Protection contre l'extension d'un reseau par l'adjonction d'un AP Wifi
19 réponses
pxg
Bonjour,
Comment protéger un réseau comportant un très grand nombre - plus d'un
millier - de prises précablées et reliées à des switchs contre le
branchement (malintentionné) d'un point d'accés Wifi ?
Mon exemple réel est le très grand réseau d'un établissement d'enseignement
comportant plusieurs centaines de machines rendant /quasiment/ impossible
l'abandon du DHCP. Dans ce réseau on trouve des pc, des pda, des automates
divers et des points d'accès wifi protégés. J'ai pu ajouter dans ce réseau -
dans le cadre légal de mon activité - une borne d'accès wifi, obtenir une
adresse ip sur mon ordinateur portable et l'utiliser pour récupérer des
informations sur un équipement connecté au réseau. Sitôt terminé j'ai libéré
l'adresse ip et enlevé la borne mais l'inquiétude persiste.
Quid de la borne branchée de façon subreptice, laquelle permettrait une
utilisation malveillante (à bon marché) ?
Questions annexes :
Comment détecter rapidement une telle extension ?
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
J'ai pu ajouter dans ce réseau - dans le cadre légal de mon activité - une borne d'accès wifi, obtenir une adresse ip sur mon ordinateur portable et l'utiliser pour récupérer des informations sur un équipement connecté au réseau.
Il me semble que tu aurais aussi bien pu brancher directement ton portable sur la prise, voire installer un troyen sur un PC pendant que son utilisateur a le dos tourné.
La seule protection matérielle que je vois, c'est de débrancher les prises inutiles au niveau du switch.
De toutes façons, si un grand nombre de machines sont connectées au même réseau, ledit réseau devient à peu près aussi fiable qu'Internet, à mesure que la probabilité qu'aucune machine soit infectée par un troyen diminue.
Donc, on applique les mêmes méthodes que sur des PC connectés directement à Internet : firewall sur toutes les machines, et VPN pour le cas où plusieurs machines doivent échanger des informations.
On 01 Oct 2005 14:16:06 GMT, "pxg" <pxg.sans.spam@wanadoo.fr>:
J'ai pu ajouter dans ce réseau -
dans le cadre légal de mon activité - une borne d'accès wifi, obtenir une
adresse ip sur mon ordinateur portable et l'utiliser pour récupérer des
informations sur un équipement connecté au réseau.
Il me semble que tu aurais aussi bien pu brancher directement ton
portable sur la prise, voire installer un troyen sur un PC pendant que
son utilisateur a le dos tourné.
La seule protection matérielle que je vois, c'est de débrancher les
prises inutiles au niveau du switch.
De toutes façons, si un grand nombre de machines sont connectées au
même réseau, ledit réseau devient à peu près aussi fiable qu'Internet,
à mesure que la probabilité qu'aucune machine soit infectée par un
troyen diminue.
Donc, on applique les mêmes méthodes que sur des PC connectés
directement à Internet : firewall sur toutes les machines, et VPN pour
le cas où plusieurs machines doivent échanger des informations.
J'ai pu ajouter dans ce réseau - dans le cadre légal de mon activité - une borne d'accès wifi, obtenir une adresse ip sur mon ordinateur portable et l'utiliser pour récupérer des informations sur un équipement connecté au réseau.
Il me semble que tu aurais aussi bien pu brancher directement ton portable sur la prise, voire installer un troyen sur un PC pendant que son utilisateur a le dos tourné.
La seule protection matérielle que je vois, c'est de débrancher les prises inutiles au niveau du switch.
De toutes façons, si un grand nombre de machines sont connectées au même réseau, ledit réseau devient à peu près aussi fiable qu'Internet, à mesure que la probabilité qu'aucune machine soit infectée par un troyen diminue.
Donc, on applique les mêmes méthodes que sur des PC connectés directement à Internet : firewall sur toutes les machines, et VPN pour le cas où plusieurs machines doivent échanger des informations.
Fabien LE LEZ
On 01 Oct 2005 14:16:06 GMT, "pxg" :
rendant /quasiment/ impossible l'abandon du DHCP
Ce qui de toutes façons ne résoudrait rien : il suffit au pirate de prendre une adresse IP statique non utilisée (PC éteint par exemple) et le tour est joué.
