Bonjour,
une connaissance m'a posé la question et je n'ai pas pu y repondre;
existe-t-il des switches sur lesquels on peut verrouiller la MAC adress par
port?
Par ex: le client A MAC Adress 00:cd:...... sur le port 1 du switch; on le
branche sur le port 2 -> marche plus. Seul l'admin pourait faire le
changement et permettre à A de fonctionner sur ce port...
Ca existe?
On peut simuler ça par DHCP "statique" (je crois que c'est comme ça que ça
s'appelle).
Le firewall peut empecher la comm mais pas un sniff...
Ca présente un intéret quelconque?
Je lui ai dit que protéger l'accès physique au switch et filtrer les MAC me
semblait être plus simple et moins coûteux, mais il y tient...
Merci de vos réponses, j'aimerai pouvoir lui présenter des arguments en
beton pour éviter un deuxième dialogue de sourds...
Pas vraiment de sens avec des clients W98 dans le réseau, mais je l'ai
convaincu de changer.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Alain Montfranc
Erwan David a exposé le 04/02/2005 :
MaXX écrivait :
Bonjour, une connaissance m'a posé la question et je n'ai pas pu y repondre; existe-t-il des switches sur lesquels on peut verrouiller la MAC adress par port? Par ex: le client A MAC Adress 00:cd:...... sur le port 1 du switch; on le branche sur le port 2 -> marche plus. Seul l'admin pourait faire le changement et permettre à A de fonctionner sur ce port...
Oui ça existe. Les 3Com 3300 ont ça, mais ils sont loin d'être les seuls.
Les switchs Catalyst Cisco aussi
Mais bon, une Mac address ca se copie tellement facilement...
Le mieux est encore l'authentification liée aux vlans (802.jesaispluskoi.x)
Erwan David a exposé le 04/02/2005 :
MaXX <bs139412@skynet.be> écrivait :
Bonjour,
une connaissance m'a posé la question et je n'ai pas pu y repondre;
existe-t-il des switches sur lesquels on peut verrouiller la MAC adress par
port?
Par ex: le client A MAC Adress 00:cd:...... sur le port 1 du switch; on le
branche sur le port 2 -> marche plus. Seul l'admin pourait faire le
changement et permettre à A de fonctionner sur ce port...
Oui ça existe. Les 3Com 3300 ont ça, mais ils sont loin d'être les
seuls.
Les switchs Catalyst Cisco aussi
Mais bon, une Mac address ca se copie tellement facilement...
Le mieux est encore l'authentification liée aux vlans
(802.jesaispluskoi.x)
Bonjour, une connaissance m'a posé la question et je n'ai pas pu y repondre; existe-t-il des switches sur lesquels on peut verrouiller la MAC adress par port? Par ex: le client A MAC Adress 00:cd:...... sur le port 1 du switch; on le branche sur le port 2 -> marche plus. Seul l'admin pourait faire le changement et permettre à A de fonctionner sur ce port...
Oui ça existe. Les 3Com 3300 ont ça, mais ils sont loin d'être les seuls.
Les switchs Catalyst Cisco aussi
Mais bon, une Mac address ca se copie tellement facilement...
Le mieux est encore l'authentification liée aux vlans (802.jesaispluskoi.x)
Cedric Blancher
Le Fri, 04 Feb 2005 20:52:50 +0000, Alain Montfranc a écrit :
Le mieux est encore l'authentification liée aux vlans (802.jesaispluskoi.x)
802.1x, mais ce n'est pas lié aux VLANs. 802.1x est une authentification qui permet d'accéder au port, quelque soit la configuration, VLAN ou pas. Ceci dit, comme derrière c'est du RADIUS, les constructeurs ont jugé bon de faire usage de certains attributs pour pousser un VLAN ID en fonction de l'authentification (VLAN lié à l'authentification, pas le contraire) sur le port du switch concerné. C'est très utile pour gérer la mobilité des utilisateurs dans les locaux.
--
On va peut-être savoir si un FreeBSDiste peut se reproduire avec un linuxien. Ah ! C'est ça HURD ?
-+- fyr in Guide du linuxien pervers - "Linux transgenique" -+-
Le Fri, 04 Feb 2005 20:52:50 +0000, Alain Montfranc a écrit :
Le mieux est encore l'authentification liée aux vlans
(802.jesaispluskoi.x)
802.1x, mais ce n'est pas lié aux VLANs. 802.1x est une authentification
qui permet d'accéder au port, quelque soit la configuration, VLAN ou pas.
