WO2006082296A2 - Method and device for detecting address spoofing in a computer network - Google Patents

Method and device for detecting address spoofing in a computer network Download PDF

Info

Publication number
WO2006082296A2
WO2006082296A2 PCT/FR2006/000160 FR2006000160W WO2006082296A2 WO 2006082296 A2 WO2006082296 A2 WO 2006082296A2 FR 2006000160 W FR2006000160 W FR 2006000160W WO 2006082296 A2 WO2006082296 A2 WO 2006082296A2
Authority
WO
WIPO (PCT)
Prior art keywords
address
network
data
fingerprint
stimulus
Prior art date
Application number
PCT/FR2006/000160
Other languages
French (fr)
Other versions
WO2006082296A3 (en
Inventor
Laurent Butti
Roland Duffau
Franck Veysset
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2006082296A2 publication Critical patent/WO2006082296A2/en
Publication of WO2006082296A3 publication Critical patent/WO2006082296A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Definitions

  • the invention relates to computer networks and in particular to access to a computer network when it has a wireless or wireless connection which is accessible to an unsorted public. More particularly, the invention is concerned with detecting network address spoofing to access the network.
  • a client authentication can determine if the client is. authorized to connect and allows him to assign the privileges associated with him to move in the network and access the data that are authorized.
  • IP address in English "Internet Protocol”
  • MAC address of the English “Medium Access Control”
  • An intrusion technique in a secure network involves usurping the IP address and possibly the MAC address of an authenticated client.
  • This type of identity theft is easier to achieve with wireless networks in public places. Indeed, it is then possible to intercept by radio the MAC address and also the IP address of a client connected to a network and to use his IP address and his MAC address to connect at the same time as him to same network and enjoy the same privileges as the legitimate customer.
  • a first technique is a physical technique.
  • the network connection sockets can only be accessible to people who can enter a closed room. Thus, only authorized persons can connect from a machine whose IP address will be recognized as a secure address.
  • cryptographic-based techniques for exchanging data between a user and a server. This exchange of data is conditioned by the possession of a secret allowing to implement the cryptographic techniques.
  • a captive portal mechanism has been developed to provide a solution that replaces the previously mentioned security solutions.
  • the principle of the captive portal implements a filtering device, also called firewall to filter the IP addresses and also the MAC addresses when they are used.
  • a filtering device also called firewall to filter the IP addresses and also the MAC addresses when they are used.
  • no electronic message or packet of data from these addresses can pass the filter.
  • the customer is invited to open his Internet browser and is automatically redirected to an authentication portal of a network manager, hence the captive portal name.
  • This portal allows the client to authenticate securely, for example by using the SSL (Secure Sockets Layer) protocol. All other unauthenticated client requests will be blocked by the filtering device until the authentication succeeds.
  • SSL Secure Sockets Layer
  • an update of the filtering rules of the filtering device is performed to pass data packets from the address IP possibly accompanied by the MAC address corresponding to the identified client. Since the access control by MAC address and IP address is relatively low in the case of an open network, the captive portal can use an additional access control by tokens exchanged at the application level. The captive portal keeps a secure communication channel open with the client, always using the SSL protocol. Periodically, the client must present an authentication token through this channel. The lack of presentation of this token causes the modification of the filtering device and puts it in a blocking state for the IP address. Thus, an unauthorized client and usurping the IP address and possibly the MAC address of an authorized client will not be able to present this token and will see its connection completed. The token can also be presented on request if the user tries to access sensitive resources.
  • the captive portal is particularly well adapted for use in the context of wireless networks, for example using the IEEE802.il technology but also in the case of a wire network whose part of the network would be made available to the visitor by a company . This is all the more true as currently wireless networks using the standard IEEE802.i l do not have a planned security mechanism against intrusion. Similarly, a network type Ethernet (IEEE802.3) relying on the physical impossibility to connect to it, nor does it have any means of securing in case of provision of a connection socket.
  • IEEE802.3 network type Ethernet
  • the filtering by IP address and possibly by MAC address is a weak protection. Indeed, these protections are very easy to circumvent because it is enough to impersonate the IP address and MAC address of an authorized client when said client is connected.
  • the use of the authentication token is relatively efficient but has some limitations. Indeed, for the token to be exchanged, it is imperative that the client device and the authentication server of the network are able to talk continuously to be able to exchange the token.
  • an application heavily used by customers on wireless type of access, for example in airports is to build a tunnel between their computer and their company. The tunnel is a sort of virtual private network used for security reasons in order to be sure that, on an open network, for example of the Internet type, it is not possible for an intruder to intervene.
  • the purpose of the invention is to enhance access to a network in the case of attacks that attempt to impersonate the network address of a legitimate customer.
  • the invention provides for sending a stimulus to the client terminal and analyzing a response dependent on its operating characteristics and the stimulus to form an identification fingerprint of the terminal.
  • additional filtering based on this fingerprint is performed.
  • this fingerprint takes into account the dynamic behavior of the terminal, it is particularly representative of its operating characteristics.
  • the invention relates to an address spoofing detection method using a data filter able to pass or not data to a network based on filtering criteria, in which when receiving data transmitted by a device connected to an access medium to said network, the following steps are performed:
  • the fraudster can not anticipate the stimuli and the generated fingerprint is thus particularly reliable.
  • said signature comprises information selected from the following group: the delay of retransmission of data in case of non-acknowledgment by the recipient after a predetermined time, the type of services performed on said device or an identifier of the operating system of said device.
  • a Filtering criterion is changed to prohibit the passage of all data from the network address.
  • the method comprises an authentication phase of said device including the formation of the valid identification fingerprint of the device by steps a) and b) mentioned above.
  • the valid imprint formed thus corresponds well to the authenticated device.
  • the network address includes an IP address and / or MAC.
  • the data can be sent according to the TCP and / or IP protocol.
  • the invention also relates to an address spoofing detection device using a filtering means able to let or not pass data to a network according to filtering criteria, comprising:
  • an identification means able to identify the network address of a device connected to a network access medium
  • detection means capable of identifying parameters of the response to the stimuli representative of the operation of the device, and adapted to form an identification fingerprint of the device comprising its network address and a signature representative of the operating characteristics of the device;
  • a comparison means able to compare the formed fingerprint with a valid identification fingerprint of the device
  • a decision means capable of detecting an address spoofing if the imprint formed comprises an address corresponding to a valid imprint but with a signature different from that of the valid imprint.
  • Such a device makes it possible to generate stimuli that a fraudster can not anticipate and to decide on an address spoofing on the basis of a particularly reliable generated fingerprint.
  • the device forms said identification fingerprint by including in said signature information selected from the following group: the data retransmission delay in case of non-acknowledgment by the recipient after a predetermined time, the type of services performed on said device or an identifier of the operating system of said device.
  • the device comprises at least one of the following means:
  • an update means adapted to modify a filtering criterion to prohibit the passage of data corresponding to the network address for which an address spoofing is detected
  • an alarm means capable of emitting an alarm when an address spoofing is detected.
  • the invention also relates to a computer system comprising a plurality of resources connected to the same communication medium comprising an address spoof detection device as described above and connecting the communication medium to an access medium. .
  • said access medium comprises at least one radio access point or a connection socket to enable the connection of a device with or without a wire.
  • the invention further relates to a computer program recorded on a computer readable medium, which program comprises portions of software code for performing the steps of a method as described above when said program is executed. by a computer.
  • FIG. 1 represents a network having access accessible to the public according to the invention
  • FIG. 2 represents an algorithm implemented by the filtering device on the data packets passing through it.
  • FIG. 1 shows an enterprise network implementing the invention.
  • the corporate network consists of an Intranet-type network 1 which has a certain number of resources, most of which are not represented, all these resources being linked to a medium of communication.
  • This intranet network also has a portion of network 2 accessible to the public via an access medium, such as an access point 3 or a connection socket 4 for terminals 5 and 6 to connect to the intranet network 1.
  • a filtering device 7 interposes between this access medium of the network part 2 and the communication medium of the intranet network 1.
  • the intranet network 1 is also connected to the Internet network 8 by via a second filtering device 9.
  • a detection device 10 In order to manage the connection of the terminals 5 and 6 to the network part 2 for the connection to Intranet 1, a detection device 10, an authentication server 11, a device 12, a decision device 13 and a stimulation device 14 are also connected to the intranet network 1.
  • the intranet network 1 is for example a network operating according to a wired type local network standard, for example the IEEE802.3 standard.
  • a network type has at least one server for managing the different accesses to the network, and a plurality of user terminals and resources that communicate with each other via said network.
  • the authentication server 11 serves in particular to manage access to the Intranet and serves firstly to validate the connection of users within the network but also to validate the connection of users connecting with the help of terminals 5 and 6 via the network part 2.
  • the network part 2 is a public or semi-public part that allows users to pass through a site to connect by means of a cable on the network. socket 4, or by means of a wireless link via the access point 3.
  • the access point 3 is for example a wireless access point in accordance with the IEEE802.11 standard.
