Imposer l'obtention d'IP via DHCP
Résolu/Fermé
A voir également:
- Imposer l'obtention d'IP via DHCP
- Ethernet n'a pas de configuration ip valide - Guide
- Comment connaître son adresse ip - Guide
- Comment savoir si quelqu'un utilise mon adresse ip - Guide
- Ip local - Guide
- Serveur dhcp - Guide
7 réponses
sdj79
Messages postés
295
Date d'inscription
samedi 16 décembre 2000
Statut
Contributeur
Dernière intervention
30 avril 2013
118
26 oct. 2009 à 19:23
26 oct. 2009 à 19:23
Le niveau de sécurité que tu recherches dépasses mes connaissances actuelles, toutefois en faisant qques recherches, je suis tombé sur deux systemes disponibles sur les switches cisco...
Le premier c'est le DHCP snooping, qui permet d'éviter à un serveur DHCP pirate de pourrir le réseau en bloquant ses offres etc ... Le second c'est l'IP Guard qui se base sur le DHCP Snooping et qui visiblement permettrait de bloquer le traffic venant d'une machine dont l'adresse IP n'aurait pas été obtenue via un serveur DHCP de confiance ou par une ip statique autorisée ...
Voici le lien:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_25_see/configuration/guide/scg/swdhcp82.html#wp1209975
Maintenant je pense que celà ne concerne que le matériel cisco et dans certains cas de figure précis (type, version d'IOS etc ...). Mais peut-être celà pourra-t-il t'aider.
Le premier c'est le DHCP snooping, qui permet d'éviter à un serveur DHCP pirate de pourrir le réseau en bloquant ses offres etc ... Le second c'est l'IP Guard qui se base sur le DHCP Snooping et qui visiblement permettrait de bloquer le traffic venant d'une machine dont l'adresse IP n'aurait pas été obtenue via un serveur DHCP de confiance ou par une ip statique autorisée ...
Voici le lien:
https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_25_see/configuration/guide/scg/swdhcp82.html#wp1209975
Maintenant je pense que celà ne concerne que le matériel cisco et dans certains cas de figure précis (type, version d'IOS etc ...). Mais peut-être celà pourra-t-il t'aider.
tiens la réponse a cette question m'interesse si si tu la trouve ce serai cool de venir la donner :)
je pense que sur certains switch il dois etre possible d'authoriser uniquement certaines adresses mac ces adresses mac etant associées à une ip sur un dhcp le tour est joué.
(je sait que sur les cisco on peut limiter à une seule mac par port mais aucune idée si plus d'options sont disponibles)
mais en pratique, quel équipement accepterai cette configuration aucune idée.
je pense que sur certains switch il dois etre possible d'authoriser uniquement certaines adresses mac ces adresses mac etant associées à une ip sur un dhcp le tour est joué.
(je sait que sur les cisco on peut limiter à une seule mac par port mais aucune idée si plus d'options sont disponibles)
mais en pratique, quel équipement accepterai cette configuration aucune idée.
En théorie, lors de l'obtention d'une adresse en DHCP, le client fait une vérification sur l'adresse qui lui est fournie afin de vérifier si elle n'est pas déjà utilisée sur le réseau (au cas ou par ex si deux serveurs DHCP se tirent dans les pattes). Auquel cas le souci d'une adresse "volée" dans ton pool DHCP n'a pas de grosse influence.
Sinon pour la restriction au niveau de la config, je pense que tout dépend de l'environnement dans lequel tu travailles. Si tu es en domaine windows, le plus simple consiste à placer toutes les machines concernées dans une O.U., et d'y assigner une GPO pour empêcher la modification des paramètres TCP/IP.
Si la crainte vient de machines "non identifiées", il suffit alors de créer une GPO sur l'OU où elles sont ajoutées par défaut.
Au niveau matériel, un filtrage des adresses mac (sur le switch par exemple) peut résoudre partiellement le souci. Mais si qqun est vraiment mal intentionné ça ne l'arrêtera pas indéfiniment.
Sinon pour la restriction au niveau de la config, je pense que tout dépend de l'environnement dans lequel tu travailles. Si tu es en domaine windows, le plus simple consiste à placer toutes les machines concernées dans une O.U., et d'y assigner une GPO pour empêcher la modification des paramètres TCP/IP.
Si la crainte vient de machines "non identifiées", il suffit alors de créer une GPO sur l'OU où elles sont ajoutées par défaut.
Au niveau matériel, un filtrage des adresses mac (sur le switch par exemple) peut résoudre partiellement le souci. Mais si qqun est vraiment mal intentionné ça ne l'arrêtera pas indéfiniment.
En fait, une partie du réseau passe par un domaine active directory, donc pour ces machines, pas de problème puisque seul un admin peut en changer la config...
Le segment Linux est également bien protégé.
Ce qui me dérange, c'est la partie "poubelle" : tout le monde peut y brancher un câble et avoir un accès réseau.
Ce que je veux, c'est garder un certain contrôle sur cette zone...
J'ai un firewall qui bloque presque tout, un proxy qui filtre et met en cache, ...
Mais j'ai rien pour me protéger au niveau de l'obtention des IP, en v4 comme en v6...
Et comme je ne peux rien faire coté client, je suis obligé de chercher un serveur capable de filtrer les clients ayant obtenu leur IP sans demander au DHCP.