Ceci dit, comme derrière c'est du RADIUS, les constructeurs ont jugé bon
de faire usage de certains attributs pour pousser un VLAN ID en fonction
de l'authentification (VLAN lié à l'authentification, pas le contraire)
sur le port du switch concerné. C'est très utile pour gérer la
mobilité des utilisateurs dans les locaux.
--
On va peut-être savoir si un FreeBSDiste peut se reproduire avec un
linuxien.
Ah ! C'est ça HURD ?
-+- fyr in Guide du linuxien pervers - "Linux transgenique" -+-
Le Fri, 04 Feb 2005 20:52:50 +0000, Alain Montfranc a écrit :
Le mieux est encore l'authentification liée aux vlans (802.jesaispluskoi.x)
802.1x, mais ce n'est pas lié aux VLANs. 802.1x est une authentification qui permet d'accéder au port, quelque soit la configuration, VLAN ou pas. Ceci dit, comme derrière c'est du RADIUS, les constructeurs ont jugé bon de faire usage de certains attributs pour pousser un VLAN ID en fonction de l'authentification (VLAN lié à l'authentification, pas le contraire) sur le port du switch concerné. C'est très utile pour gérer la mobilité des utilisateurs dans les locaux.
--
On va peut-être savoir si un FreeBSDiste peut se reproduire avec un linuxien. Ah ! C'est ça HURD ?
-+- fyr in Guide du linuxien pervers - "Linux transgenique" -+-
gomor-usenet
Cedric Blancher wrote in message news:... [..]
802.1x, mais ce n'est pas lié aux VLANs. 802.1x est une authentification qui permet d'accéder au port, quelque soit la configuration, VLAN ou pas. Ceci dit, comme derrière c'est du RADIUS, les constructeurs ont jugé bon de faire usage de certains attributs pour pousser un VLAN ID en fonction de l'authentification (VLAN lié à l'authentification, pas le contraire) sur le port du switch concerné. C'est très utile pour gérer la mobilité des utilisateurs dans les locaux.
Au sujet des VLANs, pour ceux que ca intéresse, le module Perl Net::Packet permet depuis peu de construire des trames encapsulées dans une en-tête VLAN/802.1Q.
C'est ici: http://search.cpan.org/~gomor/Net-Packet-2.03/Packet/VLAN.pm
Cedric Blancher <blancher@cartel-securite.fr> wrote in message news:<pan.2005.02.04.20.55.18.966491@cartel-securite.fr>...
[..]
802.1x, mais ce n'est pas lié aux VLANs. 802.1x est une authentification
qui permet d'accéder au port, quelque soit la configuration, VLAN ou pas.
Ceci dit, comme derrière c'est du RADIUS, les constructeurs ont jugé bon
de faire usage de certains attributs pour pousser un VLAN ID en fonction
de l'authentification (VLAN lié à l'authentification, pas le contraire)
sur le port du switch concerné. C'est très utile pour gérer la
mobilité des utilisateurs dans les locaux.
Au sujet des VLANs, pour ceux que ca intéresse, le module Perl
Net::Packet permet depuis peu de construire des trames encapsulées
dans une en-tête VLAN/802.1Q.
C'est ici:
http://search.cpan.org/~gomor/Net-Packet-2.03/Packet/VLAN.pm
802.1x, mais ce n'est pas lié aux VLANs. 802.1x est une authentification qui permet d'accéder au port, quelque soit la configuration, VLAN ou pas. Ceci dit, comme derrière c'est du RADIUS, les constructeurs ont jugé bon de faire usage de certains attributs pour pousser un VLAN ID en fonction de l'authentification (VLAN lié à l'authentification, pas le contraire) sur le port du switch concerné. C'est très utile pour gérer la mobilité des utilisateurs dans les locaux.
Au sujet des VLANs, pour ceux que ca intéresse, le module Perl Net::Packet permet depuis peu de construire des trames encapsulées dans une en-tête VLAN/802.1Q.
C'est ici: http://search.cpan.org/~gomor/Net-Packet-2.03/Packet/VLAN.pm
OoO En cette fin de matinée radieuse du samedi 05 février 2005, vers 11:02, (GomoR) disait:
Au sujet des VLANs, pour ceux que ca intéresse, le module Perl Net::Packet permet depuis peu de construire des trames encapsulées dans une en-tête VLAN/802.1Q.
C'est ici: http://search.cpan.org/~gomor/Net-Packet-2.03/Packet/VLAN.pm
Pour les fans de Python, la bibliothèque Scapy sait aussi faire ça : <URL:http://www.cartel-securite.fr/pbiondi/projects/scapy/> -- die_if_kernel("Whee... Hello Mr. Penguin", current->tss.kregs); 2.2.16 /usr/src/linux/arch/sparc/kernel/traps.c
OoO En cette fin de matinée radieuse du samedi 05 février 2005, vers
11:02, gomor-usenet@gomor.org (GomoR) disait:
Au sujet des VLANs, pour ceux que ca intéresse, le module Perl
Net::Packet permet depuis peu de construire des trames encapsulées
dans une en-tête VLAN/802.1Q.
