Bonjour tout le monde,
j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout
pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un
portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip
avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir
accès aux pc du domaine et préparer des attaques même si toutes les stations
de travail et les serveurs sont protégés et la communication avec certains
serveurs est cryptée reste que ce genre d'intrusion et surtout la
préparation de certains paquets reste dangereuse.
donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense
peut être du côté ipsec avec les filtres ?????
Merci de vos réponses.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jacques Barathon [MS]
IPsec peut en effet te permettre d'interdire à des machines non-membres de ton AD d'accéder aux ressources de ton réseau. Par contre à priori il va être compliqué de leur interdire d'avoir une adresse IP. Même si tu blindes ton DHCP, rien n'empêche un bricoleur de s'attribuer une adresse fixe.
A titre d'exemple, tu peux voir comment l'informatique interne de MS se sert d'IPsec: http://www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx
Jacques
"User" wrote in message news:
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
IPsec peut en effet te permettre d'interdire à des machines non-membres de
ton AD d'accéder aux ressources de ton réseau. Par contre à priori il va
être compliqué de leur interdire d'avoir une adresse IP. Même si tu blindes
ton DHCP, rien n'empêche un bricoleur de s'attribuer une adresse fixe.
A titre d'exemple, tu peux voir comment l'informatique interne de MS se sert
d'IPsec:
http://www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx
Jacques
"User" <Anonymous@microsoft.com> wrote in message
news:OxZQpUA1EHA.2156@TK2MSFTNGP10.phx.gbl...
Bonjour tout le monde,
j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout
pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un
portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une
ip avec l'ip de la passerelle du dns etc..... et donc lui permettre
d'avoir accès aux pc du domaine et préparer des attaques même si toutes
les stations de travail et les serveurs sont protégés et la communication
avec certains serveurs est cryptée reste que ce genre d'intrusion et
surtout la préparation de certains paquets reste dangereuse.
donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense
peut être du côté ipsec avec les filtres ?????
Merci de vos réponses.
IPsec peut en effet te permettre d'interdire à des machines non-membres de ton AD d'accéder aux ressources de ton réseau. Par contre à priori il va être compliqué de leur interdire d'avoir une adresse IP. Même si tu blindes ton DHCP, rien n'empêche un bricoleur de s'attribuer une adresse fixe.
A titre d'exemple, tu peux voir comment l'informatique interne de MS se sert d'IPsec: http://www.microsoft.com/technet/itsolutions/msit/security/ipsecdomisolwp.mspx
Jacques
"User" wrote in message news:
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
Lionel Parbhakar [MVS]
Bonjour,
Moi ce que je te propose c'est plutot (et c'est peut etre couteux mais bon :p) de regarder du cote des switchs de niveau 2/3 OSI qui font de la gestion de listes de controle d'acces (ACL) au niveau Mac.
Ainsi tu ne permets que les adresses MAC de tes postes. Donc quelqu'un utilisant un portable ou autre ne joindra pas le dhcp/dns etc ...
Maintenant cela ne te met pas a l'abri de Spoofing d'adresse MAC ... Enfin ...
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip
avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations
de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
Bonjour,
Moi ce que je te propose c'est plutot (et c'est peut etre couteux mais bon
:p) de regarder du cote des switchs de niveau 2/3 OSI qui font de la gestion
de listes de controle d'acces (ACL) au niveau Mac.
Ainsi tu ne permets que les adresses MAC de tes postes.
Donc quelqu'un utilisant un portable ou autre ne joindra pas le dhcp/dns etc
...
Maintenant cela ne te met pas a l'abri de Spoofing d'adresse MAC ...
Enfin ...
"User" <Anonymous@microsoft.com> a écrit dans le message de
news:OxZQpUA1EHA.2156@TK2MSFTNGP10.phx.gbl...
Bonjour tout le monde,
j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout
pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un
portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une
ip
avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir
accès aux pc du domaine et préparer des attaques même si toutes les
stations
de travail et les serveurs sont protégés et la communication avec certains
serveurs est cryptée reste que ce genre d'intrusion et surtout la
préparation de certains paquets reste dangereuse.
donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense
peut être du côté ipsec avec les filtres ?????
Merci de vos réponses.
Moi ce que je te propose c'est plutot (et c'est peut etre couteux mais bon :p) de regarder du cote des switchs de niveau 2/3 OSI qui font de la gestion de listes de controle d'acces (ACL) au niveau Mac.
Ainsi tu ne permets que les adresses MAC de tes postes. Donc quelqu'un utilisant un portable ou autre ne joindra pas le dhcp/dns etc ...
Maintenant cela ne te met pas a l'abri de Spoofing d'adresse MAC ... Enfin ...
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip
avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations
de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
User
Je vous remercie à tous pour vos réponses le réseau est déjà switché je vais essayer de voir ce que je peux faire avec ipsec. Merci
"User" a écrit dans le message de news:
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
Je vous remercie à tous pour vos réponses le réseau est déjà switché je
vais essayer de voir ce que je peux faire avec ipsec.