  • Said first and second filtering devices 7 and 9 serve to filter message exchanges and more generally any data packet between the intranet network and, on the one hand, the network part 2 and, on the other hand, the network. Internet 8. These filtering devices 7 and 9 are also known by the name firewall (in English "firewall").
  • a detection device 10, a comparison device 12, a decision device 13 and a stimulation device 14 are connected to the intranet network 1 to control the first filtering device 7.
  • the devices 10, 12, 13 and 14 are presented as independent devices in FIG. 1, however these can be integrated in a server which can be the same server as the authentication server 11. Possibly, this server can also include the filter 7 and will constitute a full access server having a first connection to connect to the intranet network 1 and a second connection to connect to the network part 2.
  • the authentication server 11 can also communicate with many other elements of the intranet network 1, and the devices 10, 12, 13 and 14 can also be shared with the filter 9.
  • the communications between the filtering device 7, the detection device 10, the authentication server 11, the comparison device 12, the decision device 13 and the stimulation device 14 pass through the Intranet network 1.
  • certain exchanges between these devices were identified by means of arrows.
  • the flowchart of FIG. 2 begins with a start step 100 which consists in sending a data packet by a terminal to a resource of the Intranet 1 network from the network part 2. for example, it is considered that the terminal 5 wishes to connect legitimately via the access point 3 to the network part 2 to access resources of the Intranet 1 network.
  • the data packet is a legitimate message sent by the terminal 5 before it is authenticated.
  • the terminal 5 Prior to sending this first data packet, the terminal 5 has established a radio communication with the access point 3. This radio connection is not detailed because it is proceeds for example according to the standard IEEE802.il.
  • the terminal 5 connecting via the access point 3, it has an IP address, usually assigned by a DHCP server (Dynamic Host Configuration Protocol), and a MAC address which is its address in the wireless network.
  • the data packet from the terminal 5 therefore passes through the access point 3 to be transposed on the network part 2 in electronic form and is sent to a resource located at the level of the intranet network 1.
  • the sent data packet then traverses the filtering device 7 which checks whether the data packet comes from an authorized user or user terminal.
  • Step 101 is for the filtering device 7 to check the sending address of the data packet.
  • the data packet contains the sender's network address.
  • the network address consists of the IP address and the MAC address.
  • the filtering device 7 having recovered this network address, it checks among its rules or filtering criteria if this address is an authorized address. If the address is authorized, it is because the terminal has been authenticated beforehand. If the address is not part of the filtering rules that allow access to the network is that the terminal has not been authenticated as a terminal authorized to access the Intranet 1.
  • an authentication step 102 begins. During this authentication step 102, the filtering device 7 redirects the terminal 5 to the authentication server 11. A dialogue is then established between the terminal 5 and the authentication server 11 through the filter 7. Only this connection is authorized by the filter 7 for the terminal responding to the address of the terminal 5. Authentication is generally done by presenting a pair of user ID and password using a form of protected type for example using the SSL protocol. This authentication is a well-known authentication in the Internet domain and does not require further explanation. The authentication server 11 having received the user's identifier and its password in an encrypted manner, it checks whether this authentication is successful during a test step 103.
  • the authentication server 11 changes the rules of the filtering device 7, during a step 104, and indicates that the terminal responding to the network address of the terminal 5 is authorized to to connect to different resources present in the intranet network 1. Obviously, these resources can be limited to a small part only of the resources of the intranet network 1 according to the rights of access resulting from those allocated to the user.
  • a reference fingerprint for the identification of the terminal 5, which will subsequently be considered valid is set in step 105.
  • the stimulation device 14 emits a stimulus to the terminal 5.
  • the stimulus is provided so that the response of the terminal 5 is dependent on this stimulus and the operating characteristics of this terminal.
  • the terminal 5 transmits a response, received by the detection device 10.
  • the detection device 10 analyzes the response and identifies elements characteristic of the operation of the terminal in response to the stimulus. By comparing, for example, these elements with the contents of a knowledge base, the detection device 10 generates a signature representative of the operating characteristics of the terminal 5, such as the nature of its operating system or the services it has.
  • the detection device 10 forms the valid fingerprint comprising the network address (IP address and possibly MAC address) and the signature of the terminal. This valid fingerprint is stored for future spoofing detection.
  • the imprint can be stored in any appropriate form, for example a table associating the network address and the signature of the terminal.
  • the OS of a terminal can be determined from TCP packets that contain information elements allowing to identify the OS, such as packets that have a SYN, ACK, SYN / ACK or RST flag at 1.
  • information elements such as packets that have a SYN, ACK, SYN / ACK or RST flag at 1.
  • the stimulus may also aim at obtaining information on the software or services executed on the terminal 5. The stimulus can notably determine whether the terminal 5 is protected by a firewall.
  • the stimulus may also measure physical or network characteristics of the terminal response, including the delay of retransmission of data in case of non-acknowledgment by the recipient after a predetermined time.
  • the response of the terminal 5 may in particular depend on several operating characteristics of the terminal. In practice, any technique of fingerprinting ("fingerprinting" in English) by stimulus emission can be adapted to the invention. Several stimuli can be emitted in order to cross-check the analyzes carried out on the answers obtained. The formed cavity is thus safer and false positives can be avoided.
  • the filtering rules remain unchanged and the terminal answering the address of the terminal 5 is not allowed to access resources of the intranet network 1.
  • the algorithm ends and the filter 7 waits for a new packet of data.
  • the terminal 5 After being authenticated, if the terminal 5 returns a data packet again to access one of the resources of the intranet network 1, then this data packet restarts the flowchart from FIG. 2 to the start step 100
  • the filtering device 7 performs the test of the step 101, it realizes that the address corresponding to the terminal 5 is an authenticated address that has the right to access certain resources of the intranet network 1.
  • the filter 7 requires to establish whether the terminal 5 is still an authorized terminal, by a stimulus emission.
  • the inspection procedure may be carried out at regular intervals during the connection of the terminal 5, the intervals may for example be defined by a clock triggering the launch of the control.
  • the intervals can be defined by an administrator of the filtering device 7.
  • step 106 as in step 105, the stimulation device 14 sends a stimulus to the terminal 5.
  • the detection device forms a fingerprint comprising the network address (IP address and MAC address) and the signature of the terminal dependent on the stimulus and operating characteristics of the terminal 5.
  • step 107 the comparison device 12 compares the fingerprint formed with the valid fingerprint having the same IP address and the same MAC address.
  • the stimuli are determined in advance and relatively stable over time, so that the valid fingerprint and the fingerprint formed by an authorized terminal do not diverge. If the imprint formed is not identical or not consistent with the valid imprint, then the filter proceeds to step 108.
  • Step 108 corresponds to the reaction of the filter 7 following the detection of a spoofing. network address. Different operations can be performed simultaneously or optionally, depending on the level of security required. The data packet can simply be blocked at the level of the filter 7.
  • the filter 7 is modified to prohibit all data packets from the network address for which two different fingerprints were found. This means that if the legitimate terminal wishes to communicate again with the intranet network 1, it must necessarily go through an authentication step. The flowchart of Figure 2 is complete, and the filter 7 is waiting for a new data packet.
  • the decision device 13 determines whether there is another connection in progress with the same network address and the same signature.
  • step 111 the data packet is allowed to pass through the filtering device 7 and the filtering rules of the filter 7 are unchanged. If there is no other connection in progress with the fingerprint formed in step
  • the decision device 13 checks in step 110 whether another connection is in progress with the same network address and no imprint formed.
  • the decision device 13 determines that another terminal usurps the network address of the terminal 105. Step 108 is then performed. If no other connection is in progress with the network address of the terminal 5, step 111 is performed. The decision device 13 stores the formed fingerprint to subsequently perform the test of step 109.
  • Such access control is usable without any impact on the client himself because this control is completely transparent to him.
  • Such access control may be coupled to a static access control, in which all packets transmitted to the filtering device 7 by the terminal 5 are controlled. In this case, the risk of detecting a false positive
  • the only modification to be made in relation to the architecture of an Intranet type network occurs only at the level of the filtering device 7 so that it takes into account the fingerprint check in cooperation with the detection device. 10, the comparison device 12, the decision device 13 and the stimulation device 14.
  • the implementation of the method is done by adding a computer program in the computer device providing the filtering device function , this computer program having software instructions for executing the method.
  • this access control method is relatively complex to deceive because the attacker must already determine which packets sent by the filter contain the stimuli. Even knowing the packages containing the stimuli, the attacker can not know very precisely the behavior of the legitimate terminal in response to stimuli and will not be able to reproduce a response leading to the same footprint.
  • the generated signature identifies the operating system of the terminal, the skilled person might think that very many computers have a similar OS, and that therefore a detection based on this signature does not allow to have a reliability important enough to get rid of an illegitimate terminal.
  • OS OS that do not allow complex attacks with spoofing of IP addresses and / or MAC . Indeed, to achieve this type of attack, it is necessary to have an OS allowing the user of the illegitimate terminal to substitute the addresses of a connection. These OS are less widespread, a signature identifying the OS is in practice a relatively reliable criterion.
  • the example presented describes the formation of the valid fingerprint following the authentication step

