Securité reseau

Le
Robby
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur serveur
W2003, DHCP, Dc, Switch, routeur et segements physiques.
La société A que je gere ne veut pas que la Societé B ce connecte sur leur
reseau, mais la B aura l'accés aux emails sur le domaine de A donc boites
Exchange 2007 et compte AD (au fait peut-on créer des boites mails sans le
compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de connexion sur
une prise reseau du segment A, n'obtient pas d'IP ou soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathieu CHATEAU
Le #529714
Bonjour,

plusieurs choses:
-Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc pas avoir
une BAL sans avoir un compte AD associé. Vous pouvez en revanche
"verrouiller" ces comptes via GPO etc.

Pour la partie ordinateur, il y a des solutions plus ou moins complexes:
-Répondre par une communication informatique "vous ne pouvez pas..."
-Vérifier les fonctionnalités de vos switchs (changer le vlan en fonction de
la mac address)
-Utiliser le 802.1X pour authentifier les machines avant de les autoriser
-Implémenter ipsec, pour empêcher une machine qui n'est pas dans le domaine
de communiquer avec des machines dans le domaine. Certaines machines, comme
les DC ou serveurs DHCP ne peuvent pas être protégées via ipsec





--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur serveur
W2003, DHCP, Dc..., Switch, routeur et segements physiques.
La société A que je gere ne veut pas que la Societé B ce connecte sur leur
reseau, mais la B aura l'accés aux emails sur le domaine de A donc boites
Exchange 2007 et compte AD (au fait peut-on créer des boites mails sans le
compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de connexion
sur une prise reseau du segment A, n'obtient pas d'IP ou soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby



Robby
Le #529708
Bonjour et merci pour votre reponse,

Pour l'implementation IPSEC,
est-ce que une machine qui n'est pas membre du domaine pourra obtenir une
adresse IP ? je pense que oui.
est-ce que une machine qui n'est pas membre du domaine A pourra acceder au
serveur de fichiers A ? je pense NON, mais si ce user lui a un compte dans
l'Ad ?
Pourriez-vous m'aider la dessus, svp ?
Vérifier les fonctionnalités de vos switchs (changer le vlan en fonction de
la mac address)-----auriez-vous un site, une doc ?
Utiliser le 802.1X pour authentifier les machines avant de les
autoriser--auriez-vous un site, une doc ?
Encore merci.
Robby

"Mathieu CHATEAU"
Bonjour,

plusieurs choses:
-Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc pas
avoir une BAL sans avoir un compte AD associé. Vous pouvez en revanche
"verrouiller" ces comptes via GPO etc.

Pour la partie ordinateur, il y a des solutions plus ou moins complexes:
-Répondre par une communication informatique "vous ne pouvez pas..."
-Vérifier les fonctionnalités de vos switchs (changer le vlan en fonction
de la mac address)
-Utiliser le 802.1X pour authentifier les machines avant de les autoriser
-Implémenter ipsec, pour empêcher une machine qui n'est pas dans le
domaine de communiquer avec des machines dans le domaine. Certaines
machines, comme les DC ou serveurs DHCP ne peuvent pas être protégées via
ipsec





--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur serveur
W2003, DHCP, Dc..., Switch, routeur et segements physiques.
La société A que je gere ne veut pas que la Societé B ce connecte sur
leur reseau, mais la B aura l'accés aux emails sur le domaine de A donc
boites Exchange 2007 et compte AD (au fait peut-on créer des boites mails
sans le compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de connexion
sur une prise reseau du segment A, n'obtient pas d'IP ou soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby






Mathieu CHATEAU
Le #529497
une machine non membre du domaine pourra avoir une adresse ip.

En revanche, ipsec authentifie l'ordinateur et non l'utilisateur. Il aura
beau avoir un compte valide, il ne pourra pas accéder aux ressources des
serveurs.

pour les switchs, indiquez moi vos modèles d'équipement, je vous dirai ce
qui est possible.

http://www.labo-microsoft.com/whitepapers/15454/
http://www.commentcamarche.net/internet/vlan.php3

http://www.laboratoire-microsoft.org/articles/network/ipsec/
http://technet.microsoft.com/en-us/library/bb742429.aspx
http://technet.microsoft.com/en-us/network/bb531150.aspx


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour et merci pour votre reponse,