On 01 Oct 2005 14:16:06 GMT, "pxg" <pxg.sans.spam@wanadoo.fr>:
rendant /quasiment/ impossible
l'abandon du DHCP
Ce qui de toutes façons ne résoudrait rien : il suffit au pirate de
prendre une adresse IP statique non utilisée (PC éteint par exemple)
et le tour est joué.
Ce qui de toutes façons ne résoudrait rien : il suffit au pirate de prendre une adresse IP statique non utilisée (PC éteint par exemple) et le tour est joué.
Sylvain Eche
Comment détecter rapidement une telle extension ?
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
Merci d'avance pour vos réponses.
Salut
tu as 2 manières d'aborder la question :
1) tu souhaite contrôler ce qui se connecte sur ton LAN. dans ce cas il te faut une techno d'authentification au niveau des switchs pour empécher tout équipement étranger de s'y connecter. - soit par des listes d'adresse MAC bien que se soit usurpable et que les équipements n'aient pas de notion de base d'@ MAC centralisée (quoique nortel vient de sortir une fonctionnalité de gestion des @MAC dans un serveur radius via EAP) - Soit faire du 802.1x ou du Cisco NAC : tu colles un certificat à tout tes équipements et ceux ou tu peux pas coller de certificat ils se retrouvent sur un guest VLAN ou tu les "authentifie" par @ MAC.
Bref l'authentification des équipements au niveau du lan ca marche sur le papier mais je connais personne qui a osé se lancer dans le déploiement.
2) Pour traiter spécifiquement la problématique Wifi, tu peux mettre en oeuvre un réseau Wifi (fonctionnel ou pas) avec plusieurs AP CISCO managées par WLSE qui sont capables de reconnaitre les rogue AP par triangulation. Comme ca dès que quelqu'un allume sa borne il te remonte une alerte et te donne même le bureau ou aller taper ;-)
a+
Comment détecter rapidement une telle extension ?
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
Merci d'avance pour vos réponses.
Salut
tu as 2 manières d'aborder la question :
1) tu souhaite contrôler ce qui se connecte sur ton LAN.
dans ce cas il te faut une techno d'authentification au niveau des
switchs pour empécher tout équipement étranger de s'y connecter.
- soit par des listes d'adresse MAC bien que se soit usurpable et que
les équipements n'aient pas de notion de base d'@ MAC centralisée
(quoique nortel vient de sortir une fonctionnalité de gestion des @MAC
dans un serveur radius via EAP)
- Soit faire du 802.1x ou du Cisco NAC : tu colles un certificat à tout
tes équipements et ceux ou tu peux pas coller de certificat ils se
retrouvent sur un guest VLAN ou tu les "authentifie" par @ MAC.
Bref l'authentification des équipements au niveau du lan ca marche sur
le papier mais je connais personne qui a osé se lancer dans le déploiement.
2) Pour traiter spécifiquement la problématique Wifi, tu peux mettre en
oeuvre un réseau Wifi (fonctionnel ou pas) avec plusieurs AP CISCO
managées par WLSE qui sont capables de reconnaitre les rogue AP par
triangulation. Comme ca dès que quelqu'un allume sa borne il te remonte
une alerte et te donne même le bureau ou aller taper ;-)
Cela pourrait-il se faire en CPL dans un immeuble de bureau ?
Merci d'avance pour vos réponses.
Salut
tu as 2 manières d'aborder la question :
1) tu souhaite contrôler ce qui se connecte sur ton LAN. dans ce cas il te faut une techno d'authentification au niveau des switchs pour empécher tout équipement étranger de s'y connecter. - soit par des listes d'adresse MAC bien que se soit usurpable et que les équipements n'aient pas de notion de base d'@ MAC centralisée (quoique nortel vient de sortir une fonctionnalité de gestion des @MAC dans un serveur radius via EAP) - Soit faire du 802.1x ou du Cisco NAC : tu colles un certificat à tout tes équipements et ceux ou tu peux pas coller de certificat ils se retrouvent sur un guest VLAN ou tu les "authentifie" par @ MAC.
Bref l'authentification des équipements au niveau du lan ca marche sur le papier mais je connais personne qui a osé se lancer dans le déploiement.
