Les limites de l'administration réseau
Roland223
Messages postés
43
Statut
Membre
-
ben69 Messages postés 3137 Date d'inscription Statut Contributeur Dernière intervention -
ben69 Messages postés 3137 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
C'est plutôt une question de culture générale qu'un problème que j'expose.
Mettons qu'un admnistrateur met en place un réseau afin d'offrir l'accès internet à plusieurs machines en Wi-Fi.
Le réseau est en accès libre. Cependant,un serveur DHCP est mis en place.Ainsi, tous les utilisateurs sont enregistrés sur le DHCP (adresses MAC). En se connectant donc au réseau, le DHCP leur retourne une adresse IP et autres paramètres déjà prédéfinies, et leur offre ainsi l'accès à internet.
Mettons ensuite que ledit parc informatique est divisé en deux: certains utilisateurs s'y connectent simplement, recoivent leur IP, peuvent accéder à Internet, mais ont des restrictions de navaigation (certains sites leurs sont bloqués par un proxy) (appellons ce mode accès de Type I) mais que d'autres utilisateurs doivent se connecter avec des paramètres IPv4 précis afin de bénéficier d'avantages particuliers (flux de transmissions de données plus rapide notamment, connection plus stable, toujours active, pas de restrictions d'accès aux sites par exemple), que nous appelerons accès de Type II. Ces paramètres IPv4 sont par exemple une IP précise, un masque de sous réseau précis, un DNS primaire/secondaire particuliers.
Le décor est donc planté.
Supposons maintenant qu'un utilisateur a été déjà enregistré sur le DHCP et est a un accès de type I à Internet (avec restrictions). Mais qu'ensuite, qu'après s'être connecté au réseau, il modifie ses paramètres Ipv4 afin de d'autoriser un accès de Type II.
Dans ce cas précis, quelles sont les limites de l'administrateur réseau ? Peut il retrouver le MAC de cet individu ? Son IP véritable (car celle qu'il emploie n'est pas celle qui doit lui être affectée par le DHCP, mais une autre qu'il définit de lui même). comment peut-on l'identifier de façon certaine ?
Merci.
C'est plutôt une question de culture générale qu'un problème que j'expose.
Mettons qu'un admnistrateur met en place un réseau afin d'offrir l'accès internet à plusieurs machines en Wi-Fi.
Le réseau est en accès libre. Cependant,un serveur DHCP est mis en place.Ainsi, tous les utilisateurs sont enregistrés sur le DHCP (adresses MAC). En se connectant donc au réseau, le DHCP leur retourne une adresse IP et autres paramètres déjà prédéfinies, et leur offre ainsi l'accès à internet.
Mettons ensuite que ledit parc informatique est divisé en deux: certains utilisateurs s'y connectent simplement, recoivent leur IP, peuvent accéder à Internet, mais ont des restrictions de navaigation (certains sites leurs sont bloqués par un proxy) (appellons ce mode accès de Type I) mais que d'autres utilisateurs doivent se connecter avec des paramètres IPv4 précis afin de bénéficier d'avantages particuliers (flux de transmissions de données plus rapide notamment, connection plus stable, toujours active, pas de restrictions d'accès aux sites par exemple), que nous appelerons accès de Type II. Ces paramètres IPv4 sont par exemple une IP précise, un masque de sous réseau précis, un DNS primaire/secondaire particuliers.
Le décor est donc planté.
Supposons maintenant qu'un utilisateur a été déjà enregistré sur le DHCP et est a un accès de type I à Internet (avec restrictions). Mais qu'ensuite, qu'après s'être connecté au réseau, il modifie ses paramètres Ipv4 afin de d'autoriser un accès de Type II.
Dans ce cas précis, quelles sont les limites de l'administrateur réseau ? Peut il retrouver le MAC de cet individu ? Son IP véritable (car celle qu'il emploie n'est pas celle qui doit lui être affectée par le DHCP, mais une autre qu'il définit de lui même). comment peut-on l'identifier de façon certaine ?
Merci.
