J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment,
toutes les personnes qui se connectent sur ce point d'accès se voient les
unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.
J'ai trouvé la doc suivante : http://www.wlanfr.net/contenus.php?id=100.
Avec cette doc seul les personnes autorisées se connectent mais rien
n'empêche les gens de se voir entre eux.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Jean-Claude
Bonjour,
J'ai à ma disposition un Access Point que je dois sécuriser. toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Quelques remarques ou peut etre pistes. Tes machines connectes a ton acces point ont une adresse de passerelle ? Cette passerelle c'est ton acces point, non ? Ton acces point c'est un switch (en fait hub puisque sur le wifi la bande passante est partagée) ou un routeur ? Est ce que sur cette passerelle tu ne pourrais mettre des regles (routage, firewall) pour autoriser seulement l'acces vers l'exterieur.
Donne des retours d'infos STP ca m'interesse. J.C
Bonjour,
J'ai à ma disposition un Access Point que je dois sécuriser.
toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres.
Je souhaiterait qu'elle ne voit personne d'autre qu'elle.
Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.
Quelques remarques ou peut etre pistes.
Tes machines connectes a ton acces point ont une adresse de passerelle ?
Cette passerelle c'est ton acces point, non ?
Ton acces point c'est un switch (en fait hub puisque sur le wifi la bande passante est partagée) ou un routeur ?
Est ce que sur cette passerelle tu ne pourrais mettre des regles (routage, firewall) pour autoriser seulement l'acces vers l'exterieur.
J'ai à ma disposition un Access Point que je dois sécuriser. toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Quelques remarques ou peut etre pistes. Tes machines connectes a ton acces point ont une adresse de passerelle ? Cette passerelle c'est ton acces point, non ? Ton acces point c'est un switch (en fait hub puisque sur le wifi la bande passante est partagée) ou un routeur ? Est ce que sur cette passerelle tu ne pourrais mettre des regles (routage, firewall) pour autoriser seulement l'acces vers l'exterieur.
Donne des retours d'infos STP ca m'interesse. J.C
benoit.sansspam
Arno wrote:
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment, toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Une proposition :
Est-ce-que ta borne d'accès wifi peut-être transparente en IP c'est à dire qu'elle ne fait pas de NAT mais juste retransmet sur wifi ce qui était sur ethernet ? Si c'est le cas alors tu donnes au routeur d'origine autant d'adresses IP que tu as de clients wifi et tu fournis à chaque client wifi une adresse IP avec une adresse de routeur différente et un masque qui fait qu'elle ne voit que le routeur genre : adresse : 10.0.0.1 routeur : 10.0.0.0 masque : 255.255.255.254
Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes les dix minutes afin de réduire les probabilités que quelqu'un qui essaye en brut-force de trouver quelqu'un d'autre puisse conserver la connection longtemps (sauf à ce que tu saches interdire les connections entre adresses privées sur des plages différentes depuis ton routeur).
-- Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Arno <arnoraes@ifrance.com> wrote:
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment,
toutes les personnes qui se connectent sur ce point d'accès se voient les
unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.
Une proposition :
Est-ce-que ta borne d'accès wifi peut-être transparente en IP c'est à
dire qu'elle ne fait pas de NAT mais juste retransmet sur wifi ce qui
était sur ethernet ? Si c'est le cas alors tu donnes au routeur
d'origine autant d'adresses IP que tu as de clients wifi et tu fournis à
chaque client wifi une adresse IP avec une adresse de routeur différente
et un masque qui fait qu'elle ne voit que le routeur genre :
adresse : 10.0.0.1
routeur : 10.0.0.0
masque : 255.255.255.254
Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes
les dix minutes afin de réduire les probabilités que quelqu'un qui
essaye en brut-force de trouver quelqu'un d'autre puisse conserver la
connection longtemps (sauf à ce que tu saches interdire les connections
entre adresses privées sur des plages différentes depuis ton routeur).