2) Pour traiter spécifiquement la problématique Wifi, tu peux mettre en oeuvre un réseau Wifi (fonctionnel ou pas) avec plusieurs AP CISCO managées par WLSE qui sont capables de reconnaitre les rogue AP par triangulation. Comme ca dès que quelqu'un allume sa borne il te remonte une alerte et te donne même le bureau ou aller taper ;-)
a+
Xavier Roche
pxg wrote:
Comment protéger un réseau comportant un très grand nombre - plus d'un millier - de prises précablées et reliées à des switchs contre le branchement (malintentionné) d'un point d'accés Wifi ?
Amha le problème est plus général: comment protéger le réseau d'un branchement malintentionné d'un appareil quelconque ?
Par exemple, un portable autonome, qui ira scanner le réseau, attaquer tranquillement des machines vulnérables, etc.
Si n'importe qui peut brancher un appareil sur n'importe quelle prise, on peut imaginer par mal de failles.
Mon exemple réel est le très grand réseau d'un établissement d'enseignement comportant plusieurs centaines de machines rendant /quasiment/ impossible l'abandon du DHCP.
Déja, combien de subnets sont présents ? On peut imaginer un sous réseau "à usage général" qui n'a accès en interne qu'à des ressources bien identifiées, et en sortie qu'à un nombre restreint de ports (80, 443) ou, mieux, à un proxy protégé par un mot de passe. Un autre sous réseau, avec des accès supérieurs, pourrait être géré manuellement selon les MAC des appareils.
On peut aussi (mieux) imaginer de séparer les ports du switch des prises "privilégiées" en interdisant à des prises non identifiées d'avoir une IP autre que celle à "usage général" ; en allant dans la configuration du switch (enfin si celui-ci est suffisamment évolué) et filtrer tout le monde, sauf les prises autorisées. Ces prises devront être situées dans des lieux un peu protégés, histoire qu'un petit malin n'aille pas débrancher la RJ45 d'une machine "privilégiée" et coller son portable avec la même IP/MAC dessus (il est relativement facile de changer d'adresse MAC, au passage)
Enfin, on peut imaginer de faire un recensement exhaustif des machines reliées au DHCP (en collectant les adresses MAC et en assignant des adresses statiques, et en interdisant d'allouer à des adresses inconnues) et surveiller si une adresse non atrtibuée apparait là ou il ne faut pas. Mais là, cela me dépasse un peu (j'imagine que les swtichs très chers et très sérieux peuvent proposer de tels systèmes de détection d'intrusion, en surveillant si une adresse MAC inconnue apparait, ou si elle apparait là ou il ne faut pas)
Quid de la borne branchée de façon subreptice, laquelle permettrait une utilisation malveillante (à bon marché) ?
De toute manière la portée sera limitée, non ?
Questions annexes : Comment détecter rapidement une telle extension ?
Se ballader dans les murs de temps en temps, avec un portable + carte WiFi, et regarder si des réseaux sont présents .
pxg wrote:
Comment protéger un réseau comportant un très grand nombre - plus d'un
millier - de prises précablées et reliées à des switchs contre le
branchement (malintentionné) d'un point d'accés Wifi ?
Amha le problème est plus général: comment protéger le réseau d'un
branchement malintentionné d'un appareil quelconque ?
Par exemple, un portable autonome, qui ira scanner le réseau, attaquer
tranquillement des machines vulnérables, etc.
Si n'importe qui peut brancher un appareil sur n'importe quelle prise,
on peut imaginer par mal de failles.
Mon exemple réel est le très grand réseau d'un établissement d'enseignement
comportant plusieurs centaines de machines rendant /quasiment/ impossible
l'abandon du DHCP.
Déja, combien de subnets sont présents ? On peut imaginer un sous réseau
"à usage général" qui n'a accès en interne qu'à des ressources bien
identifiées, et en sortie qu'à un nombre restreint de ports (80, 443)
ou, mieux, à un proxy protégé par un mot de passe. Un autre sous réseau,
avec des accès supérieurs, pourrait être géré manuellement selon les MAC
des appareils.
