PC Hors domaine - Aucunne adresse IP [Fermé]

Signaler
Messages postés
6
Date d'inscription
mercredi 10 décembre 2014
Statut
Membre
Dernière intervention
11 décembre 2014
-
Messages postés
10084
Date d'inscription
jeudi 30 juin 2005
Statut
Contributeur
Dernière intervention
12 janvier 2021
-
Bonjour à tous,

J'aimerai vous exposer mon problème car j'ai remarqué que peut de personne sur divers forums, ne sache pas trouver de solution à ce problème.

Mon problème est le suivant :

Imaginons que j'ai un PC hors domaine, qui vient se connecter sur mon réseau.
Le DHCP joue son rôle, il attribue une adresse IP à ce dernier. Le PC a accès à internet est tout le monde est content.

Le problème est que dans mon réseau le PC en question a accès à un lecteur réseau qu'on nommera "ToutLeMonde". Ce lecteur a la particularité d'être ouvert à tous.

En gros, ce que je voudrais (et la sa va être bizarre) c'est que dès que l'utilisateur se connecte sur mon réseau, le DHCP détecte qu'il n'est pas dans mon domaine est donc ne le donne pas d'adresse IP.

J'ai penser au GPO, MBSA, VLAN... Mais sans succès.

Cordialement,

Thousandearth.

8 réponses

Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
400
Bonjour,

Alors il faut voir le problème de différentes façons.

MBSA ? je ne voies pas le lien ici.

GPO : à quoi avez vous pensé ?

VLAN : sans succès ?

-

Dans un premier temps, il faut surement revoir les droits donnés au partage , au moins on limite.
En cas de pénétration, on s'assure que ce n'est pas exposé.

-

Outre ce point, le problème se situe sur les accès physiques au réseau.
Je suppose que vous parlez d'accès via Ethernet, car vous ne l'avez pas indiqué.
On peut faire de même pour le wifi.

Je vais supposer qu'on parle d'accès filaire.
-

On peut faire du mac locking sur les switchs : on associe une mac à un port du switch. C'est fastidieux à mettre en place, mais la plus simple techniquement.
Si on est sur une faible population c'est gérable. (50 clients c'est pas la mort, 25 000 , on en re discute).

-

Il y avait une fonctionnalité de mac filtering sur le DHCP windows.
En gros on a une liste "acceptées" et une liste "refusées".
Je n'ai pas d'expérience sur cette méthode. Elle a l'air facilement réalisable.
En anglais ça s'appelle le link layer filtering. (DHCP sous 2008 minimum)

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd759259(v=ws.11)?redirectedfrom=MSDN

-

Après on peut sortir la grosse usine : 802.1.x
En gros le switch va fermer ou ouvrir le port où une machine se connecte.
Il vérifie via Radius si la machine peut se connecter. Si les informations de la stratégie d'accès ne matchent pas, le switch n'ouvre pas le port.

Le terme "peut se connecter" est vague : on paramètre des stratégies d'accès, cela peut être une authent par certificats (PEAP), simple mot de passe, MS-CHAP etc ...
J'ai uniquement testé avec certificats ; mais je suppose qu'il y a moyen de faire plus simple et de matcher que la machine appartient au domaine par exemple.

Par contre : il faut des switchs qui sachent le faire. Ca demande de configurer les switchs, et d'installer un serveur Radius ; de configurer les stratégies d'accès.
En gros, les tests sont plus lourds et techniquement c'est plus compliqué.

(cette méthode/technique peut évoluer pour aller vers du NAP/NAC ...)

-

Je miserai sur le Link Layer filtering dans DHCP qui est plus simple à mettre en oeuvre.



Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci

Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
400
J'ajoute un point que je n'avais pas cité.

Certes le Link Layer filtering (ou tout autre méthode de filtre sur le DHCP) ne permet pas d'éviter la pénétration sur la couche d'accès.

Je m'attribue une IP fixe et je peux quand même accéder au réseau ...

Le mac locking sur les switchs peut permettre d'éviter cela.
Le 802.1.x aussi.
Mais pas les filtres au niveau DHCP.
Messages postés
189
Date d'inscription
vendredi 21 février 2014
Statut
Membre
Dernière intervention
30 janvier 2015
43
Bonjour Thousandearth,
Tu veux bloquer q'un seul PC ou tous les PC qui se connectent, y-a-t-il beaucoup de PC sur ton réseau ?
Tu peux essayer soit avec les adresses MAC pour interdire de récupérer une IP, soit donner des @ fixe à tes PC et interdire au DHCP d'attribuer une IP aux PC de "passage".
Voila une petite piste.