Pour l'implementation IPSEC,
est-ce que une machine qui n'est pas membre du domaine pourra obtenir une
adresse IP ? je pense que oui.
est-ce que une machine qui n'est pas membre du domaine A pourra acceder au
serveur de fichiers A ? je pense NON, mais si ce user lui a un compte dans
l'Ad ?
Pourriez-vous m'aider la dessus, svp ?
Vérifier les fonctionnalités de vos switchs (changer le vlan en fonction
de
la mac address)-----auriez-vous un site, une doc ?
Utiliser le 802.1X pour authentifier les machines avant de les
autoriser--auriez-vous un site, une doc ?
Encore merci.
Robby

"Mathieu CHATEAU"
Bonjour,

plusieurs choses:
-Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc pas
avoir une BAL sans avoir un compte AD associé. Vous pouvez en revanche
"verrouiller" ces comptes via GPO etc.

Pour la partie ordinateur, il y a des solutions plus ou moins complexes:
-Répondre par une communication informatique "vous ne pouvez pas..."
-Vérifier les fonctionnalités de vos switchs (changer le vlan en fonction
de la mac address)
-Utiliser le 802.1X pour authentifier les machines avant de les autoriser
-Implémenter ipsec, pour empêcher une machine qui n'est pas dans le
domaine de communiquer avec des machines dans le domaine. Certaines
machines, comme les DC ou serveurs DHCP ne peuvent pas être protégées via
ipsec





--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur serveur
W2003, DHCP, Dc..., Switch, routeur et segements physiques.
La société A que je gere ne veut pas que la Societé B ce connecte sur
leur reseau, mais la B aura l'accés aux emails sur le domaine de A donc
boites Exchange 2007 et compte AD (au fait peut-on créer des boites
mails sans le compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de connexion
sur une prise reseau du segment A, n'obtient pas d'IP ou soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby










Robby
Le #530185
Bonjour,
Voila, j'ai effectué les premiers tests.
Le contexte :
2 DCs sur chacun DHCP, DNS, AD...
2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via des
routeurs Cisco.
Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
Sur le reseau A, j'ai mis en place la strategie par defaut pour le Domaine
et attribuer 'Securiser le serveur'
Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
fonction,
les pings sont ok meme avec le nom de l'ordinateur.
J'accede au partage sur le serveur.
Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du DCB.
Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD du
DCA, impossible de m'y connecter.
Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
Une idée ?
J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je reviens
au même probleme.
Merci d'avance,
Robby.

"Mathieu CHATEAU" e$
bien sûr, postez sur ce forum :)

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:%
Merci pour votre reactivité,
En effet je vais me monter un labo de test.
Avec 2 DCs 2003
2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC sur
mes routeurs CISCO.
Pourriez-vous m'aider, si problemes ?

"Mathieu CHATEAU"
Il faut en effet créer et activer les règles ipsec (autre que celle par
défaut)
Créez une GPO à part dédié à l'ipsec.

Les controlleurs de domaine & serveurs DHCP doivent accepter les
communications non encryptées (afin de joindre le domaine et de pouvoir
obtenir une adresse IP...)

Il faut déployer IPSEC de façon progressive à la fois sur le nombre de
stations/serveurs et les règles.

Je vous recommande de l'implémenter en premier dans un bac à sable type
environnement virtuel de tests afin de vous faire la main.

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Merci Mathieu,
je suis interessé par IPSEC pour un domaine 2003.
Mais est ce que
Par defaut ceci est-il vrai :

Un ordinateur membre d'un domaine hérite automatiquement de la
stratégie IPSec affectée à la stratégie de sécurité du domaine, quand
il ouvre une session sur le domaine.

faut-il la créer ?

Merci d'avance,

Robby



"Mathieu CHATEAU"
une machine non membre du domaine pourra avoir une adresse ip.

