je posséde un LAN et aimerait que seul certaines machnes de mon domaine
puissent obtenir une IP. Affin d'éviter que quiconque à l interieur de l
entreprise puisse seconnecter via le LAN et ainsi obtenir une IP valide.
Il y a t il une méthode pour bloquer certaines MAC au niveau du DHCP? Existe
t il d'autres méthodes?
On Thu, 11 Dec 2003 10:15:32 +0000, Eric Belhomme wrote:
enfin, le bon vieux cache ARP statique si l'OS en est équipé (bye bye Win9x/Me/NT/2k).
euh... t'es sur qu'on peut pas rendre le cache arp de 2k statique ???
d:>arp -s 168.1.106.3 00-01-02-a8-2c-4c
Yep !
Windows se fera un plaisir de mettre à jour son cache ARP si on lui demande poliment, même dans le cas d'une entrée définie comme statique.
Je ne trouve pas de référence et j'ai pas de Windows sous la main pour confirmer, mais un des auteurs d'arp-sk se fera bien un plaisir de compléter tout ça, non ?
Nicob
On Thu, 11 Dec 2003 10:15:32 +0000, Eric Belhomme wrote:
enfin, le bon vieux cache ARP statique si l'OS en est équipé (bye bye
Win9x/Me/NT/2k).
euh... t'es sur qu'on peut pas rendre le cache arp de 2k statique ???
d:>arp -s 168.1.106.3 00-01-02-a8-2c-4c
Yep !
Windows se fera un plaisir de mettre à jour son cache ARP si on lui
demande poliment, même dans le cas d'une entrée définie comme statique.
Je ne trouve pas de référence et j'ai pas de Windows sous la main pour
confirmer, mais un des auteurs d'arp-sk se fera bien un plaisir de
compléter tout ça, non ?
On Thu, 11 Dec 2003 10:15:32 +0000, Eric Belhomme wrote:
enfin, le bon vieux cache ARP statique si l'OS en est équipé (bye bye Win9x/Me/NT/2k).
euh... t'es sur qu'on peut pas rendre le cache arp de 2k statique ???
d:>arp -s 168.1.106.3 00-01-02-a8-2c-4c
Yep !
Windows se fera un plaisir de mettre à jour son cache ARP si on lui demande poliment, même dans le cas d'une entrée définie comme statique.
Je ne trouve pas de référence et j'ai pas de Windows sous la main pour confirmer, mais un des auteurs d'arp-sk se fera bien un plaisir de compléter tout ça, non ?
Nicob
Patrick MATHEVON
:: je posséde un LAN et aimerait que seul certaines machnes de mon :: domaine puissent obtenir une IP. Affin d'éviter que quiconque à l :: interieur de l entreprise puisse seconnecter via le LAN et ainsi :: obtenir une IP valide. Il y a t il une méthode pour bloquer :: certaines MAC au niveau du DHCP? Existe t il d'autres méthodes? :: :: Réseau entiérement en 2000 server
Pour ma part, j'ai créé des baux statiques pour chaque station (réservation par la MAC). Le scope étant plus grand que mes besoins, j'ai créé des réservations sur des Mac non attribuables. Ainsi, n'importe quelle bécane non connue ne peut pas avoir d'IP
Patrick
:: je posséde un LAN et aimerait que seul certaines machnes de mon
:: domaine puissent obtenir une IP. Affin d'éviter que quiconque à l
:: interieur de l entreprise puisse seconnecter via le LAN et ainsi
:: obtenir une IP valide. Il y a t il une méthode pour bloquer
:: certaines MAC au niveau du DHCP? Existe t il d'autres méthodes?