--
Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment, toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Une proposition :
Est-ce-que ta borne d'accès wifi peut-être transparente en IP c'est à dire qu'elle ne fait pas de NAT mais juste retransmet sur wifi ce qui était sur ethernet ? Si c'est le cas alors tu donnes au routeur d'origine autant d'adresses IP que tu as de clients wifi et tu fournis à chaque client wifi une adresse IP avec une adresse de routeur différente et un masque qui fait qu'elle ne voit que le routeur genre : adresse : 10.0.0.1 routeur : 10.0.0.0 masque : 255.255.255.254
Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes les dix minutes afin de réduire les probabilités que quelqu'un qui essaye en brut-force de trouver quelqu'un d'autre puisse conserver la connection longtemps (sauf à ce que tu saches interdire les connections entre adresses privées sur des plages différentes depuis ton routeur).
-- Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Cedric Blancher
Le Thu, 22 Apr 2004 12:28:47 +0000, Benoit a écrit :
Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes les dix minutes afin de réduire les probabilités que quelqu'un qui essaye en brut-force de trouver quelqu'un d'autre puisse conserver la connection longtemps (sauf à ce que tu saches interdire les connections entre adresses privées sur des plages différentes depuis ton routeur).
Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il faudrait donc avoir un script qui réécrit la configuration du DHCP à chaque demande... Ça me semble un peu léger comme solution amha. Surtout que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de 10mn.
La seule solution potable que je vois à ce soucis est d'avoir à disposition une borne qui soit capable de filtrer au niveau 2 les échanges entre clients. Hostap sous Linux le fait par exemple. Certaines bornes "professionnelles" le font aussi, mais certainement pas les bornes bon marché. C'est une sorte de PVLAN sur WiFi.
Sinon, tu peux utiliser du PPPoE avec une passerelle située derrière l'AP. Ça n'empêchera pas quelqu'un de motivé de regarder ce que font les autres et d'interférer avec eux, mais dans le cadre d'une utilisation normale, il ne se "verront" pas entre eux.
-- Pour l'année 2000, Elizabeth Teyssier a prévu beaucoup de changements, mais je ne sais pas si elle a parlé de Debian, je regarderai son bouquin ce soir et je te dis. -+- DB in Debian-french : "manchot ascendant gnou" -+-
Le Thu, 22 Apr 2004 12:28:47 +0000, Benoit a écrit :
Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes
les dix minutes afin de réduire les probabilités que quelqu'un qui
essaye en brut-force de trouver quelqu'un d'autre puisse conserver la
connection longtemps (sauf à ce que tu saches interdire les connections
entre adresses privées sur des plages différentes depuis ton routeur).
Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il
faudrait donc avoir un script qui réécrit la configuration du DHCP à
chaque demande... Ça me semble un peu léger comme solution amha. Surtout
que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de
10mn.
La seule solution potable que je vois à ce soucis est d'avoir à
disposition une borne qui soit capable de filtrer au niveau 2 les
échanges entre clients. Hostap sous Linux le fait par exemple.
Certaines bornes "professionnelles" le font aussi, mais certainement pas
les bornes bon marché. C'est une sorte de PVLAN sur WiFi.
Sinon, tu peux utiliser du PPPoE avec une passerelle située derrière
l'AP. Ça n'empêchera pas quelqu'un de motivé de regarder ce que font
les autres et d'interférer avec eux, mais dans le cadre d'une utilisation
normale, il ne se "verront" pas entre eux.
--
Pour l'année 2000, Elizabeth Teyssier a prévu beaucoup de changements,
mais je ne sais pas si elle a parlé de Debian, je regarderai son bouquin
ce soir et je te dis.
-+- DB in Debian-french : "manchot ascendant gnou" -+-
Le Thu, 22 Apr 2004 12:28:47 +0000, Benoit a écrit :
Ces adresses tu les tires au hasard et tu les renouvelles en DHCP toutes les dix minutes afin de réduire les probabilités que quelqu'un qui essaye en brut-force de trouver quelqu'un d'autre puisse conserver la connection longtemps (sauf à ce que tu saches interdire les connections entre adresses privées sur des plages différentes depuis ton routeur).
Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il faudrait donc avoir un script qui réécrit la configuration du DHCP à chaque demande... Ça me semble un peu léger comme solution amha. Surtout que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de 10mn.
