Spoofing d'IP
Narowen
Messages postés
181
Statut
Membre
-
Narowen Messages postés 181 Statut Membre -
Narowen Messages postés 181 Statut Membre -
Bonjour,
J'ai un réseau d'environ 200 utilisateurs membre d'un domaine et client DHCP. Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable. Ils doivent avoir les mêmes accès que les postes de l'entreprise. le problème est apparu très rarement et sans mauvais intention mais je préfère prendre les devants pour éviter des ennuis futures.
Imaginons que je sois un petit bidouilleur et que je souhaite tester un truc. Je ping le serveur (d'annuaire, DHCP, DNS,...) et je chope son adresse IP. Je me connecte ensuite au réseau (soit en branchant le câble réseau d'un post fixe soit via le WiFi de l'entreprise ) en utilisant l'adresse du serveur. Il y aura ensuite un conflit d'adresse et sauf erreur mon serveur ne pourra plus répondre au client. Mon réseau n'est composé que d'un seul sous-réseau. Il peut aussi prend simplement une adresse aléatoire du pool et lorsque l'utilisateur client DHCP se connectera et obtiendra la même adresse il y aura un conflit d'adresse et cette personne ne pourra pas accéder aux ressources réseaux le bidouilleur non plus d'ailleurs.
Ma question est la suivante : Comment empêcher un des utilisateurs ayant un portable lui appartenant de se connecter à mon réseau en ayant une adresse IP manuel qu'il a configuré lui-même ?
J'ai un réseau d'environ 200 utilisateurs membre d'un domaine et client DHCP. Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable. Ils doivent avoir les mêmes accès que les postes de l'entreprise. le problème est apparu très rarement et sans mauvais intention mais je préfère prendre les devants pour éviter des ennuis futures.
Imaginons que je sois un petit bidouilleur et que je souhaite tester un truc. Je ping le serveur (d'annuaire, DHCP, DNS,...) et je chope son adresse IP. Je me connecte ensuite au réseau (soit en branchant le câble réseau d'un post fixe soit via le WiFi de l'entreprise ) en utilisant l'adresse du serveur. Il y aura ensuite un conflit d'adresse et sauf erreur mon serveur ne pourra plus répondre au client. Mon réseau n'est composé que d'un seul sous-réseau. Il peut aussi prend simplement une adresse aléatoire du pool et lorsque l'utilisateur client DHCP se connectera et obtiendra la même adresse il y aura un conflit d'adresse et cette personne ne pourra pas accéder aux ressources réseaux le bidouilleur non plus d'ailleurs.
Ma question est la suivante : Comment empêcher un des utilisateurs ayant un portable lui appartenant de se connecter à mon réseau en ayant une adresse IP manuel qu'il a configuré lui-même ?
A voir également:
- Spoofing d'IP
- Ethernet n'a pas de configuration ip valide - Guide
- Télévision ip - Guide
- Comment connaître son adresse ip - Guide
- Ip local - Guide
- Adresse ip - Guide
10 réponses
Salut,
Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable
C'est mal.
Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable
C'est mal.
C'est ce que je me tue à expliquer à la direction mais ils veulent pas comprendre... J'essaye de faire au mieux dans ces circonstances.
bha faut des swichs qui gèrent le filtrage MAC
ou faire des vlan avec du filtrage MAC.
Comme ça les PC dont tu as pas accepté les adresses MAC se font jeter.
Mais ça règle pas le prb de ceux qui viennent avec des portables persos et qui sont autorisés.... et qui ont des PC pourris au final...
Parce que dans ces cas là, les merdes sont pas forcément intentionnelles....
Si le mec branche son portable et qu'il y a un rbot/sdbot dessus, tu pourries tout le réseau....
Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond.
ou faire des vlan avec du filtrage MAC.
Comme ça les PC dont tu as pas accepté les adresses MAC se font jeter.
Mais ça règle pas le prb de ceux qui viennent avec des portables persos et qui sont autorisés.... et qui ont des PC pourris au final...
Parce que dans ces cas là, les merdes sont pas forcément intentionnelles....
Si le mec branche son portable et qu'il y a un rbot/sdbot dessus, tu pourries tout le réseau....
Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond.
