Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête de
demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il bloque
la demande et avertit une boite aux lettre ou mécanisme équivalent.
Ensuite, seule une intervention manuelle d'un opérateur pour valider la
demande peut permettre au processus dhcp de continuer.
C'est possible ça?
merci pour vos pistes.
Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête de
demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il bloque
la demande et avertit une boite aux lettre ou mécanisme équivalent.
Ensuite, seule une intervention manuelle d'un opérateur pour valider la
demande peut permettre au processus dhcp de continuer.
C'est possible ça?
merci pour vos pistes.
Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête de
demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il bloque
la demande et avertit une boite aux lettre ou mécanisme équivalent.
Ensuite, seule une intervention manuelle d'un opérateur pour valider la
demande peut permettre au processus dhcp de continuer.
C'est possible ça?
merci pour vos pistes.
Le 16/12/2009 15:10, nous fit lire :Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac
address, donc en gros il vérifie s'il connait l'adresse mac
demandante en parcourant sa base (en gros) et s'il ne connait pas
cette mac, il bloque la demande et avertit une boite aux lettre ou
mécanisme équivalent. Ensuite, seule une intervention manuelle d'un
opérateur pour valider la demande peut permettre au processus dhcp
de continuer.
C'est possible ça?
Bloquer la demande, non (un autre pourrait répondre, c'est la joie
des broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois
à raison, si si!).
Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des
serveurs DHCP. (c'est typiquement ce que propose les interfaces de
FAI et les modem-routeur-ADSL avec serveur dhcp incorporé)
Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.
La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son
IP & masque, sa gateway et ses DNS, met la mienne à la place et paf
le réseau),
mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).
Maintenant, si votre câblage est encore en coaxial, ça va être
délicat.
Le 16/12/2009 15:10, Tr@nquille nous fit lire :
Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac
address, donc en gros il vérifie s'il connait l'adresse mac
demandante en parcourant sa base (en gros) et s'il ne connait pas
cette mac, il bloque la demande et avertit une boite aux lettre ou
mécanisme équivalent. Ensuite, seule une intervention manuelle d'un
opérateur pour valider la demande peut permettre au processus dhcp
de continuer.
C'est possible ça?
Bloquer la demande, non (un autre pourrait répondre, c'est la joie
des broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois
à raison, si si!).
Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des
serveurs DHCP. (c'est typiquement ce que propose les interfaces de
FAI et les modem-routeur-ADSL avec serveur dhcp incorporé)
Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.
La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son
IP & masque, sa gateway et ses DNS, met la mienne à la place et paf
le réseau),
mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).
Maintenant, si votre câblage est encore en coaxial, ça va être
délicat.
Le 16/12/2009 15:10, nous fit lire :Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac
address, donc en gros il vérifie s'il connait l'adresse mac
demandante en parcourant sa base (en gros) et s'il ne connait pas
cette mac, il bloque la demande et avertit une boite aux lettre ou
mécanisme équivalent. Ensuite, seule une intervention manuelle d'un
opérateur pour valider la demande peut permettre au processus dhcp
de continuer.
C'est possible ça?
Bloquer la demande, non (un autre pourrait répondre, c'est la joie
des broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois
à raison, si si!).
Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des
serveurs DHCP. (c'est typiquement ce que propose les interfaces de
FAI et les modem-routeur-ADSL avec serveur dhcp incorporé)
Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.
La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son
IP & masque, sa gateway et ses DNS, met la mienne à la place et paf
le réseau),
mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).
Maintenant, si votre câblage est encore en coaxial, ça va être
délicat.
*Ecrit* *par* *Le Forgeron*:Le 16/12/2009 15:10, nous fit lire :Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il
bloque la demande et avertit une boite aux lettre ou mécanisme
équivalent. Ensuite, seule une intervention manuelle d'un opérateur
pour valider la demande peut permettre au processus dhcp de continuer.
C'est possible ça?Bloquer la demande, non (un autre pourrait répondre, c'est la joie des
broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois à
raison, si si!).
ok, moi je n'ai qu'un seul serveur dhcp sur le réseau.Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des serveurs
DHCP. (c'est typiquement ce que propose les interfaces de FAI et les
modem-routeur-ADSL avec serveur dhcp incorporé)
oui mais non, avec plus de 200 postes, je voulais éviter ce genre de
solutions...Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.
j'imaginais un truc déjà tout fait.La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son IP
& masque, sa gateway et ses DNS, met la mienne à la place et paf le
réseau),
ok mais ça suppose qu'on a accès physiquement à une machine au moins.mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).
et là on pert la souplesse de l'itinérant (les gens connus doivent
pouvoir changer de bureau facilement, les inconnus ne devraient pas
pouvoir obtenir une ip sans passer par un contrôle préalable de l'état
de leur poste)Maintenant, si votre câblage est encore en coaxial, ça va être délicat.
de ce côté ça irait :-)
bref, je cherche une solution pour éviter que des personnes externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui les
invitent, ça ne marche pas...
peut-être qu'il y a d'autres techniques que je n'imagine même pas :-)
merci de ta réponse en tout cas.
*Ecrit* *par* *Le Forgeron*:
Le 16/12/2009 15:10, Tr@nquille nous fit lire :
Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il
bloque la demande et avertit une boite aux lettre ou mécanisme
équivalent. Ensuite, seule une intervention manuelle d'un opérateur
pour valider la demande peut permettre au processus dhcp de continuer.