Bonne continuation.

Messages postés
6
Date d'inscription
mercredi 10 décembre 2014
Statut
Membre
Dernière intervention
11 décembre 2014

Bonjour Aurelazy,

Je veux bloquer tous les PC hors de mon domaine, et je dois avoir plus de 200 PC sur mon réseau.
Messages postés
6
Date d'inscription
mercredi 10 décembre 2014
Statut
Membre
Dernière intervention
11 décembre 2014

Bonjour Kelux,

Tout d'abord je te remercie pour ta réponse très bien détaillé.

En effet, ma question était mal formulé, quand je parlais de l'utilisateur qui se connecte, je parlais bien évidemment d'une connexion par câble.

Je pense entreprendre la première méthode, Le Link Layer Filtering. Malgré ces quelques inconvénients, tels que le Wifi et l'adresse IP statique.
Mais bon en général l'utilisateur n'a aucune information sur nos adresses réseaux et nos clefs WIFI.

Je garde quand même en réserve l'idée du serveur Radius qui peut être pas mal.

Je vous remercie pour votre aide. Je test tout sa et je vous retiens au courant.

Cordialement,

Thousandearth
Messages postés
6
Date d'inscription
mercredi 10 décembre 2014
Statut
Membre
Dernière intervention
11 décembre 2014

Par contre juste une dernière petite question si j'ai un VPN cela va t'il poser un soucis ?
Messages postés
96516
Date d'inscription
lundi 16 juillet 2001
Statut
Modérateur
Dernière intervention
12 janvier 2021
11 386
ça dépend du type de vpn,
si c'est pptp sur un serveur d'accès distant, les plages accès distant peuvent être gérées sur le dhcp.
C'est à étudier au coup par coup.
Mais en gros le dhcp ne concerne que les PC du lan.
par contre,
je ne comprends pas bien, le serveur "partage tout le monde" est sur le domaine ou pas ?
si il est sur le domaine, les PC hors domaine, même si les autorisations sont sur "tout le monde" ne devraient pas accéder.
Reste que tu devrais quand même configurer tes switchs pour bloquer les connexions pirates.
Messages postés
3011
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
12 novembre 2020
400
Je n'ai aucune expérience la dessus, notamment pour répondre à cette problématique.

Je ne sais pas si ça fonctionne par range ou non.

S'il y a du VPN, je suppose que c'est une range différente qui est distribuée.
Si le filtre marche par range, alors ça devrait être bon.

C'est un test qu'il faut vérifier ;)

Je ne sais pas l'adresse mac qui est envoyée pour la demande de bail lorsque l'un client le fait par VPN, j'ai un trou. Il faut regarder sur les baux existant pour avoir une première idée.

Using a registry "compactor" on top of a registry "cleaner" would be equivalent to rinsing your throat with a swig of Jack Daniels after swallowing a pint of snake oil....
Messages postés
10084
Date d'inscription
jeudi 30 juin 2005
Statut
Contributeur
Dernière intervention
12 janvier 2021
6 546
Bonjour,

vous pouvez aussi mettre en place une infrastructure NAP (network access protectection) dans NPS (network policy server).
vous pouvez établir des stratégies d'intégrité qui définissent des contraintes (par exemple le logiciel, les mises à jour de sécurité et la configuration requis) que vous voulez imposer aux ordinateurs qui se connectent à votre réseau.
NAP met en oeuvre des stratégies de contrôle d'intégrité en inspectant et en évaluant l'intégrité des ordinateurs clients, en limitant l'accès réseau des ordinateurs clients non conformes à la stratégie de contrôle d'intégrité et en les mettant à jour pour les rendre conformes à la stratégie de contrôle d'intégrité avant de leur accorder un accès réseau complet. La protection d'accès réseau (NAP) applique les stratégies d'intégrité sur les ordinateurs clients qui tentent de se connecter à un réseau. Elle procure également l'application continue de la conformité de l'intégrité pendant qu'un ordinateur client est connecté à un réseau.

voir cet exemple du labo microsoft tres bien détaillé https://labo-microsoft.supinfo.com/articles/NPS_Configuration/1/Default.asp/#_Toc282547324


Cordialement.