La seule solution potable que je vois à ce soucis est d'avoir à disposition une borne qui soit capable de filtrer au niveau 2 les échanges entre clients. Hostap sous Linux le fait par exemple. Certaines bornes "professionnelles" le font aussi, mais certainement pas les bornes bon marché. C'est une sorte de PVLAN sur WiFi.
Sinon, tu peux utiliser du PPPoE avec une passerelle située derrière l'AP. Ça n'empêchera pas quelqu'un de motivé de regarder ce que font les autres et d'interférer avec eux, mais dans le cadre d'une utilisation normale, il ne se "verront" pas entre eux.
-- Pour l'année 2000, Elizabeth Teyssier a prévu beaucoup de changements, mais je ne sais pas si elle a parlé de Debian, je regarderai son bouquin ce soir et je te dis. -+- DB in Debian-french : "manchot ascendant gnou" -+-
Vincent Bernat
OoO En ce début d'après-midi nuageux du jeudi 22 avril 2004, vers 14:40, Cedric Blancher disait:
La seule solution potable que je vois à ce soucis est d'avoir à disposition une borne qui soit capable de filtrer au niveau 2 les échanges entre clients. Hostap sous Linux le fait par exemple. Certaines bornes "professionnelles" le font aussi, mais certainement pas les bornes bon marché. C'est une sorte de PVLAN sur WiFi.
J'ai pour ma part mis en place une solution avec des bornes filtrantes au niveau 2. Il s'agit de Linksys WRT54G (70 euros) que nous avons modifiées en incluant notamment le patch bridge-nf. Je ne laisse alors passer que de l'IPsec (en plus du DHCP) [et c'est du niveau 2 dans le sens où la borne fait bridge]. Ces bornes sont vraiment très pratiques, on peut faire beaucoup de choses avec, ce qui permet ensuite de les déployer très rapidement et de les administrer facilement à distance (par ssh ou par récupération automatique d'un script d'autoconfiguration).
Je n'ai par contre pas testé si deux clients en clair pouvaient communiquer entre eux. A priori, c'est filtré, mais pas testé. Cela ne faisait pas partie des préoccupations. -- BOFH excuse #206: Police are examining all internet packets in the search for a narco-net-traficer
OoO En ce début d'après-midi nuageux du jeudi 22 avril 2004, vers
14:40, Cedric Blancher <blancher@cartel-securite.fr> disait:
La seule solution potable que je vois à ce soucis est d'avoir à
disposition une borne qui soit capable de filtrer au niveau 2 les
échanges entre clients. Hostap sous Linux le fait par exemple.
Certaines bornes "professionnelles" le font aussi, mais certainement pas
les bornes bon marché. C'est une sorte de PVLAN sur WiFi.
J'ai pour ma part mis en place une solution avec des bornes filtrantes
au niveau 2. Il s'agit de Linksys WRT54G (70 euros) que nous avons
modifiées en incluant notamment le patch bridge-nf. Je ne laisse alors
passer que de l'IPsec (en plus du DHCP) [et c'est du niveau 2 dans le
sens où la borne fait bridge]. Ces bornes sont vraiment très
pratiques, on peut faire beaucoup de choses avec, ce qui permet
ensuite de les déployer très rapidement et de les administrer
facilement à distance (par ssh ou par récupération automatique d'un
script d'autoconfiguration).
Je n'ai par contre pas testé si deux clients en clair pouvaient
communiquer entre eux. A priori, c'est filtré, mais pas testé. Cela ne
faisait pas partie des préoccupations.
--
BOFH excuse #206:
Police are examining all internet packets in the search for a narco-net-traficer
OoO En ce début d'après-midi nuageux du jeudi 22 avril 2004, vers 14:40, Cedric Blancher disait:
La seule solution potable que je vois à ce soucis est d'avoir à disposition une borne qui soit capable de filtrer au niveau 2 les échanges entre clients. Hostap sous Linux le fait par exemple. Certaines bornes "professionnelles" le font aussi, mais certainement pas les bornes bon marché. C'est une sorte de PVLAN sur WiFi.