C'est ici:
http://search.cpan.org/~gomor/Net-Packet-2.03/Packet/VLAN.pm
Pour les fans de Python, la bibliothèque Scapy sait aussi faire ça :
<URL:http://www.cartel-securite.fr/pbiondi/projects/scapy/>
--
die_if_kernel("Whee... Hello Mr. Penguin", current->tss.kregs);
2.2.16 /usr/src/linux/arch/sparc/kernel/traps.c
OoO En cette fin de matinée radieuse du samedi 05 février 2005, vers 11:02, (GomoR) disait:
Au sujet des VLANs, pour ceux que ca intéresse, le module Perl Net::Packet permet depuis peu de construire des trames encapsulées dans une en-tête VLAN/802.1Q.
C'est ici: http://search.cpan.org/~gomor/Net-Packet-2.03/Packet/VLAN.pm
Pour les fans de Python, la bibliothèque Scapy sait aussi faire ça : <URL:http://www.cartel-securite.fr/pbiondi/projects/scapy/> -- die_if_kernel("Whee... Hello Mr. Penguin", current->tss.kregs); 2.2.16 /usr/src/linux/arch/sparc/kernel/traps.c
Cedric Blancher
Le Sat, 05 Feb 2005 12:19:48 +0000, Vincent Bernat a écrit :
Pour les fans de Python, la bibliothèque Scapy sait aussi faire ça : <URL:http://www.cartel-securite.fr/pbiondi/projects/scapy/>
Ou tout simplement le support 802.1q de Linux :
# vconfig add eth0 2
Et tout ce que tu injecteras dans eth0.2 sera tagué avec le VLAN ID 2.
-- « Excusez-moi, je n'ai pas pu m'en empêcher... » -+- CF in GNU - fufe, c'est plus fort que toi -+-
Le Sat, 05 Feb 2005 12:19:48 +0000, Vincent Bernat a écrit :
Pour les fans de Python, la bibliothèque Scapy sait aussi faire ça :
<URL:http://www.cartel-securite.fr/pbiondi/projects/scapy/>
Ou tout simplement le support 802.1q de Linux :
# vconfig add eth0 2
Et tout ce que tu injecteras dans eth0.2 sera tagué avec le VLAN ID 2.
--
« Excusez-moi, je n'ai pas pu m'en empêcher... »
-+- CF in GNU - fufe, c'est plus fort que toi -+-
Le Sat, 05 Feb 2005 12:19:48 +0000, Vincent Bernat a écrit :
Pour les fans de Python, la bibliothèque Scapy sait aussi faire ça : <URL:http://www.cartel-securite.fr/pbiondi/projects/scapy/>
Ou tout simplement le support 802.1q de Linux :
# vconfig add eth0 2
Et tout ce que tu injecteras dans eth0.2 sera tagué avec le VLAN ID 2.
-- « Excusez-moi, je n'ai pas pu m'en empêcher... » -+- CF in GNU - fufe, c'est plus fort que toi -+-
JRD
Bonjour,
Alain Montfranc wrote:
Erwan David a exposé le 04/02/2005 :
MaXX écrivait :
Bonjour, une connaissance m'a posé la question et je n'ai pas pu y repondre; existe-t-il des switches sur lesquels on peut verrouiller la MAC adress par port? Par ex: le client A MAC Adress 00:cd:...... sur le port 1 du switch; on le branche sur le port 2 -> marche plus. Seul l'admin pourait faire le changement et permettre à A de fonctionner sur ce port... Oui.
Oui ça existe. Les 3Com 3300 ont ça, mais ils sont loin d'être les seuls. Les switchs Catalyst Cisco aussi
Tous les constructeurs dignes de ce nom le font. ;-)
Mais bon, une Mac address ca se copie tellement facilement... Ce n'est pas la question.
L'intérêt de mettre une MAC adresse par port sur un élément actif, c'est que le commercial (ou le copain, ou le fils, etc) ne puisse pas brancher son ordinateur portable (à la place de l'ordinateur de l'entreprise, ou de l'imprimante réseau, etc) sur un réseau d'entreprise pour y faire facilement des choses et diffuser trop facilement un virus par exemple. Un expert pourra changer la MAC, mais il faudra qu'il y pense.