Abstract

The invention concerns a method for detecting address spoofing in a computer network to allow through or not data to addressed to a network (1, 8). Upon receiving data emitted by a device (5) connected to an access medium (2) to said network, a filter (7) performs the following steps: a) emitting a stimulus addressed to the device, to obtain a response based on the stimulus and on the operating characteristics of the device; b) receiving a response from the device (5) and analyzing same to form an identification fingerprint of the device including a network address of said device and a signature representing the operating characteristics of the device; c) comparing the fingerprint formed with a valid identification fingerprint of the device; d) if the formed fingerprint includes an address corresponding to the valid identification fingerprint of the device but with a signature different from that of the valid identification fingerprint, detecting a network address spoofing of the device.

Description

PROCEDE ET DISPOSITIF DE DETECTION D'USURPATIONS D'ADRESSE DANS UN RESEAU INFORMATIQUE METHOD AND DEVICE FOR DETECTING ADDRESS USURPATIONS IN A COMPUTER NETWORK
L'invention se rapporte aux réseaux informatiques et en particulier à l'accès à un réseau informatique lorsque celui-ci dispose d'une connexion fïlaire ou sans fil qui est accessible à un public non trié. Plus particulièrement, l'invention se préoccupe de détecter des usurpations d'adresses de réseau pour accéder au réseau.The invention relates to computer networks and in particular to access to a computer network when it has a wireless or wireless connection which is accessible to an unsorted public. More particularly, the invention is concerned with detecting network address spoofing to access the network.
Pour accéder à un réseau informatique, il est connu d'identifier les personnes ou les dispositifs désirant se connecter au réseau pour utiliser certaines ressources. Une authentification de client permet de déterminer si le client est. autorisé à se connecter et permet de lui attribuer les privilèges qui lui sont associés pour se déplacer dans le réseau et accéder aux données qui lui sont autorisées. Une fois qu'un client a été authentifié, l'utilisation de son adresse IP (de l'anglais « Internet Protocol »), éventuellement accompagnée d'une adresse MAC (de l'anglais « Médium Access Control »), permettent d'identifier le client et de lui faire bénéficier des privilèges qui lui sont attribués.To access a computer network, it is known to identify persons or devices wishing to connect to the network to use certain resources. A client authentication can determine if the client is. authorized to connect and allows him to assign the privileges associated with him to move in the network and access the data that are authorized. Once a client has been authenticated, the use of its IP address (in English "Internet Protocol"), possibly accompanied by a MAC address (of the English "Medium Access Control"), allow to identify the client and give him / her the privileges assigned to him / her.
Une technique d'intrusion dans un réseau sécurisé consiste à usurper l'adresse IP et éventuellement l'adresse MAC d'un client authentifié. Ce type d'usurpation d'identité est plus facile à réaliser avec les réseaux sans fil disposés dans les endroits publics. En effet, il est alors possible d'intercepter par radio l'adresse MAC et également l'adresse IP d'un client connecté à un réseau et d'utiliser son adresse IP et son adresse MAC pour se connecter en même temps que lui au même réseau et bénéficier des mêmes privilèges que le client légitime. Afin d'éviter que des clients illégitimes ne profitent indûment du réseau, il est nécessaire d'en contrôler l'accès. Tout d'abord, il faut s'assurer que seuls des clients autorisés par le gestionnaire du réseau peuvent l'utiliser. Cette première étape est réalisée lors de l'authentifïcation du client qui tente de se connecter sur le réseau. Ensuite, il convient de maintenir une relation d'authentifïcation avec le client, c'est-à-dire de s'assurer que le client autorisé qui utilise le réseau est bien le même que celui qui s'est authentifié afin d'éviter qu'un client non autorisé usurpe l'identité du client autorisé. Pour maintenir le contrôle sur un client autorisé et connecté, plusieurs techniques permettent de contrôler l'accès. Une première technique est une technique physique. Les prises de connexion au réseau ne peuvent être accessibles qu'à des personnes pouvant rentrer dans un local fermé. Ainsi, seules les personnes autorisées pourront se connecter à partir d'une machine dont l'adresse IP sera reconnue comme étant une adresse sécurisée. Pour des réseaux complètement ouverts, notamment à travers Internet, il existe des techniques basées sur la cryptographie pour échanger des données entre un utilisateur et un serveur. Cet échange de données est conditionné par la possession d'un secret permettant de mettre en œuvre les techniques cryptographiques.An intrusion technique in a secure network involves usurping the IP address and possibly the MAC address of an authenticated client. This type of identity theft is easier to achieve with wireless networks in public places. Indeed, it is then possible to intercept by radio the MAC address and also the IP address of a client connected to a network and to use his IP address and his MAC address to connect at the same time as him to same network and enjoy the same privileges as the legitimate customer. In order to prevent illegitimate customers from taking undue advantage of the network, it is necessary to control access to it. First, it must be ensured that only clients authorized by the network manager can use it. This first step is performed when authenticating the client trying to connect to the network. Then, it is necessary to maintain an authentication relationship with the client, that is to say to ensure that the authorized client who uses the network is the same as the one who has authenticated to avoid that an unauthorized customer impersonates the authorized customer. To maintain control over an authorized and connected client, there are several techniques to control access. A first technique is a physical technique. The network connection sockets can only be accessible to people who can enter a closed room. Thus, only authorized persons can connect from a machine whose IP address will be recognized as a secure address. For completely open networks, especially across the Internet, there are cryptographic-based techniques for exchanging data between a user and a server. This exchange of data is conditioned by the possession of a secret allowing to implement the cryptographic techniques.
Actuellement, on voit apparaître des points d'accès accessibles à tout public, par exemple dans les gares ou aéroports mais également dans les entreprises, où des liaisons sans fil sont disponibles afin d'éviter les branchements et débranchements d'ordinateurs par des personnes amenées à se déplacer fréquemment. Egalement en entreprise, il est possible qu'un client souhaite se connecter à travers le réseau de l'entreprise visitée à sa propre entreprise en passant par Internet. Dans ce cadre de liaison sans fil toutes les communications sont facilement interceptables sans que l'on puisse contrôler nécessairement la liaison physique au réseau. Par ailleurs, l'utilisation de la cryptographie n'est pas bien appliquée à ce type de liaison car les moyens de cryptographie du réseau qui reçoit la connexion et de l'utilisateur qui désire s'y connecter doivent être adaptés l'un à l'autre, ce qui peut poser des problèmes avec les réseaux où l'utilisateur se connecte. De plus, l'utilisation de la cryptographie rajoute du temps de traitement et de la redondance d'informations qui réduit la vitesse de communication.Currently, there are access points accessible to all public, for example in railway stations or airports but also in companies, where wireless links are available to avoid the connection and disconnection of computers by people brought to move frequently. Also in business, it is possible that a customer wants to connect through the network of the company visited to his own company via the Internet. In this wireless link framework all communications are easily interceptable without necessarily controlling the physical link to the network. Moreover, the use of cryptography is not well applied to this type of link because the cryptographic means of the network that receives the connection and the user who wishes to connect to it must be adapted to the other. other, which can cause problems with the networks where the user connects. In addition, the use of cryptography adds processing time and information redundancy which reduces the communication speed.
Un mécanisme de portail captif a été développé pour apporter une solution se substituant aux solutions de sécurisation précédemment énoncées. Le principe du portail captif met en œuvre un dispositif de filtrage, également appelé pare-feu (firewall) pour filtrer les adresses IP et également les adresses MAC lorsque celles-ci sont utilisées. Lors d'une connexion, si l'adresse IP et éventuellement l'adresse MAC ne sont pas enregistrées dans le dispositif de filtrage, aucun message électronique ou paquet de données en provenance de ces adresses ne peut passer le filtre. Lors de la première présentation d'une adresse IP non autorisée, le client est invité à ouvrir son navigateur Internet et est automatiquement redirigé vers un portail d'authentification d'un gestionnaire du réseau, d'où le nom de portail captif. Ce portail permet au client de s'authentifier de manière sécurisée, par exemple en utilisant le protocole SSL (de l'anglais « Secure Sockets Layer »). Toutes les autres requêtes du client non authentifiées seront bloquées par le dispositif de filtrage tant que l'authentification n'aura pas réussi. En cas d'authentification réussie, et dans le cas où le client authentifié est autorisé à accéder à un réseau, une mise à jour des règles de filtrage du dispositif de filtrage est effectuée pour laisser passer des paquets de données en provenance de l'adresse IP accompagnée éventuellement de l'adresse MAC correspondant au client identifié. Comme le contrôle d'accès par adresse MAC et adresse IP est relativement faible dans le cas d'un réseau ouvert, le portail captif peut utiliser un contrôle d'accès supplémentaire par jetons échangés au niveau applicatif. Le portail captif garde en effet un canal de communication sécurisé ouvert avec le client, toujours à l'aide du protocole SSL. Périodiquement, le client doit présenter un jeton d'authentification grâce à ce canal. Le défaut de présentation de ce jeton entraîne la modification du dispositif de filtrage et le remet dans un état bloquant pour l'adresse IP. Ainsi, un client non autorisé et usurpant l'adresse IP et éventuellement l'adresse MAC d'un client autorisé ne pourra pas présenter ce jeton et verra sa connexion terminée. Le jeton peut également être présenté sur requête si l'utilisateur tente d'accéder à des ressources sensibles.A captive portal mechanism has been developed to provide a solution that replaces the previously mentioned security solutions. The principle of the captive portal implements a filtering device, also called firewall to filter the IP addresses and also the MAC addresses when they are used. During a connection, if the IP address and possibly the MAC address are not registered in the filtering device, no electronic message or packet of data from these addresses can pass the filter. During the first presentation of an unauthorized IP address, the customer is invited to open his Internet browser and is automatically redirected to an authentication portal of a network manager, hence the captive portal name. This portal allows the client to authenticate securely, for example by using the SSL (Secure Sockets Layer) protocol. All other unauthenticated client requests will be blocked by the filtering device until the authentication succeeds. In the case of successful authentication, and in the case where the authenticated client is authorized to access a network, an update of the filtering rules of the filtering device is performed to pass data packets from the address IP possibly accompanied by the MAC address corresponding to the identified client. Since the access control by MAC address and IP address is relatively low in the case of an open network, the captive portal can use an additional access control by tokens exchanged at the application level. The captive portal keeps a secure communication channel open with the client, always using the SSL protocol. Periodically, the client must present an authentication token through this channel. The lack of presentation of this token causes the modification of the filtering device and puts it in a blocking state for the IP address. Thus, an unauthorized client and usurping the IP address and possibly the MAC address of an authorized client will not be able to present this token and will see its connection completed. The token can also be presented on request if the user tries to access sensitive resources.