J'ai pour ma part mis en place une solution avec des bornes filtrantes au niveau 2. Il s'agit de Linksys WRT54G (70 euros) que nous avons modifiées en incluant notamment le patch bridge-nf. Je ne laisse alors passer que de l'IPsec (en plus du DHCP) [et c'est du niveau 2 dans le sens où la borne fait bridge]. Ces bornes sont vraiment très pratiques, on peut faire beaucoup de choses avec, ce qui permet ensuite de les déployer très rapidement et de les administrer facilement à distance (par ssh ou par récupération automatique d'un script d'autoconfiguration).
Je n'ai par contre pas testé si deux clients en clair pouvaient communiquer entre eux. A priori, c'est filtré, mais pas testé. Cela ne faisait pas partie des préoccupations. -- BOFH excuse #206: Police are examining all internet packets in the search for a narco-net-traficer
totoy81
(Arno) wrote in message news:...
Bonjour,
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment, toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Si l'AP le supporte, il est possible de mettre en place des VLANs . Bien que comparé au monde filaire certaines caractéristiques d'affectation ne sont pas transposables (ex:vlan par port), tu es libre de choisir comment regrouper les machines par vlan. Il est même possible sur certains matériels d'établir des VLANs en fonction des moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire sur adresse MAC ou IP par exemple.
à l'adresse ci dessous tu trouveras un exemple de déploiement cisco, toutes les fonctionnalités sont peut être pas supportées par ton matériel...http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_technical_reference09186a00801444a1.html
arnoraes@ifrance.com (Arno) wrote in message news:<aac4cb66.0404202254.7392eb61@posting.google.com>...
Bonjour,
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment,
toutes les personnes qui se connectent sur ce point d'accès se voient les
unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.
Si l'AP le supporte, il est possible de mettre en place des VLANs .
Bien que comparé au monde filaire certaines caractéristiques
d'affectation ne sont pas transposables (ex:vlan par port), tu es
libre de choisir comment regrouper les machines par vlan. Il est même
possible sur certains matériels d'établir des VLANs en fonction des
moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel
vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire
sur adresse MAC ou IP par exemple.
à l'adresse ci dessous tu trouveras un exemple de déploiement cisco,
toutes les fonctionnalités sont peut être pas supportées par ton
matériel...http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_technical_reference09186a00801444a1.html
J'ai à ma disposition un Access Point que je dois sécuriser. Pour le moment, toutes les personnes qui se connectent sur ce point d'accès se voient les unes les autres. J'aurais besoin de faire en sorte qu'elles ne se voient plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Si l'AP le supporte, il est possible de mettre en place des VLANs . Bien que comparé au monde filaire certaines caractéristiques d'affectation ne sont pas transposables (ex:vlan par port), tu es libre de choisir comment regrouper les machines par vlan. Il est même possible sur certains matériels d'établir des VLANs en fonction des moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire sur adresse MAC ou IP par exemple.
à l'adresse ci dessous tu trouveras un exemple de déploiement cisco, toutes les fonctionnalités sont peut être pas supportées par ton matériel...http://www.cisco.com/en/US/products/hw/wireless/ps430/prod_technical_reference09186a00801444a1.html
Cedric Blancher
Le Thu, 22 Apr 2004 14:07:50 +0000, anth0 a écrit :
Il est même possible sur certains matériels d'établir des VLANs en fonction des moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire sur adresse MAC ou IP par exemple.
Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments d'authentification, c'est à dire être capable d'affecter son VLAN par utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas s'authentifier.
--
Parce qu'il y a des faux linux ? Bien sûr. Tous ceux qui n'ont pas les lettres «BSD» dans leurs noms.
Lima India November Delta Oscar Whisky Sierra ?
-+- TB in GFA : "Argh, TB m'a tuer." -+-
Le Thu, 22 Apr 2004 14:07:50 +0000, anth0 a écrit :
Il est même possible sur certains matériels d'établir des VLANs en fonction
des moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel
vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire
sur adresse MAC ou IP par exemple.
Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments
d'authentification, c'est à dire être capable d'affecter son VLAN par
utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas
s'authentifier.
--
Parce qu'il y a des faux linux ?
Bien sûr. Tous ceux qui n'ont pas les lettres «BSD» dans leurs noms.