::
:: Réseau entiérement en 2000 server
Pour ma part, j'ai créé des baux statiques pour chaque station (réservation
par la MAC). Le scope étant plus grand que mes besoins, j'ai créé des
réservations sur des Mac non attribuables. Ainsi, n'importe quelle bécane
non connue ne peut pas avoir d'IP
:: je posséde un LAN et aimerait que seul certaines machnes de mon :: domaine puissent obtenir une IP. Affin d'éviter que quiconque à l :: interieur de l entreprise puisse seconnecter via le LAN et ainsi :: obtenir une IP valide. Il y a t il une méthode pour bloquer :: certaines MAC au niveau du DHCP? Existe t il d'autres méthodes? :: :: Réseau entiérement en 2000 server
Pour ma part, j'ai créé des baux statiques pour chaque station (réservation par la MAC). Le scope étant plus grand que mes besoins, j'ai créé des réservations sur des Mac non attribuables. Ainsi, n'importe quelle bécane non connue ne peut pas avoir d'IP
Patrick
Patrick MATHEVON
Pierre LALET wrote: :: Pat le Rouge wrote: ::: je posséde un LAN et aimerait que seul certaines machnes de mon ::: domaine puissent obtenir une IP. Affin d'éviter que quiconque à l ::: interieur de l entreprise puisse seconnecter via le LAN et ainsi ::: obtenir une IP valide. Il y a t il une méthode pour bloquer ::: certaines MAC au niveau du DHCP? Existe t il d'autres méthodes? :: :: Si je comprends bien, la sécurité du système serait basée sur les :: adresses MAC ? Faut savoir que ça coute pas cher de changer une :: adresse MAC, c'est quand même pas terrible comme sécurité.
Une partie de la sécurité. Je commence par n'autoriser l'accès PHYSIQUE à mon réseau qu'aux machines que je maitrise (ou que je suis susceptible de maitriser).
::: Réseau entiérement en 2000 server :: :: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000 maitrisé et une RedHat de boite, mon choix est fait.
Patrick
Pierre LALET wrote:
:: Pat le Rouge wrote:
::: je posséde un LAN et aimerait que seul certaines machnes de mon
::: domaine puissent obtenir une IP. Affin d'éviter que quiconque à l
::: interieur de l entreprise puisse seconnecter via le LAN et ainsi
::: obtenir une IP valide. Il y a t il une méthode pour bloquer
::: certaines MAC au niveau du DHCP? Existe t il d'autres méthodes?
::
:: Si je comprends bien, la sécurité du système serait basée sur les
:: adresses MAC ? Faut savoir que ça coute pas cher de changer une
:: adresse MAC, c'est quand même pas terrible comme sécurité.
Une partie de la sécurité. Je commence par n'autoriser l'accès PHYSIQUE à
mon réseau qu'aux machines que je maitrise (ou que je suis susceptible de
maitriser).
::: Réseau entiérement en 2000 server
::
:: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000
maitrisé et une RedHat de boite, mon choix est fait.
Pierre LALET wrote: :: Pat le Rouge wrote: ::: je posséde un LAN et aimerait que seul certaines machnes de mon ::: domaine puissent obtenir une IP. Affin d'éviter que quiconque à l ::: interieur de l entreprise puisse seconnecter via le LAN et ainsi ::: obtenir une IP valide. Il y a t il une méthode pour bloquer ::: certaines MAC au niveau du DHCP? Existe t il d'autres méthodes? :: :: Si je comprends bien, la sécurité du système serait basée sur les :: adresses MAC ? Faut savoir que ça coute pas cher de changer une :: adresse MAC, c'est quand même pas terrible comme sécurité.
Une partie de la sécurité. Je commence par n'autoriser l'accès PHYSIQUE à mon réseau qu'aux machines que je maitrise (ou que je suis susceptible de maitriser).
::: Réseau entiérement en 2000 server :: :: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000 maitrisé et une RedHat de boite, mon choix est fait.
Patrick
Nicob
On Thu, 11 Dec 2003 10:51:43 +0000, Patrick MATHEVON wrote:
Pour ma part, j'ai créé des baux statiques pour chaque station (réservation par la MAC). Le scope étant plus grand que mes besoins, j'ai créé des réservations sur des Mac non attribuables. Ainsi, n'importe quelle bécane non connue ne peut pas avoir d'IP
Sauf si le "méchant" change son adresse MAC pour la remplacer par une pouvant obtenir une IP valide (info qu'il aura sniffé préalablement) ...