Le portail captif est particulièrement bien adapté pour être utilisé dans le cadre de réseaux sans fil, par exemple utilisant la technologie IEEE802.i l mais également dans le cas d'un réseau fîlaire dont une partie du réseau serait mise à disposition du visiteur par une entreprise. Ceci est d'autant plus vrai qu'actuellement les réseaux de type sans fil utilisant le standard IEEE802.i l n'ont pas de mécanisme de sécurité prévu contre l'intrusion. De même, un réseau de type Ethernet (IEEE802.3) misant sur l'impossibilité physique de s'y connecter, ne dispose pas lui non plus de moyens de sécurisation en cas de mise à disposition d'une prise de connexion.The captive portal is particularly well adapted for use in the context of wireless networks, for example using the IEEE802.il technology but also in the case of a wire network whose part of the network would be made available to the visitor by a company . This is all the more true as currently wireless networks using the standard IEEE802.i l do not have a planned security mechanism against intrusion. Similarly, a network type Ethernet (IEEE802.3) relying on the physical impossibility to connect to it, nor does it have any means of securing in case of provision of a connection socket.
Comme il a été indiqué précédemment, le filtrage par adresse IP et éventuellement par adresse MAC est une protection faible. En effet, ces protections sont très faciles à contourner car il suffit d'usurper l'adresse IP et l'adresse MAC d'un client autorisé lorsque ledit client est connecté. L'utilisation du jeton d'authentification est relativement efficace mais présente quelques limitations. En effet, pour que le jeton puisse être échangé, il faut impérativement que le dispositif client et le serveur d'authentification du réseau soient capables de dialoguer en permanence pour pouvoir échanger le jeton. Or, une application fortement utilisée par des clients sur des accès de type sans fil, par exemple dans les aéroports, consiste à monter un tunnel entre leur ordinateur et leur entreprise. Le tunnel est une sorte de réseau privé virtuel utilisé pour des raisons de sécurité afin d'être sûr que, sur un réseau ouvert, par exemple de type Internet, il ne soit pas possible qu'un intrus puisse intervenir. Justement pour des raisons de sécurité, la plupart des applications de réseaux privés virtuels interdisent toute communication à destination ou en provenance du client autre que celle qui passe à l'intérieur du tunnel ainsi créé. Ce réseau virtuel fonctionne en mode bloquant. Il n'est pas possible dans ce cas de maintenir un échange de jetons d'authentification entre le dispositif client et un serveur d'authentification propre au point de connexion du dispositif client. Par ailleurs, l'utilisation du jeton ne résout que partiellement le problème d'usurpation d'identité car il est toujours possible à un attaquant d'établir une connexion au travers du portail captif en utilisant l'adresse IP et éventuellement MAC d'un client légitime pendant une fenêtre de temps correspondant à la dernière présentation du jeton par le dispositif client légitime. Le dispositif client légitime peut en outre renvoyer des jetons autant de fois qu'il est possible à la place du dispositif illégitime, maintenant ainsi le passage au travers du dispositif de filtrage.As mentioned above, the filtering by IP address and possibly by MAC address is a weak protection. Indeed, these protections are very easy to circumvent because it is enough to impersonate the IP address and MAC address of an authorized client when said client is connected. The use of the authentication token is relatively efficient but has some limitations. Indeed, for the token to be exchanged, it is imperative that the client device and the authentication server of the network are able to talk continuously to be able to exchange the token. However, an application heavily used by customers on wireless type of access, for example in airports, is to build a tunnel between their computer and their company. The tunnel is a sort of virtual private network used for security reasons in order to be sure that, on an open network, for example of the Internet type, it is not possible for an intruder to intervene. Precisely for security reasons, most virtual private network applications prohibit any communication to or from the customer other than that which passes inside the tunnel thus created. This virtual network operates in blocking mode. It is not possible in this case to maintain an exchange of authentication tokens between the client device and an authentication server specific to the connection point of the client device. Moreover, the use of the token solves only partially the problem of impersonation because it is always possible for an attacker to establish a connection through the captive portal by using the IP address and possibly MAC of a legitimate client during a time window corresponding to the last presentation of the token by the legitimate client device. The legitimate client device may further return tokens as many times as possible in place of the illegitimate device, thereby maintaining the passage through the filtering device.
. Le but de l'invention est de renforcer l'accès à un réseau dans le cas d'attaques qui tentent d'usurper l'adresse de réseau d'un client légitime. A cet effet, l'invention prévoit d'émettre un stimulus vers le terminal client et d'analyser une réponse dépendante de ses caractéristiques de fonctionnement et du stimulus pour former une empreinte d'identification de ce terminal. Outre le filtrage basé sur l'adresse de réseau du terminal, un filtrage supplémentaire basé sur cette empreinte est réalisé. Comme cette empreinte tient compte du comportement dynamique du terminal, elle est particulièrement représentative de ses caractéristiques de fonctionnement. Plus précisément, l'invention concerne un procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, dans lequel, à réception de données émises par un dispositif connecté à un médium d'accès audit réseau, on effectue les étapes suivantes:. The purpose of the invention is to enhance access to a network in the case of attacks that attempt to impersonate the network address of a legitimate customer. For this purpose, the invention provides for sending a stimulus to the client terminal and analyzing a response dependent on its operating characteristics and the stimulus to form an identification fingerprint of the terminal. In addition to filtering based on the network address of the terminal, additional filtering based on this fingerprint is performed. As this fingerprint takes into account the dynamic behavior of the terminal, it is particularly representative of its operating characteristics. More specifically, the invention relates to an address spoofing detection method using a data filter able to pass or not data to a network based on filtering criteria, in which when receiving data transmitted by a device connected to an access medium to said network, the following steps are performed:
-a) émettre un stimulus à destination dudit dispositif, destiné à obtenir du dispositif une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif;-a) transmitting a stimulus to said device, for obtaining the device a response dependent on the stimulus and operating characteristics of the device;
-b) réceptionner une réponse du dispositif au stimulus et l'analyser pour former une empreinte d'identification du dispositif comprenant au moins une adresse de réseau dudit dispositif et une signature représentative des caractéristiques de fonctionnement du dispositif;-b) receiving a response from the device to the stimulus and analyzing it to form an identification fingerprint of the device comprising at least one network address of said device and a signature representative of the operating characteristics of the device;
-c) comparer l'empreinte formée avec une empreinte valide d'identification du dispositif; -d) si l'empreinte formée comporte une adresse correspondant à l'empreinte valide d'identification du dispositif mais avec une signature différente de celle de l'empreinte valide d'identification du dispositif, détecter une usurpation de l'adresse de réseau dudit dispositif.-c) comparing the formed fingerprint with a valid identification fingerprint of the device; d) if the imprint formed comprises an address corresponding to the valid identification fingerprint of the device but with a signature different from that of the valid identification fingerprint of the device, detecting a spoofing of the network address of said device; device.
Le fraudeur ne peut anticiper les stimuli et l'empreinte générée est ainsi particulièrement fiable.The fraudster can not anticipate the stimuli and the generated fingerprint is thus particularly reliable.
Selon une variante, ladite signature comprend une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système d'exploitation dudit dispositif.According to a variant, said signature comprises information selected from the following group: the delay of retransmission of data in case of non-acknowledgment by the recipient after a predetermined time, the type of services performed on said device or an identifier of the operating system of said device.
Ces types d'informations sont particulièrement représentatifs du fonctionnement du dispositif et sont en pratique difficiles à contourner par un fraudeur.These types of information are particularly representative of the operation of the device and are in practice difficult to circumvent by a fraudster.
Selon encore une variante, suite à une détection d'usurpation d'adresse, un critère de filtrage est modifié pour interdire le passage de toutes les données provenant de l'adresse réseau.According to another variant, following an address spoofing detection, a Filtering criterion is changed to prohibit the passage of all data from the network address.
La détection d'usurpation d'adresse permet ainsi de bloquer des données émises par un fraudeur.The detection of address spoofing thus makes it possible to block data sent by a fraudster.
Selon encore une variante, suite à une détection d'usurpation d'adresse, au moins une étape parmi les étapes suivantes est exécutée:According to another variant, following detection of address spoofing, at least one of the following steps is executed:
-blocage des données reçues dans le filtre de données,-block the data received in the data filter,
-émission d'une alarme ; -modification des critères de filtrage pour interdire le passage de données provenant de l'adresse usurpée.emitting an alarm; -modification of the filtering criteria to prohibit the passage of data from the spoofed address.
Une réaction appropriée est ainsi adoptée lors d'une détection d'usurpation d'adresse.An appropriate reaction is thus adopted during an address spoofing detection.
Selon encore une autre variante, le procédé comprend une phase d'authentifïcation dudit dispositif incluant la formation de l'empreinte valide d'identification du dispositif par les étapes a) et b) mentionnées précédemment.According to yet another variant, the method comprises an authentication phase of said device including the formation of the valid identification fingerprint of the device by steps a) and b) mentioned above.
L'empreinte valide formée correspond ainsi bien au dispositif authentifié.The valid imprint formed thus corresponds well to the authenticated device.
On peut également prévoir que l'adresse de réseau comporte une adresse IP et/ou MAC. Les données peuvent être envoyées selon le protocole TCP et/ou IP.It can also be provided that the network address includes an IP address and / or MAC. The data can be sent according to the TCP and / or IP protocol.
L'invention concerne également un dispositif de détection d'usurpation d'adresse à l'aide d'un moyen de filtrage apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, comportant:The invention also relates to an address spoofing detection device using a filtering means able to let or not pass data to a network according to filtering criteria, comprising:
-un moyen d'identification apte à identifier l'adresse de réseau d'un dispositif connecté à un médium d'accès au réseau;an identification means able to identify the network address of a device connected to a network access medium;
-un moyen d'émission d'un stimulus destiné à générer une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif; -un moyen de détection apte à identifier des paramètres de la réponse au stimulus représentatifs du fonctionnement du dispositif, et apte à former une empreinte d'identification du dispositif comprenant son adresse de réseau et une signature représentative des caractéristiques de fonctionnement du dispositif;means for transmitting a stimulus for generating a stimulus-dependent response and operating characteristics of the device; detection means capable of identifying parameters of the response to the stimuli representative of the operation of the device, and adapted to form an identification fingerprint of the device comprising its network address and a signature representative of the operating characteristics of the device;
-un moyen de comparaison apte à comparer l'empreinte formée avec une empreinte valide d'identification du dispositif;a comparison means able to compare the formed fingerprint with a valid identification fingerprint of the device;
-un moyen de décision apte à détecter une usurpation d'adresse si l'empreinte formée comporte une adresse correspondant à une empreinte valide mais avec une signature différente de celle de l'empreinte valide.a decision means capable of detecting an address spoofing if the imprint formed comprises an address corresponding to a valid imprint but with a signature different from that of the valid imprint.