En revanche, ipsec authentifie l'ordinateur et non l'utilisateur. Il
aura beau avoir un compte valide, il ne pourra pas accéder aux
ressources des serveurs.

pour les switchs, indiquez moi vos modèles d'équipement, je vous dirai
ce qui est possible.

http://www.labo-microsoft.com/whitepapers/15454/
http://www.commentcamarche.net/internet/vlan.php3

http://www.laboratoire-microsoft.org/articles/network/ipsec/
http://technet.microsoft.com/en-us/library/bb742429.aspx
http://technet.microsoft.com/en-us/network/bb531150.aspx


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour et merci pour votre reponse,

Pour l'implementation IPSEC,
est-ce que une machine qui n'est pas membre du domaine pourra obtenir
une adresse IP ? je pense que oui.
est-ce que une machine qui n'est pas membre du domaine A pourra
acceder au serveur de fichiers A ? je pense NON, mais si ce user lui
a un compte dans l'Ad ?
Pourriez-vous m'aider la dessus, svp ?
Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de
la mac address)-----auriez-vous un site, une doc ?
Utiliser le 802.1X pour authentifier les machines avant de les
autoriser--auriez-vous un site, une doc ?
Encore merci.
Robby

"Mathieu CHATEAU" news:
Bonjour,

plusieurs choses:
-Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
revanche "verrouiller" ces comptes via GPO etc.

Pour la partie ordinateur, il y a des solutions plus ou moins
complexes:
-Répondre par une communication informatique "vous ne pouvez pas..."
-Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de la mac address)
-Utiliser le 802.1X pour authentifier les machines avant de les
autoriser
-Implémenter ipsec, pour empêcher une machine qui n'est pas dans le
domaine de communiquer avec des machines dans le domaine. Certaines
machines, comme les DC ou serveurs DHCP ne peuvent pas être
protégées via ipsec





--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur
serveur W2003, DHCP, Dc..., Switch, routeur et segements physiques.
La société A que je gere ne veut pas que la Societé B ce connecte
sur leur reseau, mais la B aura l'accés aux emails sur le domaine
de A donc boites Exchange 2007 et compte AD (au fait peut-on créer
des boites mails sans le compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de
connexion sur une prise reseau du segment A, n'obtient pas d'IP ou
soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby



























Robby
Le #530184
Bonsoir,
La suite,
A partir du reseau 192.168.1.0, le pc client W2000 se conecte bien en ipsec,
je peux lancer des pings vers le serveur Local et distant (192.168.2.0), et
y accede bien.
Par contre sur le client XP du reseau B, j'accede au serveur local mais
demande un mot de passe, en plus l'accès est tres lent chose qui ne se passe
pas sur l'autre reseau.Le ping vers le server local est OK, mais pas vers le
serveur distant.
J'ai activé les strategies ;
"Client en reponse seul" sur le DOMAINE
"Securiser le serveur" sur le controleur de Domaine.
Depuis serveur à serveur, pas de soucis, DNS, AD, acces aux partages.
Pourquoi le client XP demande un mot de passe alors que le serveur est sur
le même reseau ?
Pourquoi il ne pinge pas l'autre server ?
Depuis l'autre reseau le client 2000 accede aux 2 serveurs sont mots de
passe et pas de soucis de ping.
Merci d'avance,
Robby


"Robby" Ovp$
Bonjour,
Voila, j'ai effectué les premiers tests.
Le contexte :
2 DCs sur chacun DHCP, DNS, AD...
2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via
des routeurs Cisco.
Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
Sur le reseau A, j'ai mis en place la strategie par defaut pour le Domaine
et attribuer 'Securiser le serveur'
Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
fonction,
les pings sont ok meme avec le nom de l'ordinateur.
J'accede au partage sur le serveur.
Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du
DCB.
Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD
du DCA, impossible de m'y connecter.
Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
Une idée ?
J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je
reviens au même probleme.
Merci d'avance,
Robby.

"Mathieu CHATEAU" e$
bien sûr, postez sur ce forum :)

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:%
Merci pour votre reactivité,
En effet je vais me monter un labo de test.
Avec 2 DCs 2003
2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC
sur mes routeurs CISCO.
Pourriez-vous m'aider, si problemes ?

"Mathieu CHATEAU"
Il faut en effet créer et activer les règles ipsec (autre que celle par
défaut)
Créez une GPO à part dédié à l'ipsec.

Les controlleurs de domaine & serveurs DHCP doivent accepter les
communications non encryptées (afin de joindre le domaine et de pouvoir
obtenir une adresse IP...)

Il faut déployer IPSEC de façon progressive à la fois sur le nombre de
stations/serveurs et les règles.

Je vous recommande de l'implémenter en premier dans un bac à sable type
environnement virtuel de tests afin de vous faire la main.