On peut aussi (mieux) imaginer de séparer les ports du switch des prises
"privilégiées" en interdisant à des prises non identifiées d'avoir une
IP autre que celle à "usage général" ; en allant dans la configuration
du switch (enfin si celui-ci est suffisamment évolué) et filtrer tout le
monde, sauf les prises autorisées. Ces prises devront être situées dans
des lieux un peu protégés, histoire qu'un petit malin n'aille pas
débrancher la RJ45 d'une machine "privilégiée" et coller son portable
avec la même IP/MAC dessus (il est relativement facile de changer
d'adresse MAC, au passage)
Enfin, on peut imaginer de faire un recensement exhaustif des machines
reliées au DHCP (en collectant les adresses MAC et en assignant des
adresses statiques, et en interdisant d'allouer à des adresses
inconnues) et surveiller si une adresse non atrtibuée apparait là ou il
ne faut pas. Mais là, cela me dépasse un peu (j'imagine que les swtichs
très chers et très sérieux peuvent proposer de tels systèmes de
détection d'intrusion, en surveillant si une adresse MAC inconnue
apparait, ou si elle apparait là ou il ne faut pas)
Quid de la borne branchée de façon subreptice, laquelle permettrait une
utilisation malveillante (à bon marché) ?
De toute manière la portée sera limitée, non ?
Questions annexes :
Comment détecter rapidement une telle extension ?
Se ballader dans les murs de temps en temps, avec un portable + carte
WiFi, et regarder si des réseaux sont présents .
Comment protéger un réseau comportant un très grand nombre - plus d'un millier - de prises précablées et reliées à des switchs contre le branchement (malintentionné) d'un point d'accés Wifi ?
Amha le problème est plus général: comment protéger le réseau d'un branchement malintentionné d'un appareil quelconque ?
Par exemple, un portable autonome, qui ira scanner le réseau, attaquer tranquillement des machines vulnérables, etc.
Si n'importe qui peut brancher un appareil sur n'importe quelle prise, on peut imaginer par mal de failles.
Mon exemple réel est le très grand réseau d'un établissement d'enseignement comportant plusieurs centaines de machines rendant /quasiment/ impossible l'abandon du DHCP.
Déja, combien de subnets sont présents ? On peut imaginer un sous réseau "à usage général" qui n'a accès en interne qu'à des ressources bien identifiées, et en sortie qu'à un nombre restreint de ports (80, 443) ou, mieux, à un proxy protégé par un mot de passe. Un autre sous réseau, avec des accès supérieurs, pourrait être géré manuellement selon les MAC des appareils.
On peut aussi (mieux) imaginer de séparer les ports du switch des prises "privilégiées" en interdisant à des prises non identifiées d'avoir une IP autre que celle à "usage général" ; en allant dans la configuration du switch (enfin si celui-ci est suffisamment évolué) et filtrer tout le monde, sauf les prises autorisées. Ces prises devront être situées dans des lieux un peu protégés, histoire qu'un petit malin n'aille pas débrancher la RJ45 d'une machine "privilégiée" et coller son portable avec la même IP/MAC dessus (il est relativement facile de changer d'adresse MAC, au passage)
Enfin, on peut imaginer de faire un recensement exhaustif des machines reliées au DHCP (en collectant les adresses MAC et en assignant des adresses statiques, et en interdisant d'allouer à des adresses inconnues) et surveiller si une adresse non atrtibuée apparait là ou il ne faut pas. Mais là, cela me dépasse un peu (j'imagine que les swtichs très chers et très sérieux peuvent proposer de tels systèmes de détection d'intrusion, en surveillant si une adresse MAC inconnue apparait, ou si elle apparait là ou il ne faut pas)
Quid de la borne branchée de façon subreptice, laquelle permettrait une utilisation malveillante (à bon marché) ?
De toute manière la portée sera limitée, non ?
Questions annexes : Comment détecter rapidement une telle extension ?
Se ballader dans les murs de temps en temps, avec un portable + carte WiFi, et regarder si des réseaux sont présents .
Fabien LE LEZ
On 01 Oct 2005 18:57:04 GMT, Xavier Roche :
On peut aussi (mieux) imaginer de séparer les ports du switch des prises "privilégiées" en interdisant à des prises non identifiées d'avoir une IP autre que celle à "usage général" ; en allant dans la configuration du switch (enfin si celui-ci est suffisamment évolué)
Ou, avec des switchs moins évolués : séparer physiquement les prises "privilégiées" des autres, en les branchant sur deux switchs différents, et en mettant un routeur-firewall entre les deux.
La solution VPN est plus souple (une même machine peut appartenir à plusieurs sous-réseaux différents), mais ça laisse le problème des machines moins évoluées (imprimantes par exemple).