Un tel dispositif permet de générer des stimuli qu'un fraudeur ne peut anticiper et de décider d'une usurpation d'adresse sur la base d'une empreinte générée particulièrement fiable.Such a device makes it possible to generate stimuli that a fraudster can not anticipate and to decide on an address spoofing on the basis of a particularly reliable generated fingerprint.
Selon une variante, le dispositif forme ladite empreinte d'identification en incluant dans ladite signature une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système d'exploitation dudit dispositif.According to a variant, the device forms said identification fingerprint by including in said signature information selected from the following group: the data retransmission delay in case of non-acknowledgment by the recipient after a predetermined time, the type of services performed on said device or an identifier of the operating system of said device.
Ces types d'informations sont particulièrement représentatifs du fonctionnement du dispositif et sont en pratique difficiles à contourner par un fraudeur.These types of information are particularly representative of the operation of the device and are in practice difficult to circumvent by a fraudster.
Selon encore une variante, le dispositif comporte au moins un moyen parmi les moyens suivants:According to another variant, the device comprises at least one of the following means:
-un moyen de mise à jour apte à modifier un critère de filtrage pour interdire le passage des données correspondant à l'adresse de réseau pour laquelle une usurpation d'adresse est détectée;an update means adapted to modify a filtering criterion to prohibit the passage of data corresponding to the network address for which an address spoofing is detected;
-un moyen d'alarme apte à émettre une alarme lorsqu'une usurpation d'adresse est détectée.an alarm means capable of emitting an alarm when an address spoofing is detected.
Une réaction appropriée est ainsi adoptée lors d'une détection d'usurpation d'adresse. L'invention porte encore sur un système informatique comprenant une pluralité de ressources reliées à un même médium de communication comportant un dispositif de détection d'usurpation d'adresse tel que décrit ci-dessus et reliant le médium de communication à un médium d'accès.An appropriate reaction is thus adopted during an address spoofing detection. The invention also relates to a computer system comprising a plurality of resources connected to the same communication medium comprising an address spoof detection device as described above and connecting the communication medium to an access medium. .
Selon une variante, ledit médium d'accès comprend au moins un point d'accès radio ou une prise de connexion pour permettre la connexion d'un dispositif avec ou sans fil.According to one variant, said access medium comprises at least one radio access point or a connection socket to enable the connection of a device with or without a wire.
L'invention porte par ailleurs sur un programme d'ordinateur enregistré sur un support lisible par ordinateur, ce programme comportant des portions de code de logiciel pour l'exécution des étapes d'un procédé tel que décrit ci-dessus lorsque ledit programme est exécuté par un ordinateur.The invention further relates to a computer program recorded on a computer readable medium, which program comprises portions of software code for performing the steps of a method as described above when said program is executed. by a computer.
L'invention sera mieux comprise et d'autres particularités et avantages apparaîtront à la lecture de la description qui va suivre, la description faisant référence aux dessins annexés parmi lesquels:The invention will be better understood and other features and advantages will appear on reading the description which follows, the description referring to the appended drawings among which:
-la figure 1 représente un réseau disposant d'un accès accessible au public selon l'invention; -la figure 2 représente un algorithme mis en œuvre par le dispositif de filtrage sur les paquets de données le traversant.FIG. 1 represents a network having access accessible to the public according to the invention; FIG. 2 represents an algorithm implemented by the filtering device on the data packets passing through it.
La figure 1 représente un réseau d'entreprise mettant en œuvre l'invention. Le réseau d'entreprise est constitué d'un réseau de type Intranet 1 qui dispose d'un certain nombre de ressources dont la plupart ne sont pas représentées, toutes ces ressources étant reliées à un médium de communication. Ce réseau Intranet dispose en outre d'une partie de réseau 2 accessible au public par l'intermédiaire d'un médium d'accès, tel qu'un point d'accès 3 ou une prise de connexion 4 permettant à des terminaux 5 et 6 de se connecter au réseau Intranet 1. Un dispositif de filtrage 7 s'interpose entre ce médium d'accès de la partie de réseau 2 et le médium de communication du réseau Intranet 1. Le réseau Intranet 1 est par ailleurs relié au réseau Internet 8 par l'intermédiaire d'un deuxième dispositif de filtrage 9. Afin de gérer la connexion des terminaux 5 et 6 sur la partie de réseau 2 pour la connexion à Intranet 1, un dispositif de détection 10, un serveur d'authentification 11, un dispositif de comparaison 12, un dispositif de décision 13 et un dispositif de stimulation 14 sont également reliés au réseau Intranet 1.Figure 1 shows an enterprise network implementing the invention. The corporate network consists of an Intranet-type network 1 which has a certain number of resources, most of which are not represented, all these resources being linked to a medium of communication. This intranet network also has a portion of network 2 accessible to the public via an access medium, such as an access point 3 or a connection socket 4 for terminals 5 and 6 to connect to the intranet network 1. A filtering device 7 interposes between this access medium of the network part 2 and the communication medium of the intranet network 1. The intranet network 1 is also connected to the Internet network 8 by via a second filtering device 9. In order to manage the connection of the terminals 5 and 6 to the network part 2 for the connection to Intranet 1, a detection device 10, an authentication server 11, a device 12, a decision device 13 and a stimulation device 14 are also connected to the intranet network 1.
Le réseau Intranet 1 est par exemple un réseau fonctionnant selon une norme de réseau local de type filaire, par exemple la norme IEEE802.3. Un tel type de réseau dispose d'au moins un serveur pour gérer les différents accès au réseau, et d'une pluralité de terminaux utilisateurs et de ressources qui communiquent entre eux par l'intermédiaire dudit réseau. Le serveur d'authentification 11 sert notamment à gérer les accès au réseau Intranet et sert d'une part à valider la connexion d'utilisateurs à l'intérieur du réseau mais également à valider la connexion d'utilisateurs se connectant à l'aide de terminaux 5 et 6 par l'intermédiaire de la partie de réseau 2. La partie de réseau 2 est une partie publique ou semi-publique qui permet à des utilisateurs de passage sur un site soit de se connecter au moyen d'un câble sur la prise 4, soit au moyen d'une liaison sans fil par l'intermédiaire du point d'accès 3. Le point d'accès 3 est par exemple un point d'accès sans fil conforme à la norme IEEE802.11.The intranet network 1 is for example a network operating according to a wired type local network standard, for example the IEEE802.3 standard. Such a network type has at least one server for managing the different accesses to the network, and a plurality of user terminals and resources that communicate with each other via said network. The authentication server 11 serves in particular to manage access to the Intranet and serves firstly to validate the connection of users within the network but also to validate the connection of users connecting with the help of terminals 5 and 6 via the network part 2. The network part 2 is a public or semi-public part that allows users to pass through a site to connect by means of a cable on the network. socket 4, or by means of a wireless link via the access point 3. The access point 3 is for example a wireless access point in accordance with the IEEE802.11 standard.
Lesdits premier et deuxième dispositifs de filtrage 7 et 9 servent à filtrer les échanges de messages et plus généralement de tout paquet de données entre le réseau Intranet et, d'une part, la partie de réseau 2 et, d'autre part, le réseau Internet 8. Ces dispositifs de filtrage 7 et 9 sont également connus sous l'appellation pare-feu (en anglais « firewall »).Said first and second filtering devices 7 and 9 serve to filter message exchanges and more generally any data packet between the intranet network and, on the one hand, the network part 2 and, on the other hand, the network. Internet 8. These filtering devices 7 and 9 are also known by the name firewall (in English "firewall").
Selon l'invention, un dispositif de détection 10, un dispositif de comparaison 12, un dispositif de décision 13 et un dispositif de stimulation 14 sont connectés au réseau Intranet 1 pour contrôler le premier dispositif de filtrage 7. Les dispositifs 10, 12, 13 et 14 sont présentés comme des dispositifs indépendants à la figure 1, cependant ceux-ci peuvent être intégrés dans un serveur qui peut être le même serveur que le serveur d'authentification 11. Eventuellement, ce serveur peut également comprendre le filtre 7 et constituera un serveur d'accès à part entière disposant d'une première connexion pour se relier sur le réseau Intranet 1 et d'une deuxième connexion pour se relier à la partie de réseau 2.According to the invention, a detection device 10, a comparison device 12, a decision device 13 and a stimulation device 14 are connected to the intranet network 1 to control the first filtering device 7. The devices 10, 12, 13 and 14 are presented as independent devices in FIG. 1, however these can be integrated in a server which can be the same server as the authentication server 11. Possibly, this server can also include the filter 7 and will constitute a full access server having a first connection to connect to the intranet network 1 and a second connection to connect to the network part 2.
Dans le cadre de l'invention, on s'intéressera plus particulièrement aux communications entre le filtre 7, le dispositif de détection 10, le serveur d'authentifîcation 11, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14. Dans la réalité, le serveur d'authentification 11 peut également communiquer avec bien d'autres éléments du réseau Intranet 1, et les dispositifs 10, 12, 13 et 14 peuvent également être mis en commun avec le filtre 9. Cependant, pour simplifier la description, il ne sera décrit que la partie concernant le filtre 7 dédié à l'interconnexion entre la partie de réseau 2 et le réseau Intranet 1, l'interaction avec le filtre 9 étant similaire. Les communications entre le dispositif de filtrage 7, le dispositif de détection 10, le serveur d'authentification 11, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14 passent par le réseau Intranet 1. Cependant, certains échanges entre ces dispositifs ont été identifiés au moyen de flèches. II va être maintenant expliqué comment un terminal 5 ou 6 se connecte au réseau Intranet 1 et comment celui-ci va être supervisé durant toute la durée de sa connexion au réseau Intranet 1 à l'aide de la figure 2. Cet organigramme est mis en oeuvre conjointement par le filtre 7, le dispositif de détection 10, le serveur d'authentification 11, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14.In the context of the invention, we will focus more particularly on the communications between the filter 7, the detection device 10, the authentication server 11, the comparison device 12, the decision device 13 and the stimulation device. 14. In reality, the authentication server 11 can also communicate with many other elements of the intranet network 1, and the devices 10, 12, 13 and 14 can also be shared with the filter 9. However, for to simplify the description, it will be described only the part relating to the filter 7 dedicated to the interconnection between the network part 2 and the Intranet 1 network, the interaction with the filter 9 being similar. The communications between the filtering device 7, the detection device 10, the authentication server 11, the comparison device 12, the decision device 13 and the stimulation device 14 pass through the Intranet network 1. However, certain exchanges between these devices were identified by means of arrows. It will now be explained how a terminal 5 or 6 connects to the intranet network 1 and how it will be supervised during the entire duration of its connection to the intranet network 1 with the help of Figure 2. This flow chart is set implemented jointly by the filter 7, the detection device 10, the authentication server 11, the comparison device 12, the decision device 13 and the stimulation device 14.