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Merci Mathieu,
je suis interessé par IPSEC pour un domaine 2003.
Mais est ce que
Par defaut ceci est-il vrai :

Un ordinateur membre d'un domaine hérite automatiquement de la
stratégie IPSec affectée à la stratégie de sécurité du domaine, quand
il ouvre une session sur le domaine.

faut-il la créer ?

Merci d'avance,

Robby



"Mathieu CHATEAU"
une machine non membre du domaine pourra avoir une adresse ip.

En revanche, ipsec authentifie l'ordinateur et non l'utilisateur. Il
aura beau avoir un compte valide, il ne pourra pas accéder aux
ressources des serveurs.

pour les switchs, indiquez moi vos modèles d'équipement, je vous
dirai ce qui est possible.

http://www.labo-microsoft.com/whitepapers/15454/
http://www.commentcamarche.net/internet/vlan.php3

http://www.laboratoire-microsoft.org/articles/network/ipsec/
http://technet.microsoft.com/en-us/library/bb742429.aspx
http://technet.microsoft.com/en-us/network/bb531150.aspx


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour et merci pour votre reponse,

Pour l'implementation IPSEC,
est-ce que une machine qui n'est pas membre du domaine pourra
obtenir une adresse IP ? je pense que oui.
est-ce que une machine qui n'est pas membre du domaine A pourra
acceder au serveur de fichiers A ? je pense NON, mais si ce user lui
a un compte dans l'Ad ?
Pourriez-vous m'aider la dessus, svp ?
Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de
la mac address)-----auriez-vous un site, une doc ?
Utiliser le 802.1X pour authentifier les machines avant de les
autoriser--auriez-vous un site, une doc ?
Encore merci.
Robby

"Mathieu CHATEAU" news:
Bonjour,

plusieurs choses:
-Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
revanche "verrouiller" ces comptes via GPO etc.

Pour la partie ordinateur, il y a des solutions plus ou moins
complexes:
-Répondre par une communication informatique "vous ne pouvez
pas..."
-Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de la mac address)
-Utiliser le 802.1X pour authentifier les machines avant de les
autoriser
-Implémenter ipsec, pour empêcher une machine qui n'est pas dans le
domaine de communiquer avec des machines dans le domaine. Certaines
machines, comme les DC ou serveurs DHCP ne peuvent pas être
protégées via ipsec





--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur
serveur W2003, DHCP, Dc..., Switch, routeur et segements
physiques.
La société A que je gere ne veut pas que la Societé B ce connecte
sur leur reseau, mais la B aura l'accés aux emails sur le domaine
de A donc boites Exchange 2007 et compte AD (au fait peut-on créer
des boites mails sans le compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de
connexion sur une prise reseau du segment A, n'obtient pas d'IP ou
soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby































Robby
Le #530182
Ce matin,
J'ai tout supprime dans les strategies en Domaine et en Controleur de
domaine.
Puis j'ai redemarré les 2 PCs client, sur le W2000 pas de soucis, mais sur
le WinXP, pb de ping, plus d'accès au DC local comme distant.
J'ai regarde dans Strategies Locales sur le Client, tout est à NON au niveau
IPSEC.
Par contre quand j'ai arrete le service IPSEC sur le poste Client, tout est
OK, Pourquoi ?
Alors que sur mon PC W2000, le service IPSEC est actif, et je n'ai pas ce
probleme.
Y a t-il un outil comme IPSECMON pour XP ?
Je n'ai sais plus par quel bout commencer.
Si quelqu'un avec une piste, merci d'avance,
Robby.

"Robby"
Bonsoir,
La suite,
A partir du reseau 192.168.1.0, le pc client W2000 se conecte bien en
ipsec, je peux lancer des pings vers le serveur Local et distant
(192.168.2.0), et y accede bien.
Par contre sur le client XP du reseau B, j'accede au serveur local mais
demande un mot de passe, en plus l'accès est tres lent chose qui ne se
passe pas sur l'autre reseau.Le ping vers le server local est OK, mais pas
vers le serveur distant.
J'ai activé les strategies ;
"Client en reponse seul" sur le DOMAINE
"Securiser le serveur" sur le controleur de Domaine.
Depuis serveur à serveur, pas de soucis, DNS, AD, acces aux partages.
Pourquoi le client XP demande un mot de passe alors que le serveur est sur
le même reseau ?
Pourquoi il ne pinge pas l'autre server ?
Depuis l'autre reseau le client 2000 accede aux 2 serveurs sont mots de
passe et pas de soucis de ping.
Merci d'avance,
Robby