Réserve leur adresse grâce aux adresses mac ( c'est chiant ouai. Je sais )
bloque la plage qui n'est pas utilisée. M'enfin c'est bancal comme solution.
bloque la plage qui n'est pas utilisée. M'enfin c'est bancal comme solution.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
tu ne peux pas empêcher qu'ils se connectent avec des adresses fixes valides sur le réseau à partir du moment où ils ont le droit de se connecter avec une adresse dhcp.
la seule possibilité, serait de les empêcher de configurer leur carte réseau par une GPO, mais comme ils sont admins de leur poste et que de toute façon il n'est pas membre du domaine ...
Il faudrait expliquer aux responsables que cette façon de gérer un réseau est en dessous de tout au niveau sécurité et que tu t'en laves les mains en cas de problème.
PS,
heureusement que windows désactive l'interface réseau tout seul en cas de duplicate adresse, sinon ne te dis pas le bazar si l'un d'eux décide de configurer l'adresse d'un serveur sur son poste.
tu ne peux pas empêcher qu'ils se connectent avec des adresses fixes valides sur le réseau à partir du moment où ils ont le droit de se connecter avec une adresse dhcp.
la seule possibilité, serait de les empêcher de configurer leur carte réseau par une GPO, mais comme ils sont admins de leur poste et que de toute façon il n'est pas membre du domaine ...
Il faudrait expliquer aux responsables que cette façon de gérer un réseau est en dessous de tout au niveau sécurité et que tu t'en laves les mains en cas de problème.
PS,
heureusement que windows désactive l'interface réseau tout seul en cas de duplicate adresse, sinon ne te dis pas le bazar si l'un d'eux décide de configurer l'adresse d'un serveur sur son poste.
Merci pour vos réponses. J'ai une GPO qui désactive la configuration de la carte réseau mais comme il ne se connecte pas sur le domaine, ça ne sert à rien.
D'après ce que vous me dites, la seul solution que je vois c'est d'autoriser uniquement la connexion aux personnes connecté sur le domaine et donc sous l'effet de mes GPO. Est-ce qu'un tel solution est possible ? Je sais qu'à présent avec NAP on peut interdira l'accès réseau si certaines conditions ne sont pas remplis comme antivirus à jour etc... pourrait-on tester si l'utilisateur est connecté au domaine et refuser la connexion si cette condition n'est pas remplis ?
D'après ce que vous me dites, la seul solution que je vois c'est d'autoriser uniquement la connexion aux personnes connecté sur le domaine et donc sous l'effet de mes GPO. Est-ce qu'un tel solution est possible ? Je sais qu'à présent avec NAP on peut interdira l'accès réseau si certaines conditions ne sont pas remplis comme antivirus à jour etc... pourrait-on tester si l'utilisateur est connecté au domaine et refuser la connexion si cette condition n'est pas remplis ?
bha c'est super limité la GPO dans son cas de figure....
si c'est des portables, s'il a une IP fixe déjà utilisée, c'est dans le cas où il a branché son portable chez un pote qui a la mm plage d'IP.... il branche ça va merder.
Au pire la GPO va plus le faire chier pour remettre comme il faut qu'autre chose (enfin il ouvre une session local et voila).
Si le gars est bidouilleur comme il le dit, il va pas s'embéter, il va se foutre en DHCP....
Et dans le cas d'un bidouilleur qui veux "nuir" bha la GPO ça servira à rien.
Ca reste de la bidouille qui va servir à rien, à mon avis.
si c'est des portables, s'il a une IP fixe déjà utilisée, c'est dans le cas où il a branché son portable chez un pote qui a la mm plage d'IP.... il branche ça va merder.
Au pire la GPO va plus le faire chier pour remettre comme il faut qu'autre chose (enfin il ouvre une session local et voila).
Si le gars est bidouilleur comme il le dit, il va pas s'embéter, il va se foutre en DHCP....
Et dans le cas d'un bidouilleur qui veux "nuir" bha la GPO ça servira à rien.
Ca reste de la bidouille qui va servir à rien, à mon avis.
Dans tous les cas, si c'est un PC perso qui n'est pas memebre du domaine comme dit plus haut, la GPO de ne s'appliquera pas, elle n'est utile que sur des PC appartenant au domaine.
Ce qu'il faut faire là, c'est mettre les PC "invités" dans un réseau IP à part de préférence derrière un firewall bien configuré, pour que s'ils bidouillent leur adresse pour y mettre des adresses sensibles du réseau au moins, le routeur ne puisse pas les router.
Ce qu'il faut faire là, c'est mettre les PC "invités" dans un réseau IP à part de préférence derrière un firewall bien configuré, pour que s'ils bidouillent leur adresse pour y mettre des adresses sensibles du réseau au moins, le routeur ne puisse pas les router.