C'est possible ça?
Bloquer la demande, non (un autre pourrait répondre, c'est la joie des
broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois à
raison, si si!).
ok, moi je n'ai qu'un seul serveur dhcp sur le réseau.
Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des serveurs
DHCP. (c'est typiquement ce que propose les interfaces de FAI et les
modem-routeur-ADSL avec serveur dhcp incorporé)
oui mais non, avec plus de 200 postes, je voulais éviter ce genre de
solutions...
Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.
j'imaginais un truc déjà tout fait.
La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son IP
& masque, sa gateway et ses DNS, met la mienne à la place et paf le
réseau),
ok mais ça suppose qu'on a accès physiquement à une machine au moins.
mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).
et là on pert la souplesse de l'itinérant (les gens connus doivent
pouvoir changer de bureau facilement, les inconnus ne devraient pas
pouvoir obtenir une ip sans passer par un contrôle préalable de l'état
de leur poste)
Maintenant, si votre câblage est encore en coaxial, ça va être délicat.
de ce côté ça irait :-)
bref, je cherche une solution pour éviter que des personnes externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui les
invitent, ça ne marche pas...
peut-être qu'il y a d'autres techniques que je n'imagine même pas :-)
merci de ta réponse en tout cas.
*Ecrit* *par* *Le Forgeron*:Le 16/12/2009 15:10, nous fit lire :Bonjour,
est-ce qu'il existe un serveur dhcp qui serait capable de faire ça:
lorsqu'un poste se connecte sur le réseau, celui-ci émet une requête
de demande d'adresse ip.
Le serveur l'intercepte.
à partir de là, plutôt que d'envoyer l'ip comme un bourin, il va
contrôler si une adresse ip a déjà été attribuée à cette mac address,
donc en gros il vérifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il
bloque la demande et avertit une boite aux lettre ou mécanisme
équivalent. Ensuite, seule une intervention manuelle d'un opérateur
pour valider la demande peut permettre au processus dhcp de continuer.
C'est possible ça?Bloquer la demande, non (un autre pourrait répondre, c'est la joie des
broadcasts (et oui, y a des réseaux qui peuvent avoir plusieurs
DHCP... parfois par maladresse, d'autres fois par bêtise, et parfois à
raison, si si!).
ok, moi je n'ai qu'un seul serveur dhcp sur le réseau.Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des serveurs
DHCP. (c'est typiquement ce que propose les interfaces de FAI et les
modem-routeur-ADSL avec serveur dhcp incorporé)
oui mais non, avec plus de 200 postes, je voulais éviter ce genre de
solutions...Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a écrire.
j'imaginais un truc déjà tout fait.La solution un peu plus "fasciste" consiste non pas à jouer sur le
serveur DHCP (je débranche une machine qui marche en récupérant son IP
& masque, sa gateway et ses DNS, met la mienne à la place et paf le
réseau),
ok mais ça suppose qu'on a accès physiquement à une machine au moins.mais à activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisés sont ouverts).
et là on pert la souplesse de l'itinérant (les gens connus doivent
pouvoir changer de bureau facilement, les inconnus ne devraient pas
pouvoir obtenir une ip sans passer par un contrôle préalable de l'état
de leur poste)Maintenant, si votre câblage est encore en coaxial, ça va être délicat.
de ce côté ça irait :-)
bref, je cherche une solution pour éviter que des personnes externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui les
invitent, ça ne marche pas...
peut-être qu'il y a d'autres techniques que je n'imagine même pas :-)
merci de ta réponse en tout cas.
802.1X Protocole qui permet d'authentifier l'utilisateur ou le
matériel avant "d'ouvrir" le port du switch, l'authentification passe
par un serveur Radius, Tacacs, cas, et peu faire appel à un annuaire
LDAP pour authentifier l'utilisateur.
Le 16/12/2009 19:11, a écrit :
bref, je cherche une solution pour éviter que des personnes
externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui
les
invitent, ça ne marche pas...
peut-être qu'il y a d'autres techniques que je n'imagine même pas
:-)
merci de ta réponse en tout cas.
802.1X Protocole qui permet d'authentifier l'utilisateur ou le
matériel avant "d'ouvrir" le port du switch, l'authentification passe
par un serveur Radius, Tacacs, cas, et peu faire appel à un annuaire
LDAP pour authentifier l'utilisateur.
Le 16/12/2009 19:11, Tr@nquille a écrit :
bref, je cherche une solution pour éviter que des personnes
externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui
les
invitent, ça ne marche pas...
peut-être qu'il y a d'autres techniques que je n'imagine même pas
:-)
merci de ta réponse en tout cas.
802.1X Protocole qui permet d'authentifier l'utilisateur ou le
matériel avant "d'ouvrir" le port du switch, l'authentification passe
par un serveur Radius, Tacacs, cas, et peu faire appel à un annuaire
LDAP pour authentifier l'utilisateur.
Le 16/12/2009 19:11, a écrit :
bref, je cherche une solution pour éviter que des personnes
externes à
notre entreprise se connectent à notre réseau sans d'abord qu'elles
passent par notre service afin qu'on vérifie l'état général de leur
poste au niveau sécurité.
Compter uniquement sur la bonne volonté des personnes internes qui
les
invitent, ça ne marche pas...
peut-être qu'il y a d'autres techniques que je n'imagine même pas
:-)
merci de ta réponse en tout cas.