Merci
"User" <Anonymous@microsoft.com> a écrit dans le message de news:
OxZQpUA1EHA.2156@TK2MSFTNGP10.phx.gbl...
Bonjour tout le monde,
j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout
pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un
portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une
ip avec l'ip de la passerelle du dns etc..... et donc lui permettre
d'avoir accès aux pc du domaine et préparer des attaques même si toutes
les stations de travail et les serveurs sont protégés et la communication
avec certains serveurs est cryptée reste que ce genre d'intrusion et
surtout la préparation de certains paquets reste dangereuse.
donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense
peut être du côté ipsec avec les filtres ?????
Merci de vos réponses.
Je vous remercie à tous pour vos réponses le réseau est déjà switché je vais essayer de voir ce que je peux faire avec ipsec. Merci
"User" a écrit dans le message de news:
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
Jacques Barathon [MS]
"Lionel Parbhakar [MVS]" <lionel@[delete_this]parbhakar.com> wrote in message news:
Bonjour,
Moi ce que je te propose c'est plutot (et c'est peut etre couteux mais bon :p) de regarder du cote des switchs de niveau 2/3 OSI qui font de la gestion de listes de controle d'acces (ACL) au niveau Mac.
Ainsi tu ne permets que les adresses MAC de tes postes. Donc quelqu'un utilisant un portable ou autre ne joindra pas le dhcp/dns etc ...
Maintenant cela ne te met pas a l'abri de Spoofing d'adresse MAC ... Enfin ...
Comme tu dis, n'importe qui peut faire du spoofing, et en plus à chaque achat/remplacement/retrait de matériel il faut mettre à jour ta liste d'adresses MAC, bonjour la lourdeur et les risques d'erreur.
Jacques
"Lionel Parbhakar [MVS]" <lionel@[delete_this]parbhakar.com> wrote in
message news:ewde1LC1EHA.1152@TK2MSFTNGP14.phx.gbl...
Bonjour,
Moi ce que je te propose c'est plutot (et c'est peut etre couteux mais bon
:p) de regarder du cote des switchs de niveau 2/3 OSI qui font de la
gestion
de listes de controle d'acces (ACL) au niveau Mac.
Ainsi tu ne permets que les adresses MAC de tes postes.
Donc quelqu'un utilisant un portable ou autre ne joindra pas le dhcp/dns
etc
...
Maintenant cela ne te met pas a l'abri de Spoofing d'adresse MAC ...
Enfin ...
Comme tu dis, n'importe qui peut faire du spoofing, et en plus à chaque
achat/remplacement/retrait de matériel il faut mettre à jour ta liste
d'adresses MAC, bonjour la lourdeur et les risques d'erreur.
"Lionel Parbhakar [MVS]" <lionel@[delete_this]parbhakar.com> wrote in message news:
Bonjour,
Moi ce que je te propose c'est plutot (et c'est peut etre couteux mais bon :p) de regarder du cote des switchs de niveau 2/3 OSI qui font de la gestion de listes de controle d'acces (ACL) au niveau Mac.
Ainsi tu ne permets que les adresses MAC de tes postes. Donc quelqu'un utilisant un portable ou autre ne joindra pas le dhcp/dns etc ...
Maintenant cela ne te met pas a l'abri de Spoofing d'adresse MAC ... Enfin ...
Comme tu dis, n'importe qui peut faire du spoofing, et en plus à chaque achat/remplacement/retrait de matériel il faut mettre à jour ta liste d'adresses MAC, bonjour la lourdeur et les risques d'erreur.
Jacques
GG [MVP]
IPsec peut en effet te permettre d'interdire à des machines non-membres de ton AD d'accéder aux ressources de ton réseau. Par contre à priori il va être compliqué de leur interdire d'avoir une adresse IP. Même si tu blindes ton DHCP, rien n'empêche un bricoleur de s'attribuer une adresse fixe.
C'est pour cette raison que je préfère un bon radius comme IAS par exemple. Internet Authentification Service :-) dans l'aide en ligne c'est parfaitement décrit comment s'y prendre et là il va être difficile de passer outre, avec un petit serveur pour la sortie et c'est dans la poche non ? :-)
IPsec peut en effet te permettre d'interdire à des machines
non-membres de ton AD d'accéder aux ressources de ton réseau. Par
contre à priori il va être compliqué de leur interdire d'avoir une adresse
IP. Même si tu
blindes ton DHCP, rien n'empêche un bricoleur de s'attribuer une
adresse fixe.
C'est pour cette raison que je préfère un bon radius comme
IAS par exemple. Internet Authentification Service :-) dans l'aide
en ligne c'est parfaitement décrit comment s'y prendre et là il
va être difficile de passer outre, avec un petit serveur pour la
sortie et c'est dans la poche non ? :-)
IPsec peut en effet te permettre d'interdire à des machines non-membres de ton AD d'accéder aux ressources de ton réseau. Par contre à priori il va être compliqué de leur interdire d'avoir une adresse IP. Même si tu blindes ton DHCP, rien n'empêche un bricoleur de s'attribuer une adresse fixe.