On 01 Oct 2005 18:57:04 GMT, Xavier Roche
<xroche@free.fr.NOSPAM.invalid>:
On peut aussi (mieux) imaginer de séparer les ports du switch des prises
"privilégiées" en interdisant à des prises non identifiées d'avoir une
IP autre que celle à "usage général" ; en allant dans la configuration
du switch (enfin si celui-ci est suffisamment évolué)
Ou, avec des switchs moins évolués : séparer physiquement les prises
"privilégiées" des autres, en les branchant sur deux switchs
différents, et en mettant un routeur-firewall entre les deux.
La solution VPN est plus souple (une même machine peut appartenir à
plusieurs sous-réseaux différents), mais ça laisse le problème des
machines moins évoluées (imprimantes par exemple).
On peut aussi (mieux) imaginer de séparer les ports du switch des prises "privilégiées" en interdisant à des prises non identifiées d'avoir une IP autre que celle à "usage général" ; en allant dans la configuration du switch (enfin si celui-ci est suffisamment évolué)
Ou, avec des switchs moins évolués : séparer physiquement les prises "privilégiées" des autres, en les branchant sur deux switchs différents, et en mettant un routeur-firewall entre les deux.
La solution VPN est plus souple (une même machine peut appartenir à plusieurs sous-réseaux différents), mais ça laisse le problème des machines moins évoluées (imprimantes par exemple).
pxg
Sylvain Eche wrote:
Salut
tu as 2 manières d'aborder la question :
Bref l'authentification des équipements au niveau du lan ca marche sur le papier mais je connais personne qui a osé se lancer dans le déploiement.
2) Pour traiter spécifiquement la problématique Wifi, tu peux mettre en oeuvre un réseau Wifi (fonctionnel ou pas) avec plusieurs AP CISCO managées par WLSE qui sont capables de reconnaitre les rogue AP par triangulation. Comme ca dès que quelqu'un allume sa borne il te remonte une alerte et te donne même le bureau ou aller taper ;-)
J'imagine le coût de la première comme de la seconde des parades. Ce n'est plus un bâton de pélerin qu'il me faut, c'est une véritable croisade. <(:-]
Merci de ta réponse
pxg
Sylvain Eche wrote:
Salut
tu as 2 manières d'aborder la question :
Bref l'authentification des équipements au niveau du lan ca marche sur
le papier mais je connais personne qui a osé se lancer dans le
déploiement.
2) Pour traiter spécifiquement la problématique Wifi, tu peux mettre
en oeuvre un réseau Wifi (fonctionnel ou pas) avec plusieurs AP CISCO
managées par WLSE qui sont capables de reconnaitre les rogue AP par
triangulation. Comme ca dès que quelqu'un allume sa borne il te
remonte une alerte et te donne même le bureau ou aller taper ;-)
J'imagine le coût de la première comme de la seconde des parades. Ce n'est
plus un bâton de pélerin qu'il me faut, c'est une véritable croisade. <(:-]
Bref l'authentification des équipements au niveau du lan ca marche sur le papier mais je connais personne qui a osé se lancer dans le déploiement.
2) Pour traiter spécifiquement la problématique Wifi, tu peux mettre en oeuvre un réseau Wifi (fonctionnel ou pas) avec plusieurs AP CISCO managées par WLSE qui sont capables de reconnaitre les rogue AP par triangulation. Comme ca dès que quelqu'un allume sa borne il te remonte une alerte et te donne même le bureau ou aller taper ;-)
J'imagine le coût de la première comme de la seconde des parades. Ce n'est plus un bâton de pélerin qu'il me faut, c'est une véritable croisade. <(:-]
Merci de ta réponse
pxg
pxg
Fabien LE LEZ wrote:
On 01 Oct 2005 14:16:06 GMT, "pxg" :
La seule protection matérielle que je vois, c'est de débrancher les prises inutiles au niveau du switch.
La problématique de ce type d'établissements est : d'une part une nécessaire souplesse : le pc portable équipé d'un vidéo projecteur doit pouvoir changer de salle voire de batiment (et ce sur quelques hectares) le redéployement ponctuel de postes et ce sans intervention sur les baies de brassage voire le pointage de présences en salle à l'aide de PDA Wifi. d'autre part une absence de culture de la sécurité - et partant, de moyens humains, matériels et logiciels.