Le segment Linux est également bien protégé.
Ce qui me dérange, c'est la partie "poubelle" : tout le monde peut y brancher un câble et avoir un accès réseau.
Ce que je veux, c'est garder un certain contrôle sur cette zone...
J'ai un firewall qui bloque presque tout, un proxy qui filtre et met en cache, ...
Mais j'ai rien pour me protéger au niveau de l'obtention des IP, en v4 comme en v6...
Et comme je ne peux rien faire coté client, je suis obligé de chercher un serveur capable de filtrer les clients ayant obtenu leur IP sans demander au DHCP.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
sdj79
Messages postés
295
Date d'inscription
samedi 16 décembre 2000
Statut
Contributeur
Dernière intervention
30 avril 2013
118
26 oct. 2009 à 18:00
26 oct. 2009 à 18:00
Dans le cas où la zone "poubelle" correspondrait à une zone physique ... par exemple à un switch précis, le plus simple serait peut-être de mettre les ports concernés dans un vlan à part avec son adresse sous-réseau propre et une plage dhcp propre. De sorte qu'en cas de vol d'IP ça n'ait au moins pas d'influence sur le reste du réseau. Que seules les stations "poubelles" soient concernées.
Et dans la même optique, sur les switches reprendant les stations "clean" mettre une sécurité au niveau de la mac adresse genre "mac-adress sticky" avec 1 Max au max pour chaque port.
Par contre pour reconnaitre une machine qui a une IP fixe configurée ... je n'ai pas trop d'idée. Ca m'intéresse fort de voir si qqun a une solution à ce problème.
Et dans la même optique, sur les switches reprendant les stations "clean" mettre une sécurité au niveau de la mac adresse genre "mac-adress sticky" avec 1 Max au max pour chaque port.
Par contre pour reconnaitre une machine qui a une IP fixe configurée ... je n'ai pas trop d'idée. Ca m'intéresse fort de voir si qqun a une solution à ce problème.
Ben justement, c'est ce que j'aimerais pouvoir faire : reconnaître quelqu'un qui a une IP fixe...
Et malheureusement, la couche 1 est commune à toute l'installation ! La séparation des sous-réseaux est uniquement au niveau logique !
Bien sûr, pour les MAC des machines propres, j'impose une sécurité particulière : si la machine ne répond pas correctement, elle est bloquée même si son adresse MAC est connectée au bon endroit.
En gros, j'ai un port TCP ouvert, le serveur envoi une requête à chaque fois que la machine est déconnectée puis reconnectée, et la machine doit s'identifier par une clé privée pour ne pas être bloquée.
Outils créé en interne et tenu plus ou moins secret pour éviter que certains ne tentent de le contourner.
En revanche, pour les machines invitées, j'ai pas grand chose...
Et ce ne sont pas MES machines, donc je ne peux rien faire coté client...
J'ai bien bloqué les adresses MAC improbables (constructeur non déclaré, adresse à la con comme 42:42:42:42:42:42, ...), mais j'aimerais pouvoir isoler ceux qui veulent avoir une IP ailleurs que sur MON DHCP...
Si seulement c'était implémentable simplement sur n'importe quel réseau !
Et malheureusement, la couche 1 est commune à toute l'installation ! La séparation des sous-réseaux est uniquement au niveau logique !
Bien sûr, pour les MAC des machines propres, j'impose une sécurité particulière : si la machine ne répond pas correctement, elle est bloquée même si son adresse MAC est connectée au bon endroit.
En gros, j'ai un port TCP ouvert, le serveur envoi une requête à chaque fois que la machine est déconnectée puis reconnectée, et la machine doit s'identifier par une clé privée pour ne pas être bloquée.
Outils créé en interne et tenu plus ou moins secret pour éviter que certains ne tentent de le contourner.
En revanche, pour les machines invitées, j'ai pas grand chose...
Et ce ne sont pas MES machines, donc je ne peux rien faire coté client...
J'ai bien bloqué les adresses MAC improbables (constructeur non déclaré, adresse à la con comme 42:42:42:42:42:42, ...), mais j'aimerais pouvoir isoler ceux qui veulent avoir une IP ailleurs que sur MON DHCP...
Si seulement c'était implémentable simplement sur n'importe quel réseau !
Effectivement, ça m'aide beaucoup !
Malheureusement, je n'ai pas le matériel compatible à l'heure actuelle et on a déjà explosé le budget de l'année...
Ce n'est hélas pas implémentable chez madame Michu (tant pis, je ferais pas ça chez moi pour emm***** les copains qui squattent ;) ), mais sur un réseau professionnel, c'est assez utile.
Faudra que je vois plus en détail ces systèmes de protection, mais ça me semble assez adapté à ce que je recherche !
MERCI BEAUCOUP !
Malheureusement, je n'ai pas le matériel compatible à l'heure actuelle et on a déjà explosé le budget de l'année...
Ce n'est hélas pas implémentable chez madame Michu (tant pis, je ferais pas ça chez moi pour emm***** les copains qui squattent ;) ), mais sur un réseau professionnel, c'est assez utile.
Faudra que je vois plus en détail ces systèmes de protection, mais ça me semble assez adapté à ce que je recherche !
MERCI BEAUCOUP !