C'est pour cette raison que je préfère un bon radius comme IAS par exemple. Internet Authentification Service :-) dans l'aide en ligne c'est parfaitement décrit comment s'y prendre et là il va être difficile de passer outre, avec un petit serveur pour la sortie et c'est dans la poche non ? :-)
To define 802.1X authentication for wireless networks in Group Policy http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/define_8021x_inGP.asp
Le tout couplé avec IPSEc en mode AH pour l'authentification mutuelle des machines entre elles.
Et pour avoir la totale, il est également intéressant de regarder l'offre de Cisco (en attendant Network Access Quarantaine de Longhorn :-p)
Cisco Network Access Control http://www.cisco.com/global/HK/learning/security_day/files/NAC_Overview.pdf
Cordialement
-- Stanislas Quastana, CISSP Architecte Infrastructure Division Développeurs et Plate-Forme d'Entreprise Microsoft France
"User" wrote in message news:%
Je vous remercie à tous pour vos réponses le réseau est déjà switché je vais essayer de voir ce que je peux faire avec ipsec. Merci
"User" a écrit dans le message de news:
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
Bonjour,
L'utilisation de 802.1x est une très bonne solution pour contrôler l'accès
au LAN (c'est également utilisé pour protéger les accès WLAN)
Utilisation de l'authentification 802.1x sur les ordinateurs Windows 2000
http://support.microsoft.com/default.aspx?scid=kb;fr;313664
To define 802.1X authentication for wireless networks in Group Policy
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/define_8021x_inGP.asp
Le tout couplé avec IPSEc en mode AH pour l'authentification mutuelle des
machines entre elles.
Et pour avoir la totale, il est également intéressant de regarder l'offre
de Cisco (en attendant Network Access Quarantaine de Longhorn :-p)
Cisco Network Access Control
http://www.cisco.com/global/HK/learning/security_day/files/NAC_Overview.pdf
Cordialement
--
Stanislas Quastana, CISSP
Architecte Infrastructure
Division Développeurs et Plate-Forme d'Entreprise
Microsoft France
"User" <Anonymous@microsoft.com> wrote in message
news:%235B3R3C1EHA.936@TK2MSFTNGP12.phx.gbl...
Je vous remercie à tous pour vos réponses le réseau est déjà switché je
vais essayer de voir ce que je peux faire avec ipsec.
Merci
"User" <Anonymous@microsoft.com> a écrit dans le message de news:
OxZQpUA1EHA.2156@TK2MSFTNGP10.phx.gbl...
Bonjour tout le monde,
j'aimerais savoir si c'est possible d'interdire le trafic réseau pour
tout pc qui ne fait pas partie du domaine ,je m'explique le fait de
brancher un portable sur le réseau dans mon cas un serveur dhcp va lui
attribuer une ip avec l'ip de la passerelle du dns etc..... et donc lui
permettre d'avoir accès aux pc du domaine et préparer des attaques même
si toutes les stations de travail et les serveurs sont protégés et la
communication avec certains serveurs est cryptée reste que ce genre
d'intrusion et surtout la préparation de certains paquets reste
dangereuse.
donc j'aimerais cesser le trafic pour tout pc étranger au domaine je
pense peut être du côté ipsec avec les filtres ?????
Merci de vos réponses.
To define 802.1X authentication for wireless networks in Group Policy http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/define_8021x_inGP.asp
Le tout couplé avec IPSEc en mode AH pour l'authentification mutuelle des machines entre elles.
Et pour avoir la totale, il est également intéressant de regarder l'offre de Cisco (en attendant Network Access Quarantaine de Longhorn :-p)
Cisco Network Access Control http://www.cisco.com/global/HK/learning/security_day/files/NAC_Overview.pdf
Cordialement
-- Stanislas Quastana, CISSP Architecte Infrastructure Division Développeurs et Plate-Forme d'Entreprise Microsoft France
"User" wrote in message news:%
Je vous remercie à tous pour vos réponses le réseau est déjà switché je vais essayer de voir ce que je peux faire avec ipsec. Merci
"User" a écrit dans le message de news:
Bonjour tout le monde, j'aimerais savoir si c'est possible d'interdire le trafic réseau pour tout pc qui ne fait pas partie du domaine ,je m'explique le fait de brancher un portable sur le réseau dans mon cas un serveur dhcp va lui attribuer une ip avec l'ip de la passerelle du dns etc..... et donc lui permettre d'avoir accès aux pc du domaine et préparer des attaques même si toutes les stations de travail et les serveurs sont protégés et la communication avec certains serveurs est cryptée reste que ce genre d'intrusion et surtout la préparation de certains paquets reste dangereuse. donc j'aimerais cesser le trafic pour tout pc étranger au domaine je pense peut être du côté ipsec avec les filtres ????? Merci de vos réponses.