"Robby" news: Ovp$
Bonjour,
Voila, j'ai effectué les premiers tests.
Le contexte :
2 DCs sur chacun DHCP, DNS, AD...
2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via
des routeurs Cisco.
Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
Sur le reseau A, j'ai mis en place la strategie par defaut pour le
Domaine et attribuer 'Securiser le serveur'
Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
fonction,
les pings sont ok meme avec le nom de l'ordinateur.
J'accede au partage sur le serveur.
Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du
DCB.
Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD
du DCA, impossible de m'y connecter.
Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
Une idée ?
J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je
reviens au même probleme.
Merci d'avance,
Robby.

"Mathieu CHATEAU" e$
bien sûr, postez sur ce forum :)

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:%
Merci pour votre reactivité,
En effet je vais me monter un labo de test.
Avec 2 DCs 2003
2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC
sur mes routeurs CISCO.
Pourriez-vous m'aider, si problemes ?

"Mathieu CHATEAU"
Il faut en effet créer et activer les règles ipsec (autre que celle
par défaut)
Créez une GPO à part dédié à l'ipsec.

Les controlleurs de domaine & serveurs DHCP doivent accepter les
communications non encryptées (afin de joindre le domaine et de
pouvoir obtenir une adresse IP...)

Il faut déployer IPSEC de façon progressive à la fois sur le nombre de
stations/serveurs et les règles.

Je vous recommande de l'implémenter en premier dans un bac à sable
type environnement virtuel de tests afin de vous faire la main.

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Merci Mathieu,
je suis interessé par IPSEC pour un domaine 2003.
Mais est ce que
Par defaut ceci est-il vrai :

Un ordinateur membre d'un domaine hérite automatiquement de la
stratégie IPSec affectée à la stratégie de sécurité du domaine, quand
il ouvre une session sur le domaine.

faut-il la créer ?

Merci d'avance,

Robby



"Mathieu CHATEAU" news:
une machine non membre du domaine pourra avoir une adresse ip.

En revanche, ipsec authentifie l'ordinateur et non l'utilisateur. Il
aura beau avoir un compte valide, il ne pourra pas accéder aux
ressources des serveurs.

pour les switchs, indiquez moi vos modèles d'équipement, je vous
dirai ce qui est possible.

http://www.labo-microsoft.com/whitepapers/15454/
http://www.commentcamarche.net/internet/vlan.php3

http://www.laboratoire-microsoft.org/articles/network/ipsec/
http://technet.microsoft.com/en-us/library/bb742429.aspx
http://technet.microsoft.com/en-us/network/bb531150.aspx


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour et merci pour votre reponse,

Pour l'implementation IPSEC,
est-ce que une machine qui n'est pas membre du domaine pourra
obtenir une adresse IP ? je pense que oui.
est-ce que une machine qui n'est pas membre du domaine A pourra
acceder au serveur de fichiers A ? je pense NON, mais si ce user
lui a un compte dans l'Ad ?
Pourriez-vous m'aider la dessus, svp ?
Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de
la mac address)-----auriez-vous un site, une doc ?
Utiliser le 802.1X pour authentifier les machines avant de les
autoriser--auriez-vous un site, une doc ?
Encore merci.
Robby

"Mathieu CHATEAU" news:
Bonjour,

plusieurs choses:
-Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
revanche "verrouiller" ces comptes via GPO etc.

Pour la partie ordinateur, il y a des solutions plus ou moins
complexes:
-Répondre par une communication informatique "vous ne pouvez
pas..."
-Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de la mac address)
-Utiliser le 802.1X pour authentifier les machines avant de les
autoriser
-Implémenter ipsec, pour empêcher une machine qui n'est pas dans
le domaine de communiquer avec des machines dans le domaine.
Certaines machines, comme les DC ou serveurs DHCP ne peuvent pas
être protégées via ipsec





--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur
serveur W2003, DHCP, Dc..., Switch, routeur et segements
physiques.
La société A que je gere ne veut pas que la Societé B ce connecte
sur leur reseau, mais la B aura l'accés aux emails sur le domaine
de A donc boites Exchange 2007 et compte AD (au fait peut-on
créer des boites mails sans le compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de
connexion sur une prise reseau du segment A, n'obtient pas d'IP
ou soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby



