A voir également:
- Les limites de l'administration réseau
- Opérateur de réseau mobile - Guide
- Entrer les informations d'identification reseau - Guide
- Le message n'a pas été envoyé car le service n'est pas activé sur le réseau - Forum Xiaomi
- Mot de passe administrateur - Guide
- Cable reseau player freebox - Forum Freebox
5 réponses
Mettre un Proxy avec authentification directe utilisateur puis des restrictions par groupe ou auto avec un client et un proxy type ISA server ou forefront.
ou faire des réservations DHCP ou Mettre en place 2 groupes avec des vlans ou réseaux différents (don suppose un routeur ou un switch niveau 2 ou un firewall gérant les vlans)
ou faire des réservations DHCP ou Mettre en place 2 groupes avec des vlans ou réseaux différents (don suppose un routeur ou un switch niveau 2 ou un firewall gérant les vlans)
Si réseau Domaine WIndows.
Mettre les Utilisateurs simples Utilisateurs de leur poste ou via GPO (et même si ils sont Administrateurs de leur poste) Interdire l'accès au panneau de configuration, il ne pourront pas changer les paramètres réseau.
Autrement il existent d'autres solutions notamment au niveau de certains switchs on l'on va uniquement autoriser tel ou tel adresses MAC (ou groupe), mais celà reste plus compliqué que d'interdire qq chose soit via proxy ou gpo.
Une adresse IP est toujours véritable mais si elle a été modifiée.....
Mais la plupart des utilisateurs de plus ne savent même pas rentrer une ip + les dns + la passerelle donc...
A+
Mettre les Utilisateurs simples Utilisateurs de leur poste ou via GPO (et même si ils sont Administrateurs de leur poste) Interdire l'accès au panneau de configuration, il ne pourront pas changer les paramètres réseau.
Autrement il existent d'autres solutions notamment au niveau de certains switchs on l'on va uniquement autoriser tel ou tel adresses MAC (ou groupe), mais celà reste plus compliqué que d'interdire qq chose soit via proxy ou gpo.
Une adresse IP est toujours véritable mais si elle a été modifiée.....
Mais la plupart des utilisateurs de plus ne savent même pas rentrer une ip + les dns + la passerelle donc...
A+
Merci pour cette réponse prompte, mais elle ne statisfait pas pleinement mes dernières questions. En parlant de la personne qui 'usurpe des droits d'accès ', qu'en est il de ces points:
- Peut on retrouver le MAC de cet individu ?
- Son IP véritable (car celle qu'il emploie n'est pas celle qui doit lui être affectée par le DHCP, mais une autre qu'il définit de lui même).
- comment peut-on l'identifier de façon certaine ?
Merci!
- Peut on retrouver le MAC de cet individu ?
- Son IP véritable (car celle qu'il emploie n'est pas celle qui doit lui être affectée par le DHCP, mais une autre qu'il définit de lui même).
- comment peut-on l'identifier de façon certaine ?
Merci!
Complément très intéressant..Merci Plebras.
mais...(il me semble que l'on évite soigneusement cette interrogation)...y'a t-il un moyen simple (ou cpmliqué) pour l'administrateur réseau de savoir en temps réel l'adresse MAC et/ou IP de tout utilisateur connecté , histoire de tracer ses activités et de l'identifier formellement ?
mais...(il me semble que l'on évite soigneusement cette interrogation)...y'a t-il un moyen simple (ou cpmliqué) pour l'administrateur réseau de savoir en temps réel l'adresse MAC et/ou IP de tout utilisateur connecté , histoire de tracer ses activités et de l'identifier formellement ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
Tu peux sniffer ton réseau aussi ...
Mais les sécurités mises en place dans las entreprises sont celles énoncées par plebras:
-proxy authentifiés (visible: l'util rentre un nom et un mdp ou invisible, les identifiants d'ouverture de session sont récupérés par NTLM)
-GPO et réstriction des droits de l'utilisateur.
-découpage en sous-réseaux voir en Vlan.
Software is like sex, it's better when it's free... ;-)
Tu peux sniffer ton réseau aussi ...
Mais les sécurités mises en place dans las entreprises sont celles énoncées par plebras:
-proxy authentifiés (visible: l'util rentre un nom et un mdp ou invisible, les identifiants d'ouverture de session sont récupérés par NTLM)
-GPO et réstriction des droits de l'utilisateur.
-découpage en sous-réseaux voir en Vlan.
Software is like sex, it's better when it's free... ;-)
