bonjour,
j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.
merci.
Bonjour,
bonjour,
j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.
merci.
Bonjour,
bonjour,
j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.
merci.
Bonjour,
"exmachina" a écrit dans le message de
news:bonjour,
j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.
merci.
Bonjour,
Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car il
est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui rend
complètement ridicule cette protection !
"exmachina" <exmachina@hotmail.com> a écrit dans le message de
news:mn.13377d73c2ba18e7.70282@hotmail.com...
bonjour,
j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.
merci.
Bonjour,
Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car il
est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui rend
complètement ridicule cette protection !
"exmachina" a écrit dans le message de
news:bonjour,
j'aimerais savoir si le parefeu avancée de vista permettez d'effectuer un
filtrage au niveau des adesse mac.
merci.
Bonjour,
Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car il
est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui rend
complètement ridicule cette protection !
Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car
il est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !
Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car
il est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !
Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel) car
il est possible de sniffer une adresse mac sur un réseau et de remplacer de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !
Fabrice [MVP], in :Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas
MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel)
car
il est possible de sniffer une adresse mac sur un réseau et de remplacer
de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !
Si on suit votre raisonnement, un filtrage par adresse IP est tout aussi
ridicule : l'IP spoofing, vous connaissez ?
Sinon, un peu de lecture hors de chez MS s'impose :
http://minilien.com/?NqWlQ7hB2Q
ou
http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.attaquesprotocoles.ip-spoofing.html
Fabrice [MVP], in <enxxJZRXHHA.4384@TK2MSFTNGP02.phx.gbl> :
Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas
MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel)
car
il est possible de sniffer une adresse mac sur un réseau et de remplacer
de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !
Si on suit votre raisonnement, un filtrage par adresse IP est tout aussi
ridicule : l'IP spoofing, vous connaissez ?
Sinon, un peu de lecture hors de chez MS s'impose :
http://minilien.com/?NqWlQ7hB2Q
ou
http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.attaquesprotocoles.ip-spoofing.html
Fabrice [MVP], in :Non, (adresse IP ou plage d'adresse IP, sous réseau etc.. oui, mais pas
MAC
adresse)
Mais je pense que c'est complètement inutile ce genre de protection (par
ailleurs inclus dans pratiquement tous les routeurs à usage personnel)
car
il est possible de sniffer une adresse mac sur un réseau et de remplacer
de
manière dynamique l'adresse mac de son PC par une de son choix... ce qui
rend complètement ridicule cette protection !
Si on suit votre raisonnement, un filtrage par adresse IP est tout aussi
ridicule : l'IP spoofing, vous connaissez ?
Sinon, un peu de lecture hors de chez MS s'impose :
http://minilien.com/?NqWlQ7hB2Q
ou
http://www.linux-france.org/prj/inetdoc/securite/tutoriel/tutoriel.securite.attaquesprotocoles.ip-spoofing.html
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
"exmachina" a écrit dans le message de
news:bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est pour
IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau (authentification
de type ordinateur). Sans autorité de certification, vous pouvez utiliser une
clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer de
certificat depuis les pages Web de Windows 2000 et 2003 serveur (y compris
SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en entreprise.
Il faut voir si l'utilisation de certificats est bien nécessaires dans votre
cas (domestique ?).
"exmachina" <exmachina@hotmail.com> a écrit dans le message de
news:mn.2c1a7d7304140d1f.70282@hotmail.com...
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est pour
IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau (authentification
de type ordinateur). Sans autorité de certification, vous pouvez utiliser une
clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer de
certificat depuis les pages Web de Windows 2000 et 2003 serveur (y compris
SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en entreprise.
Il faut voir si l'utilisation de certificats est bien nécessaires dans votre
cas (domestique ?).
"exmachina" a écrit dans le message de
news:bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est pour
IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau (authentification
de type ordinateur). Sans autorité de certification, vous pouvez utiliser une
clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer de
certificat depuis les pages Web de Windows 2000 et 2003 serveur (y compris
SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en entreprise.
Il faut voir si l'utilisation de certificats est bien nécessaires dans votre
cas (domestique ?).
Le 05/03/2007, Thierry MILLE [MVP] a supposé :"exmachina" a écrit dans le message de
news:bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non
répudiation, cryptage, etc.). Dans le cas du pare feu avancé de Windows
Vista : c'est pour IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).
en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.
Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?
Le 05/03/2007, Thierry MILLE [MVP] a supposé :
"exmachina" <exmachina@hotmail.com> a écrit dans le message de
news:mn.2c1a7d7304140d1f.70282@hotmail.com...
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non
répudiation, cryptage, etc.). Dans le cas du pare feu avancé de Windows
Vista : c'est pour IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).
en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.
Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?
Le 05/03/2007, Thierry MILLE [MVP] a supposé :"exmachina" a écrit dans le message de
news:bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non
répudiation, cryptage, etc.). Dans le cas du pare feu avancé de Windows
Vista : c'est pour IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).
en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.
Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?
"exmachina" a écrit dans le message de
news:Le 05/03/2007, Thierry MILLE [MVP] a supposé :"exmachina" a écrit dans le message de
news:bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est
pour IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).
en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.
Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?
Car le filtrage qui pourrait être réalisé sur les adresses MAC ne serait que
celui d'un domaine de diffusion. Pour les autres adresses : c'est celle du
routeur qui est utilisée.
Je ne connais pas votre niveau en termes de réseau, je fais donc au plus
court.
Un domaine de diffusion correspond à un réseau IP. C'est à dire que les hôtes
qui sont situés dessus peuvent communiquer directement sans utiliser de
routeur.
Pour communiquer directement, un hôte doit dans un premier temps résoudre
l'adresse IP en adresse MAC à l''aide du protocole ARP (Address Resolution
Protocol). Généralement cette résolution se fait par diffusion (on peut aussi
créer des entrées statiques avec le programme arp.exe et son commutateur -s).
Qu'est ce que cela signifie en terme de sécurité en imaginant filtrer sur les
adresses MAC ?
Les hôtes (surtout les Windows) diffusent régulièrement des trames sur le
réseau pour s'annoncer ou interroger (demande de bail DHCP, ARP, résolution
de noms, etc.) d'autres hôtes : il est ainsi possible en écoutant le réseau
avec un analyseur de trames (Netmon, Ethereal, Netasyst, Observer, Etherpeek,
Linkferret, ...) de récupérer leurs trames et donc les adresses MAC de ces
machines (même avec des commutateurs puisqu'il s'agit de diffusion).
Connaissant une adresse IP, il est possible d'envoyer un ping à l'une des
machines du réseau. En fait, il va falloir que l'ordinateur réalisant la
demande d'echo commence par faire une requête ARP pour résoudre l'adresse IP
en adresse MAC (cela est fait de manière transparente). A partir de là il
n'aura qu'à afficher son cache ARP (arp -a ou -g) pour connaître l'adresse
MAC correspondant à l'adresse IP.
Mais alors : à quoi cela sert-il ?
Connaissant l'adresse MAC d'une machine, l'intrus n'a plus qu'à changer
l'adresse MAC de son ordinateur par une adresse MAC autorisée :
=> par le gestionnaire de périphériques et les propriétés de la carte réseau
pour la plupart des cartes
=> avec SMAC de KLC Consulting pour les autres
Sécuriser un réseau par adresse MAC n'est pas de la sécurité : tout juste du
vent (et encore qu'il ne souffle pas très fort). Les pare-feux ne réalisent
du filtrage qu'au niveaux 3 (réseaux : adresses IP), 4 (transport comme UDP
ou TCP par exemple) et 7 (contenus échangés) du modèle OSI.
Que voulez vous faire exactement ?
=> peut être que votre sécurisation passe par l'utilisation de commutateurs
et la création de règles et/ou VLAN.
Cordialement
"exmachina" <exmachina@hotmail.com> a écrit dans le message de
news:mn.2c747d7347889664.70282@hotmail.com...
Le 05/03/2007, Thierry MILLE [MVP] a supposé :
"exmachina" <exmachina@hotmail.com> a écrit dans le message de
news:mn.2c1a7d7304140d1f.70282@hotmail.com...
bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est
pour IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).
en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.
Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?
Car le filtrage qui pourrait être réalisé sur les adresses MAC ne serait que
celui d'un domaine de diffusion. Pour les autres adresses : c'est celle du
routeur qui est utilisée.
Je ne connais pas votre niveau en termes de réseau, je fais donc au plus
court.
Un domaine de diffusion correspond à un réseau IP. C'est à dire que les hôtes
qui sont situés dessus peuvent communiquer directement sans utiliser de
routeur.
Pour communiquer directement, un hôte doit dans un premier temps résoudre
l'adresse IP en adresse MAC à l''aide du protocole ARP (Address Resolution
Protocol). Généralement cette résolution se fait par diffusion (on peut aussi
créer des entrées statiques avec le programme arp.exe et son commutateur -s).
Qu'est ce que cela signifie en terme de sécurité en imaginant filtrer sur les
adresses MAC ?
Les hôtes (surtout les Windows) diffusent régulièrement des trames sur le
réseau pour s'annoncer ou interroger (demande de bail DHCP, ARP, résolution
de noms, etc.) d'autres hôtes : il est ainsi possible en écoutant le réseau
avec un analyseur de trames (Netmon, Ethereal, Netasyst, Observer, Etherpeek,
Linkferret, ...) de récupérer leurs trames et donc les adresses MAC de ces
machines (même avec des commutateurs puisqu'il s'agit de diffusion).
Connaissant une adresse IP, il est possible d'envoyer un ping à l'une des
machines du réseau. En fait, il va falloir que l'ordinateur réalisant la
demande d'echo commence par faire une requête ARP pour résoudre l'adresse IP
en adresse MAC (cela est fait de manière transparente). A partir de là il
n'aura qu'à afficher son cache ARP (arp -a ou -g) pour connaître l'adresse
MAC correspondant à l'adresse IP.
Mais alors : à quoi cela sert-il ?