Nicob
On Thu, 11 Dec 2003 10:51:43 +0000, Patrick MATHEVON wrote:
Pour ma part, j'ai créé des baux statiques pour chaque station
(réservation par la MAC). Le scope étant plus grand que mes besoins,
j'ai créé des réservations sur des Mac non attribuables. Ainsi,
n'importe quelle bécane non connue ne peut pas avoir d'IP
Sauf si le "méchant" change son adresse MAC pour la remplacer par une
pouvant obtenir une IP valide (info qu'il aura sniffé préalablement) ...
On Thu, 11 Dec 2003 10:51:43 +0000, Patrick MATHEVON wrote:
Pour ma part, j'ai créé des baux statiques pour chaque station (réservation par la MAC). Le scope étant plus grand que mes besoins, j'ai créé des réservations sur des Mac non attribuables. Ainsi, n'importe quelle bécane non connue ne peut pas avoir d'IP
Sauf si le "méchant" change son adresse MAC pour la remplacer par une pouvant obtenir une IP valide (info qu'il aura sniffé préalablement) ...
Nicob
Pierre LALET
Patrick MATHEVON wrote:
Une partie de la sécurité. Je commence par n'autoriser l'accès PHYSIQUE à mon réseau qu'aux machines que je maitrise (ou que je suis susceptible de maitriser).
Ce que je veux dire c'est que si je veux me brancher sur un réseau à la place d'une machine, et que je n'ai pas le droit de le faire, mon premier réflexe sera de prendre les adresses MAC et IP de la machine dont je prends la place.
::: Réseau entiérement en 2000 server :: :: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000 maitrisé et une RedHat de boite, mon choix est fait.
Certes. Je plaisantais. Mais bon.
pierre
-- Pierre LALET -- Droids Corporation -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Patrick MATHEVON wrote:
Une partie de la sécurité. Je commence par n'autoriser l'accès PHYSIQUE à
mon réseau qu'aux machines que je maitrise (ou que je suis susceptible de
maitriser).
Ce que je veux dire c'est que si je veux me brancher sur un réseau à la
place d'une machine, et que je n'ai pas le droit de le faire, mon
premier réflexe sera de prendre les adresses MAC et IP de la machine
dont je prends la place.
::: Réseau entiérement en 2000 server
::
:: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000
maitrisé et une RedHat de boite, mon choix est fait.
Certes. Je plaisantais. Mais bon.
pierre
--
Pierre LALET -- Droids Corporation
lalet@enseirb.fr -- http://www.enseirb.fr/~lalet
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Une partie de la sécurité. Je commence par n'autoriser l'accès PHYSIQUE à mon réseau qu'aux machines que je maitrise (ou que je suis susceptible de maitriser).
Ce que je veux dire c'est que si je veux me brancher sur un réseau à la place d'une machine, et que je n'ai pas le droit de le faire, mon premier réflexe sera de prendre les adresses MAC et IP de la machine dont je prends la place.
::: Réseau entiérement en 2000 server :: :: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000 maitrisé et une RedHat de boite, mon choix est fait.
Certes. Je plaisantais. Mais bon.
pierre
-- Pierre LALET -- Droids Corporation -- http://www.enseirb.fr/~lalet Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Eric Belhomme
Cedric Blancher wrote in news::
Dans sa prose, Eric Belhomme nous ecrivait :
euh... t'es sur qu'on peut pas rendre le cache arp de 2k statique ???
Quasiment oui (ma mémoire peut me jouer des tours), d'ailleurs, on va vérifier... Maintenant, tu prends ton outils de corruption de cache ARP favori (arpspoof, arp-sk, arp-tool, scapy, etc.) et tu essayes des corrompre une de ces entrées statiques.