L'organigramme de la figure 2 commence par une étape 100 de début qui consiste en l'envoi d'un paquet de données par un terminal à destination d'une ressource du réseau Intranet 1 à partir de la partie de réseau 2. A titre d'exemple, on considère que le terminal 5 souhaite se connecter de manière légitime par l'intermédiaire du point d'accès 3 à la partie de réseau 2 pour accéder à des ressources du réseau Intranet 1.The flowchart of FIG. 2 begins with a start step 100 which consists in sending a data packet by a terminal to a resource of the Intranet 1 network from the network part 2. for example, it is considered that the terminal 5 wishes to connect legitimately via the access point 3 to the network part 2 to access resources of the Intranet 1 network.
On considère dans un premier temps que le paquet de données est un message légitime émis par le terminal 5 avant que celui-ci ne soit authentifié. Préalablement à l'envoi de ce premier paquet de données, le terminal 5 a établi une communication radio avec le point d'accès 3. Cette connexion radio n'est pas détaillée car elle se déroule par exemple selon la norme IEEE802.il. Le terminal 5 se connectant par l'intermédiaire du point d'accès 3, celui-ci dispose d'une adresse IP, généralement attribuée par un serveur DHCP (Dynamic Host Configuration Protocol), ainsi qu'une adresse MAC qui est son adresse dans le réseau sans fil. Le paquet de données partant du terminal 5 traverse donc le point d'accès 3 pour être transposé sur la partie de réseau 2 sous forme électronique et est adressé à une ressource située au niveau du réseau Intranet 1. Le paquet de données envoyé traverse alors le dispositif de filtrage 7 qui vérifie si le paquet de données provient d'un utilisateur ou d'un terminal utilisateur autorisé. Ceci est fait au cours d'une étape de test 101. L'étape 101 consiste pour le dispositif de filtrage 7 à vérifier l'adresse d'envoi du paquet de données. Dans le paquet de données reçu, le paquet de données contient l'adresse de réseau de l'expéditeur. Dans ce cas présent, l'adresse de réseau est constituée de l'adresse IP et de l'adresse MAC. Le dispositif de filtrage 7 ayant récupéré cette adresse de réseau, il vérifie parmi ses règles ou critères de filtrage si cette adresse est une adresse autorisée. Si l'adresse est autorisée, c'est que le terminal a été préalablement authentifié. Si l'adresse ne fait pas partie des règles de filtrage qui autorisent l'accès au réseau, c'est que le terminal n'a pas été authentifié comme terminal autorisé à accéder au réseau Intranet 1.It is initially considered that the data packet is a legitimate message sent by the terminal 5 before it is authenticated. Prior to sending this first data packet, the terminal 5 has established a radio communication with the access point 3. This radio connection is not detailed because it is proceeds for example according to the standard IEEE802.il. The terminal 5 connecting via the access point 3, it has an IP address, usually assigned by a DHCP server (Dynamic Host Configuration Protocol), and a MAC address which is its address in the wireless network. The data packet from the terminal 5 therefore passes through the access point 3 to be transposed on the network part 2 in electronic form and is sent to a resource located at the level of the intranet network 1. The sent data packet then traverses the filtering device 7 which checks whether the data packet comes from an authorized user or user terminal. This is done during a test step 101. Step 101 is for the filtering device 7 to check the sending address of the data packet. In the received data packet, the data packet contains the sender's network address. In this case, the network address consists of the IP address and the MAC address. The filtering device 7 having recovered this network address, it checks among its rules or filtering criteria if this address is an authorized address. If the address is authorized, it is because the terminal has been authenticated beforehand. If the address is not part of the filtering rules that allow access to the network is that the terminal has not been authenticated as a terminal authorized to access the Intranet 1.
Si l'adresse de réseau ne correspond pas à un terminal déjà authentifié, alors commence une étape d'authentification 102. Au cours de cette étape d'authentification 102, le dispositif de filtrage 7 redirige le terminal 5 vers le serveur d'authentifîcation 11. Un dialogue est ensuite établi entre le terminal 5 et le serveur d'authentification 11 à travers le filtre 7. Seule cette connexion est autorisée par le filtre 7 pour le terminal répondant à l'adresse du terminal 5. L'authentification se fait généralement par la présentation d'un couple identifiant d'utilisateur et mot de passe à l'aide d'un formulaire de type protégé par exemple à l'aide du protocole SSL. Cette authentification est une authentification bien connue dans le domaine d'Internet et ne nécessite pas de plus amples explications. Le serveur d'authentification 11 ayant reçu l'identifiant de l'utilisateur et son mot de passe de manière cryptée, il vérifie si cette authentification est réussie au cours d'une étape de test 103. Si l'authentification a réussi, alors le serveur d'authentification 11 change les règles du dispositif de filtrage 7, au cours d'une étape 104, et lui indique que le terminal répondant à l'adresse de réseau du terminal 5 est autorisé à se connecter à différentes ressources présentes dans le réseau Intranet 1. Evidemment, ces ressources peuvent être limitées à une petite partie seulement des ressources du réseau Intranet 1 en fonction des droits d'accès découlant de celles attribuées à l'utilisateur.If the network address does not correspond to an already authenticated terminal, then an authentication step 102 begins. During this authentication step 102, the filtering device 7 redirects the terminal 5 to the authentication server 11. A dialogue is then established between the terminal 5 and the authentication server 11 through the filter 7. Only this connection is authorized by the filter 7 for the terminal responding to the address of the terminal 5. Authentication is generally done by presenting a pair of user ID and password using a form of protected type for example using the SSL protocol. This authentication is a well-known authentication in the Internet domain and does not require further explanation. The authentication server 11 having received the user's identifier and its password in an encrypted manner, it checks whether this authentication is successful during a test step 103. If the authentication has succeeded, then the authentication server 11 changes the rules of the filtering device 7, during a step 104, and indicates that the terminal responding to the network address of the terminal 5 is authorized to to connect to different resources present in the intranet network 1. Obviously, these resources can be limited to a small part only of the resources of the intranet network 1 according to the rights of access resulting from those allocated to the user.
Après avoir changé les règles du dispositif de filtrage, une empreinte de référence pour l'identification du terminal 5, qui sera par la suite considérée comme valide, est établie à l'étape 105. Dans un premier temps, le dispositif de stimulation 14 émet un stimulus à destination du terminal 5. Le stimulus est prévu pour que la réponse du terminal 5 soit dépendante de ce stimulus et des caractéristiques de fonctionnement de ce terminal. Le terminal 5 émet une réponse, reçue par le dispositif de détection 10. Le dispositif de détection 10 analyse la réponse et identifie des éléments caractéristiques du fonctionnement du terminal en réponse au stimulus. En comparant par exemple ces éléments au contenu d'une base de connaissance, le dispositif de détection 10 génère une signature représentative des caractéristiques de fonctionnement du terminal 5, tels que la nature de son système d'exploitation ou les services dont il dispose. Le dispositif de détection 10 forme l'empreinte valide comprenant l'adresse réseau (adresse IP et éventuellement adresse MAC) et la signature du terminal. Cette empreinte valide est mémorisée pour une future détection d'usurpation. L'empreinte peut être mémorisée sous toute forme appropriée, par exemple une table associant l'adresse réseau et la signature du terminal. Une fois que l'étape 105 est terminée, l'algorithme de la figure 2 est terminé dans l'attente d'un nouveau paquet de données. Le stimulus et la réponse du terminal peuvent être constitués de plusieurs paquets de données. Le stimulus est par exemple un paquet TCP, UDP ou ICMP. Le dispositif de filtrage 7 vérifie par exemple si un paquet de données envoyé par le terminal 5 en réponse au stimulus comporte des éléments permettant d'identifier le système d'exploitation (OS) du terminal. L'OS d'un terminal peut-être déterminé à partir des paquets TCP qui contiennent des éléments d'information permettant d'identifier l'OS, tels que les paquets disposant d'un drapeau SYN, ACK, SYN/ ACK ou RST à 1. Par ailleurs, il existe également des informations permettant d'identifier l'OS qui sont contenues dans des champs des en-têtes des trames TCP/IP (couches 3 et 4 du modèle OSI). En exploitant les caractéristiques propres des piles TCP/IP développées dans chaque système d'exploitation, on peut déterminer une signature qui lui est propre. Le stimulus peut également viser à obtenir des informations sur les logiciels ou services exécutés sur le terminal 5. Le stimulus peut notamment déterminer si le terminal 5 est protégé par un pare-feu. Le stimulus peut également mesurer des caractéristiques physiques ou réseau de la réponse du terminal, notamment le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé . La réponse du terminal 5 peut notamment dépendre de plusieurs caractéristiques de fonctionnement du terminal. En pratique, toute technique de prise d'empreinte (« fïngerprinting » en anglais) par émission de stimuli peut être adaptée à l'invention. Plusieurs stimuli peuvent être émis afin de recouper les analyses réalisées sur les réponses obtenues. L'empreinte formée est ainsi plus sûre et des faux positifs peuvent ainsi être évités.After changing the rules of the filtering device, a reference fingerprint for the identification of the terminal 5, which will subsequently be considered valid, is set in step 105. In a first step, the stimulation device 14 emits a stimulus to the terminal 5. The stimulus is provided so that the response of the terminal 5 is dependent on this stimulus and the operating characteristics of this terminal. The terminal 5 transmits a response, received by the detection device 10. The detection device 10 analyzes the response and identifies elements characteristic of the operation of the terminal in response to the stimulus. By comparing, for example, these elements with the contents of a knowledge base, the detection device 10 generates a signature representative of the operating characteristics of the terminal 5, such as the nature of its operating system or the services it has. The detection device 10 forms the valid fingerprint comprising the network address (IP address and possibly MAC address) and the signature of the terminal. This valid fingerprint is stored for future spoofing detection. The imprint can be stored in any appropriate form, for example a table associating the network address and the signature of the terminal. Once step 105 is completed, the algorithm of FIG. 2 is finished waiting for a new data packet. The stimulus and the response of the terminal may consist of several data packets. The stimulus is for example a TCP, UDP or ICMP packet. The filtering device 7 checks, for example, whether a data packet sent by the terminal 5 in response to the stimulus has elements making it possible to identify the operating system (OS) of the terminal. The OS of a terminal can be determined from TCP packets that contain information elements allowing to identify the OS, such as packets that have a SYN, ACK, SYN / ACK or RST flag at 1. In addition, there is also information to identify the OS that is contained in fields of TCP / IP frame headers (layers 3 and 4 of the OSI model). By exploiting the specific characteristics of the TCP / IP stacks developed in each operating system, a signature of its own can be determined. The stimulus may also aim at obtaining information on the software or services executed on the terminal 5. The stimulus can notably determine whether the terminal 5 is protected by a firewall. The stimulus may also measure physical or network characteristics of the terminal response, including the delay of retransmission of data in case of non-acknowledgment by the recipient after a predetermined time. The response of the terminal 5 may in particular depend on several operating characteristics of the terminal. In practice, any technique of fingerprinting ("fingerprinting" in English) by stimulus emission can be adapted to the invention. Several stimuli can be emitted in order to cross-check the analyzes carried out on the answers obtained. The formed cavity is thus safer and false positives can be avoided.
Si Pauthentification a échoué, les règles de filtrage restent inchangées et le terminal répondant à l'adresse du terminal 5 n'est pas autorisé à accéder à des ressources du réseau Intranet 1. L'algorithme se termine et le filtre 7 attend un nouveau paquet de données.If the authentication has failed, the filtering rules remain unchanged and the terminal answering the address of the terminal 5 is not allowed to access resources of the intranet network 1. The algorithm ends and the filter 7 waits for a new packet of data.