De toutes façons, si un grand nombre de machines sont connectées au même réseau, ledit réseau devient à peu près aussi fiable qu'Internet, à mesure que la probabilité qu'aucune machine soit infectée par un troyen diminue.
Tout à fait d'accord. Les serveurs sont protégés, l'accès internet filtré, les pc (légaux) sont équipés d'anti-virus mais il reste une grande quantité de menaces qui ne sont pas prises en compte.
Merci pour votre réponse.
pxg
Fabien LE LEZ wrote:
On 01 Oct 2005 14:16:06 GMT, "pxg" <pxg.sans.spam@wanadoo.fr>:
La seule protection matérielle que je vois, c'est de débrancher les
prises inutiles au niveau du switch.
La problématique de ce type d'établissements est :
d'une part une nécessaire souplesse : le pc portable équipé d'un vidéo
projecteur doit pouvoir changer de salle voire de batiment (et ce sur
quelques hectares) le redéployement ponctuel de postes et ce sans
intervention sur les baies de brassage voire le pointage de présences en
salle à l'aide de PDA Wifi.
d'autre part une absence de culture de la sécurité - et partant, de moyens
humains, matériels et logiciels.
De toutes façons, si un grand nombre de machines sont connectées au
même réseau, ledit réseau devient à peu près aussi fiable qu'Internet,
à mesure que la probabilité qu'aucune machine soit infectée par un
troyen diminue.
Tout à fait d'accord. Les serveurs sont protégés, l'accès internet filtré,
les pc (légaux) sont équipés d'anti-virus mais il reste une grande quantité
de menaces qui ne sont pas prises en compte.
La seule protection matérielle que je vois, c'est de débrancher les prises inutiles au niveau du switch.
La problématique de ce type d'établissements est : d'une part une nécessaire souplesse : le pc portable équipé d'un vidéo projecteur doit pouvoir changer de salle voire de batiment (et ce sur quelques hectares) le redéployement ponctuel de postes et ce sans intervention sur les baies de brassage voire le pointage de présences en salle à l'aide de PDA Wifi. d'autre part une absence de culture de la sécurité - et partant, de moyens humains, matériels et logiciels.
De toutes façons, si un grand nombre de machines sont connectées au même réseau, ledit réseau devient à peu près aussi fiable qu'Internet, à mesure que la probabilité qu'aucune machine soit infectée par un troyen diminue.
Tout à fait d'accord. Les serveurs sont protégés, l'accès internet filtré, les pc (légaux) sont équipés d'anti-virus mais il reste une grande quantité de menaces qui ne sont pas prises en compte.
Merci pour votre réponse.
pxg
David
Le Sat, 01 Oct 2005 14:16:06 +0000, pxg a écrit :
Bonjour,
Comment protéger un réseau comportant un très grand nombre - plus d'un millier - de prises précablées et reliées à des switchs contre le branchement (malintentionné) d'un point d'accés Wifi ?
Facile. Tu utilises arpwatch. http://www.securityfocus.com/tools/142 Ca te signales toute nouvelle adresse MAC sur le réseau. Une fois que tu as l'adresses MAC tu fais un nmap sur l'IP pour connaitre la plateforme.
Par contre cela ne marche pas si tu as des switchs ou des routeurs sur ton réseau. Dans ce cas tu fais des pings en broadcast sur les différents réseaux que tu as. Tu récupères les IP, avec rarp tu obtiens les adresses MAC et tu peux comparer avec ta base de données préalablement créées.
Le Sat, 01 Oct 2005 14:16:06 +0000, pxg a écrit :
Bonjour,
Comment protéger un réseau comportant un très grand nombre - plus d'un
millier - de prises précablées et reliées à des switchs contre le
branchement (malintentionné) d'un point d'accés Wifi ?
Facile. Tu utilises arpwatch.
http://www.securityfocus.com/tools/142
Ca te signales toute nouvelle adresse MAC sur le réseau.
Une fois que tu as l'adresses MAC tu fais un nmap sur l'IP pour connaitre
la plateforme.
Par contre cela ne marche pas si tu as des switchs ou des routeurs sur ton
réseau. Dans ce cas tu fais des pings en broadcast sur les différents
réseaux que tu as. Tu récupères les IP, avec rarp tu obtiens les
adresses MAC et tu peux comparer avec ta base de données préalablement
créées.