Démonstration sur un Win2K SP4 dernier niveau de patch (192.168.10.10) :
bon ben c'est bien fait pour moi, j'avais qu'à tester avant de poster... ca
m'apprendra à me fier bêtement à la sortie shell d'un exe Microsoft !
...merci pour la démonstration ;)
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Cedric Blancher <blancher@cartel-securite.fr> wrote in
news:pan.2003.12.11.10.38.05.952534@cartel-securite.fr:
Dans sa prose, Eric Belhomme nous ecrivait :
euh... t'es sur qu'on peut pas rendre le cache arp de 2k statique ???
Quasiment oui (ma mémoire peut me jouer des tours), d'ailleurs, on va
vérifier... Maintenant, tu prends ton outils de corruption de cache ARP
favori (arpspoof, arp-sk, arp-tool, scapy, etc.) et tu essayes des
corrompre une de ces entrées statiques.
Démonstration sur un Win2K SP4 dernier niveau de patch (192.168.10.10) :
bon ben c'est bien fait pour moi, j'avais qu'à tester avant de poster... ca
m'apprendra à me fier bêtement à la sortie shell d'un exe Microsoft !
...merci pour la démonstration ;)
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
euh... t'es sur qu'on peut pas rendre le cache arp de 2k statique ???
Quasiment oui (ma mémoire peut me jouer des tours), d'ailleurs, on va vérifier... Maintenant, tu prends ton outils de corruption de cache ARP favori (arpspoof, arp-sk, arp-tool, scapy, etc.) et tu essayes des corrompre une de ces entrées statiques.
Démonstration sur un Win2K SP4 dernier niveau de patch (192.168.10.10) :
bon ben c'est bien fait pour moi, j'avais qu'à tester avant de poster... ca
m'apprendra à me fier bêtement à la sortie shell d'un exe Microsoft !
...merci pour la démonstration ;)
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Eric Belhomme
"Patrick MATHEVON" wrote in news:br9gnh$bj5$:
::: Réseau entiérement en 2000 server :: :: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000 maitrisé et une RedHat de boite, mon choix est fait.
te vexes pas, la note d'humour n'etait pas relative au choix de l'OS, mais
au fait que tu ecrives que _tout_ ton réseau est installé en 2000 Server ;) alors que tu voulais plus probablement ecrire que tes serveurs etaient installés en 2000 Server...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
"Patrick MATHEVON" <patrick.mathevon@businessinteractif.fr> wrote in
news:br9gnh$bj5$1@reader1.imaginet.fr:
::: Réseau entiérement en 2000 server
::
:: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000
maitrisé et une RedHat de boite, mon choix est fait.
te vexes pas, la note d'humour n'etait pas relative au choix de l'OS, mais
au fait que tu ecrives que _tout_ ton réseau est installé en 2000 Server ;)
alors que tu voulais plus probablement ecrire que tes serveurs etaient
installés en 2000 Server...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
::: Réseau entiérement en 2000 server :: :: Faut avoir de l'humour.
Quel est le probleme? C'est un OS comme un autre. Et entre un Win2000 maitrisé et une RedHat de boite, mon choix est fait.
te vexes pas, la note d'humour n'etait pas relative au choix de l'OS, mais
au fait que tu ecrives que _tout_ ton réseau est installé en 2000 Server ;) alors que tu voulais plus probablement ecrire que tes serveurs etaient installés en 2000 Server...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Patrick MATHEVON
Nicob wrote: :: On Thu, 11 Dec 2003 10:51:43 +0000, Patrick MATHEVON wrote: :: ::: Pour ma part, j'ai créé des baux statiques pour chaque station ::: (réservation par la MAC). Le scope étant plus grand que mes besoins, ::: j'ai créé des réservations sur des Mac non attribuables. Ainsi, ::: n'importe quelle bécane non connue ne peut pas avoir d'IP :: :: Sauf si le "méchant" change son adresse MAC pour la remplacer par une :: pouvant obtenir une IP valide (info qu'il aura sniffé préalablement) :: ...
ca reste une faille. Apres, on peut jouer avec les switchs et bloquer les MAC de chaque port. Il faudra qu'il repere le bon port... La, je n'ai aucune idée sur les solutions à appliquer quand on arrive à ce niveau de compromission.