Connaissant l'adresse MAC d'une machine, l'intrus n'a plus qu'à changer
l'adresse MAC de son ordinateur par une adresse MAC autorisée :
=> par le gestionnaire de périphériques et les propriétés de la carte réseau
pour la plupart des cartes
=> avec SMAC de KLC Consulting pour les autres
Sécuriser un réseau par adresse MAC n'est pas de la sécurité : tout juste du
vent (et encore qu'il ne souffle pas très fort). Les pare-feux ne réalisent
du filtrage qu'au niveaux 3 (réseaux : adresses IP), 4 (transport comme UDP
ou TCP par exemple) et 7 (contenus échangés) du modèle OSI.
Que voulez vous faire exactement ?
=> peut être que votre sécurisation passe par l'utilisation de commutateurs
et la création de règles et/ou VLAN.
Cordialement
"exmachina" a écrit dans le message de
news:Le 05/03/2007, Thierry MILLE [MVP] a supposé :"exmachina" a écrit dans le message de
news:bah et ma question alors ?
ya t'il un moyen de generer un certificat avec les version home(si oui
comment), ou ya t'il d'autre moyen de filtrer de maniere secure certain
poste.
Les certificats sont utilisés avec certains protocoles pour sécuriser les
échanges réseau (authentification des hôtes, intégrité et non répudiation,
cryptage, etc.). Dans le cas du pare feu avancé de Windows Vista : c'est
pour IPSec (qui existe depuis Windows 2000).
Avec les logiciels Microsoft, seules les autorités de certifications
délivrent des certificats pour sécuriser le trafic réseau
(authentification de type ordinateur). Sans autorité de certification,
vous pouvez utiliser une clé prépartagée (généralement à des fins de
tests/formation/démonstration/validation).
Chez Microsoft, seules les éditions serveurs de Windows délivrent des
certificats. Néanmoins faites attention : Windows Vista ne peut récupérer
de certificat depuis les pages Web de Windows 2000 et 2003 serveur (y
compris SP2) :
http://support.microsoft.com/kb/922706/en-us
Pour un Vista édition familiale : cela devient sportif ... Les
infrastructures de clés publiques sont généralement déployées en
entreprise. Il faut voir si l'utilisation de certificats est bien
nécessaires dans votre cas (domestique ?).
en fait non, mais bon c'est juste pour compenser le manque de filtrage
d'adresse mac de vista.
Filtrer par adresse MAC ne sert strictement à rien. Pourquoi ?
Car le filtrage qui pourrait être réalisé sur les adresses MAC ne serait que
celui d'un domaine de diffusion. Pour les autres adresses : c'est celle du
routeur qui est utilisée.
Je ne connais pas votre niveau en termes de réseau, je fais donc au plus
court.
Un domaine de diffusion correspond à un réseau IP. C'est à dire que les hôtes
qui sont situés dessus peuvent communiquer directement sans utiliser de
routeur.
Pour communiquer directement, un hôte doit dans un premier temps résoudre
l'adresse IP en adresse MAC à l''aide du protocole ARP (Address Resolution
Protocol). Généralement cette résolution se fait par diffusion (on peut aussi
créer des entrées statiques avec le programme arp.exe et son commutateur -s).
Qu'est ce que cela signifie en terme de sécurité en imaginant filtrer sur les
adresses MAC ?
Les hôtes (surtout les Windows) diffusent régulièrement des trames sur le
réseau pour s'annoncer ou interroger (demande de bail DHCP, ARP, résolution
de noms, etc.) d'autres hôtes : il est ainsi possible en écoutant le réseau
avec un analyseur de trames (Netmon, Ethereal, Netasyst, Observer, Etherpeek,
Linkferret, ...) de récupérer leurs trames et donc les adresses MAC de ces
machines (même avec des commutateurs puisqu'il s'agit de diffusion).
Connaissant une adresse IP, il est possible d'envoyer un ping à l'une des
machines du réseau. En fait, il va falloir que l'ordinateur réalisant la
demande d'echo commence par faire une requête ARP pour résoudre l'adresse IP
en adresse MAC (cela est fait de manière transparente). A partir de là il
n'aura qu'à afficher son cache ARP (arp -a ou -g) pour connaître l'adresse
MAC correspondant à l'adresse IP.
Mais alors : à quoi cela sert-il ?
Connaissant l'adresse MAC d'une machine, l'intrus n'a plus qu'à changer
l'adresse MAC de son ordinateur par une adresse MAC autorisée :
=> par le gestionnaire de périphériques et les propriétés de la carte réseau
pour la plupart des cartes
=> avec SMAC de KLC Consulting pour les autres
Sécuriser un réseau par adresse MAC n'est pas de la sécurité : tout juste du
vent (et encore qu'il ne souffle pas très fort). Les pare-feux ne réalisent
du filtrage qu'au niveaux 3 (réseaux : adresses IP), 4 (transport comme UDP
ou TCP par exemple) et 7 (contenus échangés) du modèle OSI.
Que voulez vous faire exactement ?
=> peut être que votre sécurisation passe par l'utilisation de commutateurs
et la création de règles et/ou VLAN.
Cordialement
je veux juste securiser un workgroup.
je veux juste securiser un workgroup.
je veux juste securiser un workgroup.