Robby
Le #530180
Cette AM, il y a du mieux, ca fontionne.
Du reseau A, client A vers sont serveurs ping ok, vers server reseau B ok.je
vois bien avec
l'outil ipsecmon, l'IPSEC actif.
Du reseau A, server A vers server B ping ok, ping vers client B ok. je vois
bien avec
l'outil MMC, l'IPSEC actif entre les machines.
Pour le reseau B, c'est pareil, tout est ok. je vois bien les canaux IPSEC
se créer apres un ping, et à l'aide
d'un analyser les requetes passent bien en ESP.
Il me reste une Question, Pourquoi en local sur le reseau, les requetes par
ex SMB ne sont pas encryptées ?
Exemple:
Pc client A fait une requete sur son serveur local A, un ping, accès
fichiers..., j'analyse le traffic, et la je vois
qu'il n'y a pas d'ESP.
Le server en question est aussi un DHCP, et un DC.
Est-ce que le Filtre est mal paremetré ?
Par contre, je fais la m^me manip mais sur un serveur distant, la pas de pb.
Merci d'avance,
Robby.

"Robby"
Ce matin,
J'ai tout supprime dans les strategies en Domaine et en Controleur de
domaine.
Puis j'ai redemarré les 2 PCs client, sur le W2000 pas de soucis, mais sur
le WinXP, pb de ping, plus d'accès au DC local comme distant.
J'ai regarde dans Strategies Locales sur le Client, tout est à NON au
niveau IPSEC.
Par contre quand j'ai arrete le service IPSEC sur le poste Client, tout
est OK, Pourquoi ?
Alors que sur mon PC W2000, le service IPSEC est actif, et je n'ai pas ce
probleme.
Y a t-il un outil comme IPSECMON pour XP ?
Je n'ai sais plus par quel bout commencer.
Si quelqu'un avec une piste, merci d'avance,
Robby.

"Robby" news:
Bonsoir,
La suite,
A partir du reseau 192.168.1.0, le pc client W2000 se conecte bien en
ipsec, je peux lancer des pings vers le serveur Local et distant
(192.168.2.0), et y accede bien.
Par contre sur le client XP du reseau B, j'accede au serveur local mais
demande un mot de passe, en plus l'accès est tres lent chose qui ne se
passe pas sur l'autre reseau.Le ping vers le server local est OK, mais
pas vers le serveur distant.
J'ai activé les strategies ;
"Client en reponse seul" sur le DOMAINE
"Securiser le serveur" sur le controleur de Domaine.
Depuis serveur à serveur, pas de soucis, DNS, AD, acces aux partages.
Pourquoi le client XP demande un mot de passe alors que le serveur est
sur le même reseau ?
Pourquoi il ne pinge pas l'autre server ?
Depuis l'autre reseau le client 2000 accede aux 2 serveurs sont mots de
passe et pas de soucis de ping.
Merci d'avance,
Robby


"Robby" news: Ovp$
Bonjour,
Voila, j'ai effectué les premiers tests.
Le contexte :
2 DCs sur chacun DHCP, DNS, AD...
2 reseaux, local A-192.168.1.0 et B-192.168.2.0, relies en VPN/IPSEC via
des routeurs Cisco.
Sur chque reseau, B- 1 PC XP, A- 1 PC 2000.
Sur le reseau A, j'ai mis en place la strategie par defaut pour le
Domaine et attribuer 'Securiser le serveur'
Je vois bien sur le PC 2000, à l'aide du IPSECMON que l'IPSEC est en
fonction,
les pings sont ok meme avec le nom de l'ordinateur.
J'accede au partage sur le serveur.
Par contre le pb est que sur le DCA, je n'accede plus au DNS, à l'AD du
DCB.
Lorsque j'arrete le service IPSEC sur le DCB, ca redevient OK.
Sur le reseau B, depuis mon DCB, je ping bien mon DCA, mais le DNS, l'AD
du DCA, impossible de m'y connecter.
Sur le PC XP ave IPSECMON, il n'y a pas de traffic, tout est à 0.
Une idée ?
J'ai aussi essayé de créer moi-meme une nouvelle Strategie, mais je
reviens au même probleme.
Merci d'avance,
Robby.