Le mieux est encore l'authentification liée aux vlans (802.jesaispluskoi.x)
Les VLANs permettent simplement de mettre plusieurs réseaux distincts sur le(s) même(s) élément(s) actif(s) sans que ces réseaux puissent -facilement- communiquer entre eux. Cela permet de faire des économies en coût d'élément(s) actif(s) sans que la sécurité soit dangereusement rabaissée. C'est une sorte de "cloison mobile" du réseau (par analogie avec le bâtiment).
JRD. -- jerome (dot) drapeau <at> free (dot) fr http://jerome.drapeau.free.fr La critique est aisée, l'art est difficile.
Bonjour,
une connaissance m'a posé la question et je n'ai pas pu y repondre;
existe-t-il des switches sur lesquels on peut verrouiller la MAC adress par
port?
Par ex: le client A MAC Adress 00:cd:...... sur le port 1 du switch; on le
branche sur le port 2 -> marche plus. Seul l'admin pourait faire le
changement et permettre à A de fonctionner sur ce port...
Oui.
Oui ça existe. Les 3Com 3300 ont ça, mais ils sont loin d'être les
seuls.
Les switchs Catalyst Cisco aussi
Tous les constructeurs dignes de ce nom le font. ;-)
Mais bon, une Mac address ca se copie tellement facilement...
Ce n'est pas la question.
L'intérêt de mettre une MAC adresse par port sur un élément actif,
c'est que le commercial (ou le copain, ou le fils, etc) ne puisse pas
brancher son ordinateur portable (à la place de l'ordinateur de
l'entreprise, ou de l'imprimante réseau, etc) sur un réseau
d'entreprise pour y faire facilement des choses et diffuser trop
facilement un virus par exemple. Un expert pourra changer la MAC, mais
il faudra qu'il y pense.
Le mieux est encore l'authentification liée aux vlans
(802.jesaispluskoi.x)
Les VLANs permettent simplement de mettre plusieurs réseaux distincts
sur le(s) même(s) élément(s) actif(s) sans que ces réseaux puissent
-facilement- communiquer entre eux. Cela permet de faire des économies
en coût d'élément(s) actif(s) sans que la sécurité soit dangereusement
rabaissée. C'est une sorte de "cloison mobile" du réseau (par analogie
avec le bâtiment).
JRD.
--
jerome (dot) drapeau <at> free (dot) fr
http://jerome.drapeau.free.fr
La critique est aisée, l'art est difficile.
Bonjour, une connaissance m'a posé la question et je n'ai pas pu y repondre; existe-t-il des switches sur lesquels on peut verrouiller la MAC adress par port? Par ex: le client A MAC Adress 00:cd:...... sur le port 1 du switch; on le branche sur le port 2 -> marche plus. Seul l'admin pourait faire le changement et permettre à A de fonctionner sur ce port... Oui.
Oui ça existe. Les 3Com 3300 ont ça, mais ils sont loin d'être les seuls. Les switchs Catalyst Cisco aussi
Tous les constructeurs dignes de ce nom le font. ;-)
Mais bon, une Mac address ca se copie tellement facilement... Ce n'est pas la question.
L'intérêt de mettre une MAC adresse par port sur un élément actif, c'est que le commercial (ou le copain, ou le fils, etc) ne puisse pas brancher son ordinateur portable (à la place de l'ordinateur de l'entreprise, ou de l'imprimante réseau, etc) sur un réseau d'entreprise pour y faire facilement des choses et diffuser trop facilement un virus par exemple. Un expert pourra changer la MAC, mais il faudra qu'il y pense.
Le mieux est encore l'authentification liée aux vlans (802.jesaispluskoi.x)
Les VLANs permettent simplement de mettre plusieurs réseaux distincts sur le(s) même(s) élément(s) actif(s) sans que ces réseaux puissent -facilement- communiquer entre eux. Cela permet de faire des économies en coût d'élément(s) actif(s) sans que la sécurité soit dangereusement rabaissée. C'est une sorte de "cloison mobile" du réseau (par analogie avec le bâtiment).
JRD. -- jerome (dot) drapeau <at> free (dot) fr http://jerome.drapeau.free.fr La critique est aisée, l'art est difficile.
Fabien LE LEZ
On 06 Feb 2005 13:44:10 GMT, JRD :
Un expert pourra changer la MAC, mais il faudra qu'il y pense.
Et surtout, il n'y a pas de virus sur son portable ;-)
-- ;-)
On 06 Feb 2005 13:44:10 GMT, JRD
<jerome.drapeau@spam.go.away.free.fr>:
Un expert pourra changer la MAC, mais
il faudra qu'il y pense.
Et surtout, il n'y a pas de virus sur son portable ;-)
