DHCP un peu spécial

Le
Tr
Bonjour,

est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:

lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête de
demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il
bloque la demande et avertit une boite aux lettre ou mécanisme
équivalent.
Ensuite, seule une intervention manuelle d'un opérateur pour valider la
demande peut permettre au processus dhcp de continuer.

C'est possible ça?

merci pour vos pistes.

--
L'intelligence ne se défend pas, elle se constate. (Réflexion)
tranquille.xav@gmail.com
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le Forgeron
Le #20781681
Le 16/12/2009 15:10, nous fit lire :
Bonjour,

est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:

lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête de
demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il bloque
la demande et avertit une boite aux lettre ou mécanisme équivalent.
Ensuite, seule une intervention manuelle d'un opérateur pour valider la
demande peut permettre au processus dhcp de continuer.

C'est possible ça?



Bloquer la demande, non (un autre pourrait répondre, c'est la joie des
broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs DHCP...
parfois par maladresse, d'autres fois par bêtise, et parfois à raison,
si si!).
Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des serveurs
DHCP. (c'est typiquement ce que propose les interfaces de FAI et les
modem-routeur-ADSL avec serveur dhcp incorporé)
Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.

La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son IP &
masque, sa gateway et ses DNS, met la mienne à la place et paf le
réseau), mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).

Maintenant, si votre câblage est encore en coaxial, ça va être délicat.

merci pour vos pistes.



Tr
Le #20782071
*Ecrit* *par* *Le Forgeron*:
Le 16/12/2009 15:10, nous fit lire :
Bonjour,

est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:

lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac
address, donc en gros il vérifie s'il connait l'adresse mac
demandante en parcourant sa base (en gros) et s'il ne connait pas
cette mac, il bloque la demande et avertit une boite aux lettre ou
mécanisme équivalent. Ensuite, seule une intervention manuelle d'un
opérateur pour valider la demande peut permettre au processus dhcp
de continuer.

C'est possible ça?





Bloquer la demande, non (un autre pourrait répondre, c'est la joie
des broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois
à raison, si si!).



ok, moi je n'ai qu'un seul serveur dhcp sur le réseau.

Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des
serveurs DHCP. (c'est typiquement ce que propose les interfaces de
FAI et les modem-routeur-ADSL avec serveur dhcp incorporé)



oui mais non, avec plus de 200 postes, je voulais éviter ce genre de
solutions...

Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.



j'imaginais un truc déjà tout fait.

La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son
IP & masque, sa gateway et ses DNS, met la mienne à la place et paf
le réseau),



ok mais ça suppose qu'on a accès physiquement à une machine au moins.

mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).



et là on pert la souplesse de l'itinérant (les gens connus doivent
pouvoir changer de bureau facilement, les inconnus ne devraient pas
pouvoir obtenir une ip sans passer par un contrôle préalable de l'état
de leur poste)

Maintenant, si votre câblage est encore en coaxial, ça va être
délicat.



de ce côté ça irait :-)

bref, je cherche une solution pour éviter que des personnes externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui les
invitent, ça ne marche pas...

peut-être qu'il y a d'autres techniques que je n'imagine même pas :-)

merci de ta réponse en tout cas.

--
Prochain palier: Sortir du lot (proprement).

Arnal
Le #20782381
802.1X Protocole qui permet d'authentifier l'utilisateur ou le matériel
avant "d'ouvrir" le port du switch, l'authentification passe par un
serveur Radius, Tacacs, cas, et peu faire appel à un annuaire LDAP pour
authentifier l'utilisateur.



Le 16/12/2009 19:11, a écrit :
*Ecrit* *par* *Le Forgeron*:
Le 16/12/2009 15:10, nous fit lire :
Bonjour,

est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:

lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il
bloque la demande et avertit une boite aux lettre ou mécanisme
équivalent. Ensuite, seule une intervention manuelle d'un opérateur
pour valider la demande peut permettre au processus dhcp de continuer.

C'est possible ça?





Bloquer la demande, non (un autre pourrait répondre, c'est la joie des
broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois à
raison, si si!).



ok, moi je n'ai qu'un seul serveur dhcp sur le réseau.

Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des serveurs
DHCP. (c'est typiquement ce que propose les interfaces de FAI et les
modem-routeur-ADSL avec serveur dhcp incorporé)



oui mais non, avec plus de 200 postes, je voulais éviter ce genre de
solutions...

Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.



j'imaginais un truc déjà tout fait.

La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son IP
& masque, sa gateway et ses DNS, met la mienne à la place et paf le
réseau),



ok mais ça suppose qu'on a accès physiquement à une machine au moins.

mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).



et là on pert la souplesse de l'itinérant (les gens connus doivent
pouvoir changer de bureau facilement, les inconnus ne devraient pas
pouvoir obtenir une ip sans passer par un contrôle préalable de l'état
de leur poste)

Maintenant, si votre câblage est encore en coaxial, ça va être délicat.



de ce côté ça irait :-)

bref, je cherche une solution pour éviter que des personnes externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui les
invitent, ça ne marche pas...

peut-être qu'il y a d'autres techniques que je n'imagine même pas :-)

merci de ta réponse en tout cas.



Tr
Le #20783371
*Ecrit* *par* *Arnal*:
802.1X Protocole qui permet d'authentifier l'utilisateur ou le
matériel avant "d'ouvrir" le port du switch, l'authentification passe
par un serveur Radius, Tacacs, cas, et peu faire appel à un annuaire
LDAP pour authentifier l'utilisateur.



j'avais entendu parler de cette solution, mais elle me semble lourde,
c'est pourquoi je cherchais à savoir s'il n'y avait pas un truc plus
simple.
apparemment non, donc je vais devoir approfondir cette partie.

si j'ai bien compris, il me faut:
- un serveur ldap (active directory sous windows server 2003 pour le
moment)
- un serveur radius: ias de microsoft sur w2k3
- des équipements réseau supportant les protocoles mis en jeu (je vais
vérifier ce point)

bon, ben je crois que j'ai tout ce qu'il me faut, j'ai déjà trouvé
quelques docs intéressantes à ce sujet, reste plus qu'à monter une
plateforme pour tester...

merci.

Le 16/12/2009 19:11, a écrit :


...

bref, je cherche une solution pour éviter que des personnes
externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui
les
invitent, ça ne marche pas...

peut-être qu'il y a d'autres techniques que je n'imagine même pas
:-)

merci de ta réponse en tout cas.





--
Commençons par faire ce que l'on dit plutôt que de dire ce que l'on va
faire. (Etat d'esprit)

Publicité
Poster une réponse
Anonyme