"Mathieu CHATEAU" e$
bien sûr, postez sur ce forum :)

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:%
Merci pour votre reactivité,
En effet je vais me monter un labo de test.
Avec 2 DCs 2003
2 PCs dans chaque reseau car entre chaque site j'ai deja du VPN IPSEC
sur mes routeurs CISCO.
Pourriez-vous m'aider, si problemes ?

"Mathieu CHATEAU"
Il faut en effet créer et activer les règles ipsec (autre que celle
par défaut)
Créez une GPO à part dédié à l'ipsec.

Les controlleurs de domaine & serveurs DHCP doivent accepter les
communications non encryptées (afin de joindre le domaine et de
pouvoir obtenir une adresse IP...)

Il faut déployer IPSEC de façon progressive à la fois sur le nombre
de stations/serveurs et les règles.

Je vous recommande de l'implémenter en premier dans un bac à sable
type environnement virtuel de tests afin de vous faire la main.

--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Merci Mathieu,
je suis interessé par IPSEC pour un domaine 2003.
Mais est ce que
Par defaut ceci est-il vrai :

Un ordinateur membre d'un domaine hérite automatiquement de la
stratégie IPSec affectée à la stratégie de sécurité du domaine,
quand il ouvre une session sur le domaine.

faut-il la créer ?

Merci d'avance,

Robby



"Mathieu CHATEAU" news:
une machine non membre du domaine pourra avoir une adresse ip.

En revanche, ipsec authentifie l'ordinateur et non l'utilisateur.
Il aura beau avoir un compte valide, il ne pourra pas accéder aux
ressources des serveurs.

pour les switchs, indiquez moi vos modèles d'équipement, je vous
dirai ce qui est possible.

http://www.labo-microsoft.com/whitepapers/15454/
http://www.commentcamarche.net/internet/vlan.php3

http://www.laboratoire-microsoft.org/articles/network/ipsec/
http://technet.microsoft.com/en-us/library/bb742429.aspx
http://technet.microsoft.com/en-us/network/bb531150.aspx


--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour et merci pour votre reponse,

Pour l'implementation IPSEC,
est-ce que une machine qui n'est pas membre du domaine pourra
obtenir une adresse IP ? je pense que oui.
est-ce que une machine qui n'est pas membre du domaine A pourra
acceder au serveur de fichiers A ? je pense NON, mais si ce user
lui a un compte dans l'Ad ?
Pourriez-vous m'aider la dessus, svp ?
Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de
la mac address)-----auriez-vous un site, une doc ?
Utiliser le 802.1X pour authentifier les machines avant de les
autoriser--auriez-vous un site, une doc ?
Encore merci.
Robby

"Mathieu CHATEAU" news:
Bonjour,

plusieurs choses:
-Exchange utilise l'AD comme base de comptes. Vous ne pouvez donc
pas avoir une BAL sans avoir un compte AD associé. Vous pouvez en
revanche "verrouiller" ces comptes via GPO etc.

Pour la partie ordinateur, il y a des solutions plus ou moins
complexes:
-Répondre par une communication informatique "vous ne pouvez
pas..."
-Vérifier les fonctionnalités de vos switchs (changer le vlan en
fonction de la mac address)
-Utiliser le 802.1X pour authentifier les machines avant de les
autoriser
-Implémenter ipsec, pour empêcher une machine qui n'est pas dans
le domaine de communiquer avec des machines dans le domaine.
Certaines machines, comme les DC ou serveurs DHCP ne peuvent pas
être protégées via ipsec





--
Cordialement,
Mathieu CHATEAU
English blog: http://lordoftheping.blogspot.com
French blog: http://www.lotp.fr


"Robby" news:
Bonjour,

Je cherche une solution concernant la situation suivante :
Dans les memes locaux, deux societés distinctes, chacun à leur
serveur W2003, DHCP, Dc..., Switch, routeur et segements
physiques.
La société A que je gere ne veut pas que la Societé B ce
connecte sur leur reseau, mais la B aura l'accés aux emails sur
le domaine de A donc boites Exchange 2007 et compte AD (au fait
peut-on créer des boites mails sans le compte AD ?).
Comment faire pour que le pc de B si il fait une tentative de
connexion sur une prise reseau du segment A, n'obtient pas d'IP
ou soit bloqué ?
Est-ce possible sur le DHCP ?
Faire un VLAN ?
on m'a parlé d'IPSEc ?
Merci d'avance,
Robby







































Publicité
Poster une réponse
Anonyme