112738032A (zh) * | 2020-12-17 | 2021-04-30 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
| CN112738032B (zh) * | 2020-12-17 | 2022-10-11 | 公安部第三研究所 | 一种用于防ip欺骗的通讯*** |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006035137A1 (fr) | 2006-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1605660B1 (fr) | Contrôle d'accès à un réseau d'un terminal source utilisant un tunnel en mode bloquant | |
| EP1022922B1 (fr) | Procédé d'authentification, avec établissement d'un canal sécurise, entre un abonné et un fournisseur de services accessible via un opérateur de télécommunications | |
| FR2844941A1 (fr) | Demande d'acces securise aux ressources d'un reseau intranet | |
| EP1549011A1 (fr) | Procédé et système de communication entre un terminal et au moins un équipment communicant | |
| FR2877521A1 (fr) | Dispositif, procede, programme et support de distribution d'informations, d'initialisation, dispositif, procede, programme et support de transfert d'initialisation d'authentification et programme de reception ... | |
| FR3041493A1 (fr) | Equipement pour offrir des services de resolution de noms de domaine | |
| WO2017081208A1 (fr) | Procede de securisation et d'authentification d'une telecommunication | |
| FR2973909A1 (fr) | Procede d'acces a une ressource protegee d'un dispositif personnel securise | |
| WO2003107587A1 (fr) | Procede et dispositif d’interface pour echanger de maniere protegee des donnees de contenu en ligne | |
| FR2867930A1 (fr) | Procede d'authentification anonyme | |
| EP2608590A1 (fr) | Auto-configuration d'un équipement pour la connexion à un réseau sans fil sécurisé | |
| WO2006082296A2 (fr) | Procede et dispositif de detection d'usurpations d'adresse dans un reseau informatique | |
| WO2006035137A1 (fr) | Procede et dispositif de filtrage pour detecter une usurpation d’adresse dans un reseau informatique | |
| EP3087719B1 (fr) | Procédé de ralentissement d'une communication dans un réseau | |
| WO2005079038A1 (fr) | Procede, terminal mobile, systeme et equipement pour la fourniture d’un service de proximite accessible par l’intermediaire d’un terminal mobile | |
| FR2895816A1 (fr) | Systeme, dispositif portable et procede pour la configuration d'un dispositif communicant dans un reseau | |
| WO2018109304A1 (fr) | Gestion d'un réseau de communication local par classification d'objets communicants en catégories de confiance, en fonction d'un score de malveillance | |
| FR3060163B1 (fr) | Gestion d'un reseau de communication local par classification d'objets communicants en categories de confiance. | |
| FR3116978A1 (fr) | Contrôle d’accès à un réseau de communication local, et passerelle d’accès mettant en œuvre un tel contrôle | |
| FR2955727A1 (fr) | Procede securise d'acces a un reseau et reseau ainsi protege | |
| FR3110802A1 (fr) | Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants. | |
| WO2024121017A1 (fr) | Procédés de détection d'un serveur de résolution de noms de domaine malveillant, équipement, serveur de confiance et programme d'ordinateur correspondants | |
| WO2019122390A1 (fr) | Procédé de sécurisation d'un protocole usb par authentification d'un périphérique usb par un appareil et par chiffrement des échanges entre le périphérique et l'appareil et dispositifs associés | |
| FR2934101A1 (fr) | Procede, systeme, serveur et terminal d'authentification hybride | |
| FR2848754A1 (fr) | Procede d'authentification dans un reseau sans fil et architecture pour la mise en oeuvre du procede |