Après avoir été authentifié, si le terminal 5 renvoie à nouveau un paquet de données pour accéder à l'une des ressources du réseau Intranet 1, alors ce paquet de données fait redémarrer l'organigramme de la figure 2 à l'étape de début 100. Lorsque le dispositif de filtrage 7 effectue le test de l'étape 101, il s'aperçoit que l'adresse correspondant au terminal 5 est une adresse authentifiée qui a le droit d'accéder à certaines ressources du réseau Intranet 1.After being authenticated, if the terminal 5 returns a data packet again to access one of the resources of the intranet network 1, then this data packet restarts the flowchart from FIG. 2 to the start step 100 When the filtering device 7 performs the test of the step 101, it realizes that the address corresponding to the terminal 5 is an authenticated address that has the right to access certain resources of the intranet network 1.
A chaque tentative de connexion et avec une certaine périodicité, le filtre 7 requiert d'établir si le terminal 5 est toujours un terminal autorisé, par une émission de stimulus. La procédure de contrôle peut être réalisée à intervalles réguliers durant la connexion du terminal 5, les intervalles pouvant par exemple être définis par une horloge déclenchant le lancement du contrôle. Les intervalles peuvent être définis par un administrateur du dispositif de filtrage 7.At each connection attempt and with a certain periodicity, the filter 7 requires to establish whether the terminal 5 is still an authorized terminal, by a stimulus emission. The inspection procedure may be carried out at regular intervals during the connection of the terminal 5, the intervals may for example be defined by a clock triggering the launch of the control. The intervals can be defined by an administrator of the filtering device 7.
Lors de l'étape 106, comme lors de l'étape 105, le dispositif de stimulation 14 émet un stimulus à destination du terminal 5. De façon similaire à l'étape 105, le dispositif de détection forme une empreinte comprenant l'adresse réseau (adresse IP et adresse MAC) et la signature du terminal dépendante du stimulus et des caractéristiques de fonctionnement du terminal 5.In step 106, as in step 105, the stimulation device 14 sends a stimulus to the terminal 5. In a similar manner to the step 105, the detection device forms a fingerprint comprising the network address (IP address and MAC address) and the signature of the terminal dependent on the stimulus and operating characteristics of the terminal 5.
Lors de l'étape 107, le dispositif de comparaison 12 compare l'empreinte formée avec l'empreinte valide comportant la même adresse IP et la même adresse MAC. Afin que la comparaison soit significative et ne conduise pas à déterminer de façon erronée des usurpations, les stimuli sont déterminés à l'avance et relativement stables dans le temps, de sorte que l'empreinte valide et l'empreinte formée d'un terminal autorisé ne divergent pas. Si l'empreinte formée n'est pas identique ou pas cohérente avec l'empreinte valide, alors le filtre procède à l'étape 108. L'étape 108, correspond à la réaction du filtre 7 suite à la détection d'une usurpation d'adresse de réseau. Différentes opérations peuvent être réalisées simultanément ou de manière optionnelle, suivant le niveau de sécurité requis. Le paquet de données peut simplement être bloqué au niveau du filtre 7. Au cours de cette étape 108, on peut également émettre une alarme soit au niveau du réseau, soit au niveau du terminal d'un opérateur supervisant le réseau pour indiquer qu'une attaque par usurpation d'adresse vient d'être détectée. Dans l'exemple, le filtre 7 est modifié pour interdire tous les paquets de données provenant de l'adresse de réseau pour laquelle deux empreintes différentes ont été trouvées. Cela signifie que si le terminal légitime désire à nouveau communiquer avec le réseau Intranet 1, celui- ci doit nécessairement repasser par une étape d'authentification. L'organigramme de la figure 2 est terminé, et le filtre 7 attend un nouveau paquet de données.In step 107, the comparison device 12 compares the fingerprint formed with the valid fingerprint having the same IP address and the same MAC address. In order for the comparison to be meaningful and not to erroneously determine spoofing, the stimuli are determined in advance and relatively stable over time, so that the valid fingerprint and the fingerprint formed by an authorized terminal do not diverge. If the imprint formed is not identical or not consistent with the valid imprint, then the filter proceeds to step 108. Step 108 corresponds to the reaction of the filter 7 following the detection of a spoofing. network address. Different operations can be performed simultaneously or optionally, depending on the level of security required. The data packet can simply be blocked at the level of the filter 7. During this step 108, it is also possible to issue an alarm either at the network level or at the terminal of an operator supervising the network to indicate that a Spoofing attack has just been detected. In the example, the filter 7 is modified to prohibit all data packets from the network address for which two different fingerprints were found. This means that if the legitimate terminal wishes to communicate again with the intranet network 1, it must necessarily go through an authentication step. The flowchart of Figure 2 is complete, and the filter 7 is waiting for a new data packet.
Si par contre pour une même adresse de réseau, l'empreinte formée est cohérente ou identique à l'empreinte valide, alors le dispositif de décision 13 effectue l'étape 109. Le dispositif de décision 13 détermine alors s'il existe une autre connexion en cours avec une même adresse réseau et une même signature.If on the other hand for the same network address, the formed fingerprint is coherent or identical to the valid fingerprint, then the decision device 13 performs step 109. The decision device 13 then determines whether there is another connection in progress with the same network address and the same signature.
Si une telle connexion existe, l'étape 111 est réalisée: le paquet de données est autorisé à passer à travers le dispositif de filtrage 7 et les règles de filtrage du filtre 7 sont inchangées. S'il n'y a pas d'autre connexion en cours avec l'empreinte formée à l'étapeIf such a connection exists, step 111 is performed: the data packet is allowed to pass through the filtering device 7 and the filtering rules of the filter 7 are unchanged. If there is no other connection in progress with the fingerprint formed in step
106, le dispositif de décision 13 vérifie à l'étape 110 si une autre connexion est en cours avec la même adresse réseau et sans empreinte formée.106, the decision device 13 checks in step 110 whether another connection is in progress with the same network address and no imprint formed.
Si tel est le cas, le dispositif de décision 13 détermine qu'un autre terminal usurpe l'adresse réseau du terminal 105. L'étape 108 est alors effectuée. Si aucune autre connexion n'est en cours avec l'adresse réseau du terminal 5, l'étape 111 est réalisée. Le dispositif de décision 13 mémorise l'empreinte formée pour réaliser ultérieurement le test de l'étape 109.If this is the case, the decision device 13 determines that another terminal usurps the network address of the terminal 105. Step 108 is then performed. If no other connection is in progress with the network address of the terminal 5, step 111 is performed. The decision device 13 stores the formed fingerprint to subsequently perform the test of step 109.
Les avantages d'un tel contrôle d'accès par rapport à l'état de la technique sont multiples. Tout d'abord, l'homme du métier remarquera que ce contrôle d'accès est utilisable sans aucun impact sur le client lui-même car ce contrôle est tout à fait transparent pour lui. Un tel contrôle d'accès peut être couplé à un contrôle d'accès statique, dans lequel tous les paquets transmis au dispositif de filtrage 7 par le terminal 5 sont contrôlés. Dans ce cas, le risque de détection d'un faux positifThe advantages of such access control compared to the state of the art are multiple. First of all, those skilled in the art will notice that this access control is usable without any impact on the client himself because this control is completely transparent to him. Such access control may be coupled to a static access control, in which all packets transmitted to the filtering device 7 by the terminal 5 are controlled. In this case, the risk of detecting a false positive
(détection erronée d'une usurpation) est sensiblement réduit. Par ailleurs, la seule modification à apporter par rapport à l'architecture d'un réseau de type Intranet intervient uniquement au niveau du dispositif de filtrage 7 pour que celui-ci prenne en compte la vérification d'empreinte en coopération avec le dispositif de détection 10, le dispositif de comparaison 12, le dispositif de décision 13 et le dispositif de stimulation 14. La mise en œuvre du procédé se fait par l'ajout d'un programme d'ordinateur dans le dispositif informatique assurant la fonction de dispositif de filtrage, ce programme d'ordinateur disposant d'instructions logicielles permettant d'exécuter le procédé.(wrong detection of a usurpation) is significantly reduced. Moreover, the only modification to be made in relation to the architecture of an Intranet type network occurs only at the level of the filtering device 7 so that it takes into account the fingerprint check in cooperation with the detection device. 10, the comparison device 12, the decision device 13 and the stimulation device 14. The implementation of the method is done by adding a computer program in the computer device providing the filtering device function , this computer program having software instructions for executing the method.
Autre avantage, cette méthode de contrôle d'accès est relativement complexe à tromper car l'attaquant doit déjà déterminer quels paquets émis par le filtre contiennent les stimuli. Même en connaissant les paquets contenant les stimuli, l'attaquant ne peut connaître très précisément le comportement du terminal légitime en réponse aux stimuli et ne saura donc pas reproduire une réponse aboutissant à une même empreinte. Dans l'hypothèse où la signature générée identifie le système d'exploitation du terminal, l'homme du métier pourrait penser que de très nombreux ordinateurs disposent d'un OS semblable, et que de ce fait une détection basée sur cette signature ne permet pas d'avoir une fiabilité suffisamment importante pour s'affranchir d'un terminal illégitime. Il est vrai que la majeure partie des ordinateurs désirant se connecter à un réseau disposent d'un OS très semblable voire identique, mais ces OS-là sont des OS qui ne permettent pas des attaques complexes avec usurpation d'adresses IP et/ou MAC. En effet, pour réaliser ce type d'attaque, il faut disposer d'un OS permettant à l'utilisateur du terminal illégitime de substituer les adresses d'une connexion. Ces OS étant moins répandus, une signature identifiant l'OS est en pratique un critère relativement fiable.Another advantage is that this access control method is relatively complex to deceive because the attacker must already determine which packets sent by the filter contain the stimuli. Even knowing the packages containing the stimuli, the attacker can not know very precisely the behavior of the legitimate terminal in response to stimuli and will not be able to reproduce a response leading to the same footprint. In the event that the generated signature identifies the operating system of the terminal, the skilled person might think that very many computers have a similar OS, and that therefore a detection based on this signature does not allow to have a reliability important enough to get rid of an illegitimate terminal. It is true that the majority of computers wishing to connect to a network have a very similar or identical OS, but these OS are OS that do not allow complex attacks with spoofing of IP addresses and / or MAC . Indeed, to achieve this type of attack, it is necessary to have an OS allowing the user of the illegitimate terminal to substitute the addresses of a connection. These OS are less widespread, a signature identifying the OS is in practice a relatively reliable criterion.
Par ailleurs, bien que l'exemple présenté décrive la formation de l'empreinte valide suite à l'étape d'authentifïcation, il est également possible dans le cadre de l'invention de former l'empreinte valide lors de la redirection du terminal vers le portail captif, c'est à dire avant le processus d'authentification. Il est préférable de former l'empreinte valide suite à l'étape d'authentification, ce qui évite un déni de service potentiel lors d'une saturation du système de contrôle d'accès due à des envois massifs de demandes d'authentification avec des adresses réseau différentes. Moreover, although the example presented describes the formation of the valid fingerprint following the authentication step, it is also possible in the context of the invention to form the valid fingerprint during the redirection of the terminal to the captive portal, ie before the authentication process. It is preferable to form the valid fingerprint following the authentication step, which avoids a potential denial of service during a saturation of the access control system due to massive requests for authentication with authentication requests. different network addresses.