Comment protéger un réseau comportant un très grand nombre - plus d'un millier - de prises précablées et reliées à des switchs contre le branchement (malintentionné) d'un point d'accés Wifi ?
Facile. Tu utilises arpwatch. http://www.securityfocus.com/tools/142 Ca te signales toute nouvelle adresse MAC sur le réseau. Une fois que tu as l'adresses MAC tu fais un nmap sur l'IP pour connaitre la plateforme.
Par contre cela ne marche pas si tu as des switchs ou des routeurs sur ton réseau. Dans ce cas tu fais des pings en broadcast sur les différents réseaux que tu as. Tu récupères les IP, avec rarp tu obtiens les adresses MAC et tu peux comparer avec ta base de données préalablement créées.
Sylvain Eche
On peut aussi (mieux) imaginer de séparer les ports du switch des prises "privilégiées" en interdisant à des prises non identifiées d'avoir une IP autre que celle à "usage général" ; en allant dans la configuration du switch (enfin si celui-ci est suffisamment évolué) et filtrer tout le monde, sauf les prises autorisées.
hum ... en théorie sur un réseau de 3 machines c'est immaginable mais en prod avec 5000 machines tu connais un moyen centralisé de gérer tout çà ?
On peut aussi (mieux) imaginer de séparer les ports du switch des prises
"privilégiées" en interdisant à des prises non identifiées d'avoir une
IP autre que celle à "usage général" ; en allant dans la configuration
du switch (enfin si celui-ci est suffisamment évolué) et filtrer tout le
monde, sauf les prises autorisées.
hum ... en théorie sur un réseau de 3 machines c'est immaginable mais en
prod avec 5000 machines tu connais un moyen centralisé de gérer tout çà ?
On peut aussi (mieux) imaginer de séparer les ports du switch des prises "privilégiées" en interdisant à des prises non identifiées d'avoir une IP autre que celle à "usage général" ; en allant dans la configuration du switch (enfin si celui-ci est suffisamment évolué) et filtrer tout le monde, sauf les prises autorisées.
hum ... en théorie sur un réseau de 3 machines c'est immaginable mais en prod avec 5000 machines tu connais un moyen centralisé de gérer tout çà ?
Fabien LE LEZ
On 02 Oct 2005 16:37:33 GMT, "pxg" :
le pc portable équipé d'un vidéo projecteur doit pouvoir changer de salle voire de batiment (et ce sur quelques hectares) le redéployement ponctuel de postes et ce sans intervention sur les baies de brassage
Finalement, aucune prise ne peut être définitivement cataloguée comme "sûre" (i.e. il est possible qu'un jour ou l'autre, une personne qui n'est pas digne de confiance puisse y accéder).
En d'autres termes, toute machine branchée sur le réseau doit être considérée comme hostile jusqu'à preuve du contraire (typiquement, échange de clés, VPN).
les pc (légaux) sont équipés d'anti-virus
Et d'un firewall aussi, j'espère ?
On 02 Oct 2005 16:37:33 GMT, "pxg" <pxg.sans.spam@wanadoo.fr>:
le pc portable équipé d'un vidéo
projecteur doit pouvoir changer de salle voire de batiment (et ce sur
quelques hectares) le redéployement ponctuel de postes et ce sans
intervention sur les baies de brassage
Finalement, aucune prise ne peut être définitivement cataloguée comme
"sûre" (i.e. il est possible qu'un jour ou l'autre, une personne qui
n'est pas digne de confiance puisse y accéder).
En d'autres termes, toute machine branchée sur le réseau doit être
considérée comme hostile jusqu'à preuve du contraire (typiquement,
échange de clés, VPN).
le pc portable équipé d'un vidéo projecteur doit pouvoir changer de salle voire de batiment (et ce sur quelques hectares) le redéployement ponctuel de postes et ce sans intervention sur les baies de brassage
Finalement, aucune prise ne peut être définitivement cataloguée comme "sûre" (i.e. il est possible qu'un jour ou l'autre, une personne qui n'est pas digne de confiance puisse y accéder).
En d'autres termes, toute machine branchée sur le réseau doit être considérée comme hostile jusqu'à preuve du contraire (typiquement, échange de clés, VPN).
