6 réponses
Je précise également que je suis dans une architecture composée de switchs Cisco Catalyst 2960. Je souhaite travailler sur les postes de travail afin de sécurisé au mieux mon réseau, des intrusions extérieurs mais aussi intérieurs.
Le fait est que je suis dans une architecture en pyramide. J'ai des serveurs DHCP "de proxymité" et un serveur DHCP central. Toutes les modifications se faisant sur le serveur central et sont automatiquement répliqués sur les serveurs DHCP de proxymité. De plus j'ai déjà paramétrer le protocole DHCP snooping sur mes switchs Cisco afin qu'aucun autre serveur DHCP (à par ceux que j'ai mis comme des serveurs de confiance) ne puisse répondre à une demande de bail.
Mon problème est qu'un poste "pirate" pourrait débrancher une de mes stations et se faire passer pour celle-ci.
C'est pourquoi je souhaiterai soit que mes postes de travail fassent une demande de bail à un serveur en particulier, ou bien que le serveur DHCP puisse vérifier que le compte machine existe bien dans le contrôleur de domaine, tout cela avant de fournir un bail. Ou tout autre solution qu'un poste pirate ne pourrai connaître et qui me permettrai de l'éjecter de mon réseau.
Mon problème est qu'un poste "pirate" pourrait débrancher une de mes stations et se faire passer pour celle-ci.
C'est pourquoi je souhaiterai soit que mes postes de travail fassent une demande de bail à un serveur en particulier, ou bien que le serveur DHCP puisse vérifier que le compte machine existe bien dans le contrôleur de domaine, tout cela avant de fournir un bail. Ou tout autre solution qu'un poste pirate ne pourrai connaître et qui me permettrai de l'éjecter de mon réseau.
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
21 oct. 2008 à 10:59
21 oct. 2008 à 10:59
que le serveur DHCP puisse vérifier que le compte machine existe bien dans le contrôleur de domaine
non, ça ça n'est pas possible , je pense .
par contre, pourquoi ne mets tu pas de l'authentification 802.1x ?
c'est tout de même fait pour cela .
non, ça ça n'est pas possible , je pense .
par contre, pourquoi ne mets tu pas de l'authentification 802.1x ?
c'est tout de même fait pour cela .
C'est bien prévu, mais dans la boite où je travail et compte tenu de notre architecture assez importante, la mise en place du 802.1x et/ou NAQ se fera par la suite, avec un petit temps de retard par rapport au DHCP. Par conséquent il me faut une solution "provisoire" pour sécurisé le DHCP.
NB : Pour ce qui est de la recherche du compte machine dans le contrôleur de domaine et dans la demande de bail, on sait faire (par un petit script), mais mon chef ne veux pas de cette solution... Donc je cherche et je demande des conseils.
PS : Merci pour tes réponses Brupala
NB : Pour ce qui est de la recherche du compte machine dans le contrôleur de domaine et dans la demande de bail, on sait faire (par un petit script), mais mon chef ne veux pas de cette solution... Donc je cherche et je demande des conseils.
PS : Merci pour tes réponses Brupala
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
21 oct. 2008 à 11:12
21 oct. 2008 à 11:12
NB : Pour ce qui est de la recherche du compte machine dans le contrôleur de domaine et dans la demande de bail, on sait faire (par un petit script)
interroger AD, OK ,
mais tu ne peux contrôler que par rapport à l'adresse mac à ce niveau , et ,
si j'ai bien compris, ce que tu redoutes, c'est le mac spoofing .
interroger AD, OK ,
mais tu ne peux contrôler que par rapport à l'adresse mac à ce niveau , et ,
si j'ai bien compris, ce que tu redoutes, c'est le mac spoofing .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lors d'une demande de bail, le poste transmet aussi sont nom de poste. Or sur mon réseau le nom de poste est standardisé. Donc on récupère se nom de poste et s'il entre dans la norme, alors on lui attribue une IP. Sinon le poste n'obtient pas de bail. Ainsi on peut vérifier si le nom de poste correspond à un compte machine dans AD.
Pour le contrôle de l'adresse MAC, on y a pensé, mais on à l'heure actuelle, pas de serveur radius assez puissant pour gérer les quelques 6000 adresses MAC du réseau....
Pour le contrôle de l'adresse MAC, on y a pensé, mais on à l'heure actuelle, pas de serveur radius assez puissant pour gérer les quelques 6000 adresses MAC du réseau....
brupala
Messages postés
109406
Date d'inscription
lundi 16 juillet 2001
Statut
Membre
Dernière intervention
18 avril 2024
13 617
21 oct. 2008 à 10:33
21 oct. 2008 à 10:33
salut,
afin de réduire au maximum les broadcast dhcp , et si tu disposes d'un bon stock d'adresses dynamiques , tu peux augmenter largement le bail dhcp , à plusieurs mois, ainsi, tout le temps que le bail sera valable, la demande se fera toujours au même serveur sans dhcp discover .
sinon,
tu as plusieurs serveurs dhcp sur le même réseau local ou bien d'autres sont en dehors , plus loin .
quand on a des serveurs dhcp différents , on ne les met pas sur le même réseau local, mais on met ceux de secours sur des sous réseaux éloignés pour qu'ils répondent après le serveur principal , le demandeur prenant toujours la réponse la plus rapide .
je ne te conseille pas d'aller bidouiller le protocole pour interroger toujours le même serveur, sinon, il ne sert à rien d'en avoir plusieurs : en effet en cas de pd'arrêt de celui ci, tu n'aurais pas moyen d' aller chercher les réponses d'un autre .
afin de réduire au maximum les broadcast dhcp , et si tu disposes d'un bon stock d'adresses dynamiques , tu peux augmenter largement le bail dhcp , à plusieurs mois, ainsi, tout le temps que le bail sera valable, la demande se fera toujours au même serveur sans dhcp discover .
sinon,
tu as plusieurs serveurs dhcp sur le même réseau local ou bien d'autres sont en dehors , plus loin .
quand on a des serveurs dhcp différents , on ne les met pas sur le même réseau local, mais on met ceux de secours sur des sous réseaux éloignés pour qu'ils répondent après le serveur principal , le demandeur prenant toujours la réponse la plus rapide .
je ne te conseille pas d'aller bidouiller le protocole pour interroger toujours le même serveur, sinon, il ne sert à rien d'en avoir plusieurs : en effet en cas de pd'arrêt de celui ci, tu n'aurais pas moyen d' aller chercher les réponses d'un autre .