Claims

REVENDICATIONS
1. Procédé de détection d'usurpation d'adresse à l'aide d'un filtre de données apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, caractérisé en ce que, à réception de données émises par un dispositif connecté à un médium d'accès audit réseau, on effectue les étapes suivantes:1. Method for detecting address spoofing using a data filter able to pass or not data to a network based on filtering criteria, characterized in that, upon receipt of data transmitted by a device connected to a medium of access to said network, the following steps are performed:
-a) émettre un stimulus (106) à destination dudit dispositif, destiné à obtenir du dispositif une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif; -b) réceptionner une réponse du dispositif au stimulus et l'analyser pour former (106) une empreinte d'identification du dispositif comprenant au moins une adresse de réseau dudit dispositif et une signature représentative des caractéristiques de fonctionnement du dispositif; -c) comparer (107) l'empreinte formée avec une empreinte valide d'identification du dispositif;-a) transmitting a stimulus (106) to said device for obtaining a stimulus-dependent response and operating characteristics of the device from the device; -b) receiving a response from the device to the stimulus and analyzing it to form (106) an identification fingerprint of the device comprising at least one network address of said device and a signature representative of the operating characteristics of the device; -c) comparing (107) the imprint formed with a valid identification fingerprint of the device;
-d) si l'empreinte formée comporte une adresse correspondant à l'empreinte valide d'identification du dispositif mais avec une signature différente de celle de l'empreinte valide d'identification du dispositif, détecter une usurpation de l'adresse de réseau dudit dispositif.d) if the imprint formed comprises an address corresponding to the valid identification fingerprint of the device but with a signature different from that of the valid identification fingerprint of the device, detecting a spoofing of the network address of said device; device.
2. Procédé de détection d'usurpation d'adresse selon la revendication 1, dans lequel ladite signature comprend une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système d'exploitation dudit dispositif.The address spoofing detection method according to claim 1, wherein said signature comprises information selected from the following group: the delay of retransmission of data in case of non-acknowledgment by the recipient after a predetermined time, the type of services performed on said device or an identifier of the operating system of said device.
3. Procédé de détection d'usurpation d'adresse selon la revendication 1 ou 2, dans lequel, suite à une détection d'usurpation d'adresse, un critère de filtrage est modifié (108) pour interdire le passage de toutes les données provenant de l'adresse réseau.3. An address spoofing detection method according to claim 1 or 2, wherein, following an address spoofing detection, a criterion of filtering is modified (108) to prohibit the passage of all data from the network address.
4. Procédé de détection d'usurpation d'adresse selon la revendication 1 ou 2, dans lequel, suite à une détection d'usurpation d'adresse, au moins une étape parmi les étapes suivantes est exécutée:An address spoofing detection method according to claim 1 or 2, wherein, following address spoofing detection, at least one of the following steps is executed:
-blocage des données reçues dans le filtre de données, -émission d'une alarme ;- blocking the data received in the data filter, - issuing an alarm;
-modification des critères de filtrage (108) pour interdire le passage de données provenant de l'adresse usurpée.-modification of the filtering criteria (108) to prohibit the passage of data from the spoofed address.
5. Procédé de détection d'usurpation d'adresse selon l'une quelconque des revendications précédentes, comprenant une phase d'authentification (102) dudit dispositif incluant la formation (105) de l'empreinte valide d'identification du dispositif par les étapes a) et b) de la revendication 1.An address spoofing detection method according to any one of the preceding claims, comprising an authentication phase (102) of said device including the formation (105) of the valid identification fingerprint of the device by the steps a) and b) of claim 1.
6. Procédé de détection d'usurpation d'adresse selon l'une quelconque des revendications précédentes, dans lequel l'adresse de réseau comporte une adresse IP et/ou MAC.An address spoof detection method according to any one of the preceding claims, wherein the network address includes an IP address and / or MAC.
7. Procédé de détection d'usurpation d'adresse selon l'une quelconque des revendications précédentes, dans lequel les données sont envoyées selon le protocole TCP et/ou IP.The address spoof detection method according to any one of the preceding claims, wherein the data is sent according to the TCP and / or IP protocol.
8. Dispositif de détection d'usuipation d'adresse à l'aide d'un moyen de filtrage (7, 9) apte à laisser passer ou non des données à destination d'un réseau en fonction de critères de filtrage, comportant:8. Address usuipation detection device using a filtering means (7, 9) capable of passing or not passing data to a network according to filtering criteria, comprising:
-un moyen d'identification apte à identifier l'adresse de réseau d'un dispositif connecté à un médium d'accès au réseau; caractérisé en ce qu'il comporte en outre: -un moyen d'émission (14) d'un stimulus destiné à générer une réponse dépendante du stimulus et de caractéristiques de fonctionnement du dispositif;an identification means able to identify the network address of a device connected to a network access medium; characterized in that it further comprises: means for transmitting (14) a stimulus for generating a stimulus-dependent response and operating characteristics of the device;
-un moyen de détection (10) apte à identifier des paramètres de la réponse au stimulus représentatifs du fonctionnement du dispositif, et apte à former une empreinte d'identification du dispositif comprenant son adresse de réseau et une signature représentative des caractéristiques de fonctionnement du dispositif;detection means (10) capable of identifying stimulus response parameters representative of the operation of the device, and capable of forming an identification fingerprint of the device comprising its network address and a signature representative of the operating characteristics of the device ;
-un moyen de comparaison (12) apte à comparer l'empreinte formée avec une empreinte valide d'identification du dispositif;a comparison means (12) capable of comparing the fingerprint formed with a valid identification fingerprint of the device;
-un moyen de décision (13) apte à détecter une usurpation d'adresse si l'empreinte formée comporte une adresse correspondant à une empreinte valide mais avec une signature différente de celle de l'empreinte valide.a decision means (13) capable of detecting an address spoofing if the imprint formed comprises an address corresponding to a valid imprint but with a signature different from that of the valid imprint.
9. Dispositif de détection d'usurpation d'adresse selon la revendication 8 ou 9, foπnant ladite empreinte d'identification en incluant dans ladite signature une information choisie dans le groupe suivant: le délai de retransmission de données en cas de non acquittement de la part du destinataire au bout d'un temps prédéterminé, le type de services exécutés sur ledit dispositif ou un identifiant du système d'exploitation dudit dispositif.9. Address spoof detection device according to claim 8 or 9, foπnant said identification fingerprint including in said signature information selected from the following group: the data retransmission delay in case of non-payment of the from the recipient after a predetermined time, the type of services performed on said device or an identifier of the operating system of said device.
10. Dispositif de détection d'usurpation d'adresse selon la revendication 8 ou 9, comportant au moins un moyen parmi les moyens suivants: -un moyen de mise à jour apte à modifier un critère de filtrage pour interdire le passage des données correspondant à l'adresse de réseau pour laquelle une usurpation d'adresse est détectée; -un moyen d'alarme apte à émettre une alarme lorsqu'une usurpation d'adresse est détectée.10. The address spoofing detection device according to claim 8 or 9, comprising at least one of the following means: an updating means able to modify a filtering criterion to prohibit the passage of the data corresponding to the network address for which an address spoofing is detected; an alarm means capable of emitting an alarm when an address spoofing is detected.
11. Système informatique comprenant une pluralité de ressources reliées à un même médium de communication (2) caractérisé en ce qu'il comporte un dispositif de détection d'usurpation d'adresse selon l'une quelconque des revendications 8 à 10 reliant le médium de communication à un médium d'accès.11. A computer system comprising a plurality of resources related to a same communication medium (2) characterized in that it comprises an address spoof detection device according to any one of claims 8 to 10 connecting the communication medium to an access medium.
12. Système informatique selon la revendication 11, dans lequel ledit médium d'accès comprend au moins un point d'accès radio (3) ou une prise de connexion (4).The computer system of claim 11, wherein said access medium comprises at least one radio access point (3) or a connection socket (4).
13. Programme d'ordinateur enregistré sur un support lisible par ordinateur, ledit programme comportant des portions de code de logiciel pour l'exécution des étapes du procédé selon l'une quelconque des revendications 1 à 7 lorsque ledit programme est exécuté par un ordinateur. A computer program recorded on a computer readable medium, said program comprising portions of software code for performing the steps of the method according to any one of claims 1 to 7 when said program is executed by a computer.
PCT/FR2006/000160 2005-02-02 2006-01-24 Method and device for detecting address spoofing in a computer network WO2006082296A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0501042A FR2881592A1 (en) 2005-02-02 2005-02-02 Internet protocol and/or medium access control address spoofing detection method, involves detecting spoofing if identification mark, formed by analyzing response for stimulus, has signature different from that in valid identification mark
FR0501042 2005-02-02

Publications (2)

Publication Number Publication Date
WO2006082296A2 true WO2006082296A2 (en) 2006-08-10
WO2006082296A3 WO2006082296A3 (en) 2006-09-28

Family

ID=34955163

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/000160 WO2006082296A2 (en) 2005-02-02 2006-01-24 Method and device for detecting address spoofing in a computer network

Country Status (2)

Country Link
FR (1) FR2881592A1 (en)
WO (1) WO2006082296A2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8151118B2 (en) 2007-01-29 2012-04-03 Microsoft Corporation Master-slave security devices
US8635680B2 (en) 2007-04-19 2014-01-21 Microsoft Corporation Secure identification of intranet network

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003073724A2 (en) * 2002-02-20 2003-09-04 Deep Nines, Inc. System and method for detecting and eliminating ip spoofing in a data transmission network
WO2004025926A1 (en) * 2002-09-16 2004-03-25 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
WO2004042999A1 (en) * 2002-11-06 2004-05-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for preventing illegitimate use of ip addresses

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003073724A2 (en) * 2002-02-20 2003-09-04 Deep Nines, Inc. System and method for detecting and eliminating ip spoofing in a data transmission network
WO2004025926A1 (en) * 2002-09-16 2004-03-25 Cisco Technology, Inc. Method and apparatus for preventing spoofing of network addresses
WO2004042999A1 (en) * 2002-11-06 2004-05-21 Telefonaktiebolaget Lm Ericsson (Publ) Method and arrangement for preventing illegitimate use of ip addresses

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8151118B2 (en) 2007-01-29 2012-04-03 Microsoft Corporation Master-slave security devices
US8635680B2 (en) 2007-04-19 2014-01-21 Microsoft Corporation Secure identification of intranet network
US9143510B2 (en) 2007-04-19 2015-09-22 Microsoft Technology Licensing, Llc Secure identification of intranet network

Also Published As

Publication number Publication date
WO2006082296A3 (en) 2006-09-28
FR2881592A1 (en) 2006-08-04

Similar Documents

Publication Publication Date Title
EP1022922B1 (en) Authentication method establishing a secured channel between a subscriber and a service provider accessed through a telecommunication operator
FR2844941A1 (en) Access method of intranet resource, involves sending verification message from/to either of peer devices at predetermined transmission instants
EP2614458B1 (en) Method of authentification for access to a website
EP1758010A1 (en) Method for authentication of a user in a distributed client/server network environment
FR3041493A1 (en) EQUIPMENT FOR OFFERING DOMAIN NAME RESOLUTION SERVICES
FR3007167A1 (en) METHOD FOR AUTHENTICATING A TERMINAL BY A GATEWAY OF AN INTERNAL NETWORK PROTECTED BY AN ACCESS SECURITY ENTITY
FR2973626A1 (en) INVERSE PROXY RECOVERY MECHANISM
FR3043870A1 (en) METHOD FOR SECURING AND AUTHENTICATING TELECOMMUNICATION
US20050066043A1 (en) System and method for providing physical web security using IP addresses
CN114584386B (en) Global multistage encryption network communication method
WO2007006992A2 (en) Mechanism for protecting h.323 networks for call set-up functions
EP3549047B1 (en) Method for authenticating a terminal apparatus, associated device, server apparatus and computer program
WO2006082296A2 (en) Method and device for detecting address spoofing in a computer network
EP2608590A1 (en) Self-configuration of a device for connecting to a secure wireless network
WO2022137192A1 (en) Method and device for controlling access to a service using a blockchain
EP3087719B1 (en) Method of slowing down a communication in a network
WO2006035137A1 (en) Filtering method and device for detecting a counterfeit address to an information system
EP3270315B1 (en) Method for securely linking a first device to a second device.
FR2895816A1 (en) Communication device e.g. television, configuring method for e.g. Internet network, involves executing automatic configuration program of communication devices based on configuration parameters list downloaded towards data storage device
WO2006134072A1 (en) Method for protection against tampering of a client terminal using a secure connection with a server on a public network
FR2943482A1 (en) Method for securization of data communication request between mobile telephone of user client and Internet network, involves requesting application access date and application downloading date by operator
FR3076638A1 (en) METHOD FOR MANAGING ACCESS TO AN AUTHENTICATION WEB PAGE
FR3007929A1 (en) METHOD FOR AUTHENTICATING A USER OF A MOBILE TERMINAL
FR2955727A1 (en) SECURE METHOD OF ACCESSING A NETWORK AND NETWORK THUS PROTECTED
FR3076153A1 (en) METHOD FOR CREATING REMOTE ELECTRONIC SIGNATURE USING THE FIDO PROTOCOL

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06709159

Country of ref document: EP

Kind code of ref document: A2

WWW Wipo information: withdrawn in national office

Ref document number: 6709159

Country of ref document: EP