Patrick
Nicob wrote:
:: On Thu, 11 Dec 2003 10:51:43 +0000, Patrick MATHEVON wrote:
::
::: Pour ma part, j'ai créé des baux statiques pour chaque station
::: (réservation par la MAC). Le scope étant plus grand que mes besoins,
::: j'ai créé des réservations sur des Mac non attribuables. Ainsi,
::: n'importe quelle bécane non connue ne peut pas avoir d'IP
::
:: Sauf si le "méchant" change son adresse MAC pour la remplacer par une
:: pouvant obtenir une IP valide (info qu'il aura sniffé préalablement)
:: ...
ca reste une faille. Apres, on peut jouer avec les switchs et bloquer les
MAC de chaque port. Il faudra qu'il repere le bon port...
La, je n'ai aucune idée sur les solutions à appliquer quand on arrive à ce
niveau de compromission.
Nicob wrote: :: On Thu, 11 Dec 2003 10:51:43 +0000, Patrick MATHEVON wrote: :: ::: Pour ma part, j'ai créé des baux statiques pour chaque station ::: (réservation par la MAC). Le scope étant plus grand que mes besoins, ::: j'ai créé des réservations sur des Mac non attribuables. Ainsi, ::: n'importe quelle bécane non connue ne peut pas avoir d'IP :: :: Sauf si le "méchant" change son adresse MAC pour la remplacer par une :: pouvant obtenir une IP valide (info qu'il aura sniffé préalablement) :: ...
ca reste une faille. Apres, on peut jouer avec les switchs et bloquer les MAC de chaque port. Il faudra qu'il repere le bon port... La, je n'ai aucune idée sur les solutions à appliquer quand on arrive à ce niveau de compromission.
Patrick
Eric Masson
"Patrick" == Patrick MATHEVON writes:
Patrick> ca reste une faille. Apres, on peut jouer avec les switchs et Patrick> bloquer les MAC de chaque port. Il faudra qu'il repere le bon Patrick> port... La, je n'ai aucune idée sur les solutions à appliquer Patrick> quand on arrive à ce niveau de compromission.
Authentification 802.1x sur les ports du switch
Eric Masson
-- L'usenet est un NG comme les autres , non ? C'est quoi ces règles à dix sous , là ? C'est ici qu'on se prend la tête ? -+- D23 in GNU - Le neuneu a dissous, et dissous c'est pas cher -+-
"Patrick" == Patrick MATHEVON <patrick.mathevon@businessinteractif.fr> writes:
Patrick> ca reste une faille. Apres, on peut jouer avec les switchs et
Patrick> bloquer les MAC de chaque port. Il faudra qu'il repere le bon
Patrick> port... La, je n'ai aucune idée sur les solutions à appliquer
Patrick> quand on arrive à ce niveau de compromission.
Authentification 802.1x sur les ports du switch
Eric Masson
--
L'usenet est un NG comme les autres , non ? C'est quoi ces règles à dix
sous , là ? C'est ici qu'on se prend la tête ?
-+- D23 in GNU - Le neuneu a dissous, et dissous c'est pas cher -+-
Patrick> ca reste une faille. Apres, on peut jouer avec les switchs et Patrick> bloquer les MAC de chaque port. Il faudra qu'il repere le bon Patrick> port... La, je n'ai aucune idée sur les solutions à appliquer Patrick> quand on arrive à ce niveau de compromission.
Authentification 802.1x sur les ports du switch
Eric Masson
-- L'usenet est un NG comme les autres , non ? C'est quoi ces règles à dix sous , là ? C'est ici qu'on se prend la tête ? -+- D23 in GNU - Le neuneu a dissous, et dissous c'est pas cher -+-