Salut,
Ça doit être la fête aux merdes sur le réseau, woohoo !
Dans ma boite, tu branche pas ton PC sur le réseau.
Aucun PC perso n'est autorisé, pas de DHCP (uniquement sur les 2 3 bornes wifi qu'on a).
C'est peut être chiant, de faire à la main les paramètres réseaux, mais au moins, ya rien qui traine dessus..
Aucun droits sur les PC (si ils veulent installer, ou changer un truc, faut en faire la demande).
Enfin le gars qui fait ce genre de chose, il se fait chier pour pas grand chose, et faut s'y connaitre un minimum quand même..
Ça doit être la fête aux merdes sur le réseau, woohoo !
Dans ma boite, tu branche pas ton PC sur le réseau.
Aucun PC perso n'est autorisé, pas de DHCP (uniquement sur les 2 3 bornes wifi qu'on a).
C'est peut être chiant, de faire à la main les paramètres réseaux, mais au moins, ya rien qui traine dessus..
Aucun droits sur les PC (si ils veulent installer, ou changer un truc, faut en faire la demande).
Enfin le gars qui fait ce genre de chose, il se fait chier pour pas grand chose, et faut s'y connaitre un minimum quand même..
Hmm ce sont des étudiants donc il y en a pas mal qui s'y connaissent un peu et faire un ping puis changer sa configuration IP c'est pas une manip. très compliqué.
Pourquoi ne pas créer une étendue supplémentaire pour éviter les conflits ?
Pourrais-tu être plus précis dans ta réponse stp. Je vois à peu près où tu veux en venir corrige moi si je me trompe. Je créé un nouveau sous-réseau exemple 10.210.23.0 /24 et 10.210.24.0 /24 je met tout les ordinateurs de l'entreprise dans un segment et les bornes wifi (portables des employers) dans un autre segment.
Disons que l'adresse du serveur est 10.210.23.3 Je suis un employer malintentionné et je me connecte au sous-réseau 10.210.24.0 /24 je modifie ensuite mes paramètres IP ma nouvelle adresse fixe est la même que le serveur c'est à dire 10.210.23.3 /24 Je suis d'accord que les postes de mon premier sous-réseau c'est à dire ceux de l'entreprise n'auront aucun problème mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
Disons que l'adresse du serveur est 10.210.23.3 Je suis un employer malintentionné et je me connecte au sous-réseau 10.210.24.0 /24 je modifie ensuite mes paramètres IP ma nouvelle adresse fixe est la même que le serveur c'est à dire 10.210.23.3 /24 Je suis d'accord que les postes de mon premier sous-réseau c'est à dire ceux de l'entreprise n'auront aucun problème mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
Salut,
mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
non ils ne devraient pas être gênés plus que les autres, car pour eux le serveur est sur un autre réseau, donc ils vont faire l'arp avec le routeur vers l'autre réseau, pas en local: ils ne pourront donc pas communiquer avec la machine qui a usurpé l'adresse car elle n'est pas dans le réseau IP qui convient: cette adresse ip hors réseau sera inaccessible de tout le monde (même depuis le routeur).
mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
non ils ne devraient pas être gênés plus que les autres, car pour eux le serveur est sur un autre réseau, donc ils vont faire l'arp avec le routeur vers l'autre réseau, pas en local: ils ne pourront donc pas communiquer avec la machine qui a usurpé l'adresse car elle n'est pas dans le réseau IP qui convient: cette adresse ip hors réseau sera inaccessible de tout le monde (même depuis le routeur).
Une manière simple mais que je sais pas comment l'appliquer, tu prend tes 200 pc et tu prend leur adresse mac. Tu fais de sorte à ce que le serveur n'accepte que les adresse mac. A partir de la je ne sais pas dutout comment on fait ça mais à titre de comparaison les anciennes générations de livebox ne pouvaient pas établir de connection tant que tu n'avait pas appuyé sur un bouton pour lui faire accepter les adresses mac qui vont tenter de se connecter dans les 10 min suivantes.
ça ne règle aucun problème. Si je prend toutes les MAC des portables ce qui est déjà très compliqué car ils n'appartiennent pas à l'entrepris je serais forcé de les ajouter dans ce filtre par MAC car ces portables sont autorisé dans le réseau et ils pourront ensuite changer à leur guise la configuration IP ce que je ne souhaite pas.