Le Thu, 22 Apr 2004 14:07:50 +0000, anth0 a écrit :
Il est même possible sur certains matériels d'établir des VLANs en fonction des moyens d'authentification (aka si on utilise 802.1x/EAP j'ai tel vlan-id,etc..), et non pas classiquement, comme tu pourrais le faire sur adresse MAC ou IP par exemple.
Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments d'authentification, c'est à dire être capable d'affecter son VLAN par utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas s'authentifier.
--
Parce qu'il y a des faux linux ? Bien sûr. Tous ceux qui n'ont pas les lettres «BSD» dans leurs noms.
Lima India November Delta Oscar Whisky Sierra ?
-+- TB in GFA : "Argh, TB m'a tuer." -+-
benoit.sansspam
Cedric Blancher wrote:
Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il faudrait donc avoir un script qui réécrit la configuration du DHCP à chaque demande... Ça me semble un peu léger comme solution amha. Surtout que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de 10mn.
OK pour la durée du bail DHCP.
Par contre tout serveur DHCP peut le faire si tu sais donner à la machine comme adresses toutes les IP paires et qu'il envoie les IP impairs avec le masque 255.255.255.254.
J'ai volontairement prévu le cas de la tentative d'attaque, sinon il suffit de rester dans la plage 192.168.O.X (par exemple) si l'on considère qu'on ne veut pas que les utilisateurs se voient dans le cadre d'une utilisation « normale ».
-- Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il
faudrait donc avoir un script qui réécrit la configuration du DHCP à
chaque demande... Ça me semble un peu léger comme solution amha. Surtout
que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de
10mn.
OK pour la durée du bail DHCP.
Par contre tout serveur DHCP peut le faire si tu sais donner à la
machine comme adresses toutes les IP paires et qu'il envoie les IP
impairs avec le masque 255.255.255.254.
J'ai volontairement prévu le cas de la tentative d'attaque, sinon il
suffit de rester dans la plage 192.168.O.X (par exemple) si l'on
considère qu'on ne veut pas que les utilisateurs se voient dans le cadre
d'une utilisation « normale ».
--
Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
Je ne connais pas de serveur DHCP qui soit capable de faire ça. Il faudrait donc avoir un script qui réécrit la configuration du DHCP à chaque demande... Ça me semble un peu léger comme solution amha. Surtout que si je veux lire mon mail en HTTPS, j'en ai en général pour plus de 10mn.
OK pour la durée du bail DHCP.
Par contre tout serveur DHCP peut le faire si tu sais donner à la machine comme adresses toutes les IP paires et qu'il envoie les IP impairs avec le masque 255.255.255.254.
J'ai volontairement prévu le cas de la tentative d'attaque, sinon il suffit de rester dans la plage 192.168.O.X (par exemple) si l'on considère qu'on ne veut pas que les utilisateurs se voient dans le cadre d'une utilisation « normale ».
-- Benoît Leraillez
La douleur des autres est tout à fait supportable, hors les cris.
totoy81
Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments d'authentification, c'est à dire être capable d'affecter son VLAN par utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas s'authentifier.
Effectivement.Pour l'assignement d'un vlan-id suite à une authentification se basant sur 802.1x/EAP, la séquence simplifiée est la suivante :
EAP-request/user-ID : antho Me ----------------------------------> Serveur Radius
EAP-Success/user-ID:antho,VLAN-ID=XXX Me <-------------------------------------------Serveur Radius
XXX étant le numéro du VLAN-ID d'affectation, positionné au niveau des attributs de l'utilisateur Radius "Tunnel Private Group ID".
Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth ?
Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments
d'authentification, c'est à dire être capable d'affecter son VLAN par
utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas
s'authentifier.
Effectivement.Pour l'assignement d'un vlan-id suite à une
authentification se basant sur 802.1x/EAP, la séquence simplifiée est
la suivante :
EAP-request/user-ID : antho
Me ----------------------------------> Serveur Radius
EAP-Success/user-ID:antho,VLAN-ID=XXX
Me <-------------------------------------------Serveur Radius
XXX étant le numéro du VLAN-ID d'affectation, positionné au niveau des
attributs de l'utilisateur Radius "Tunnel Private Group ID".
Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment
on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth
?
Et avec un bon RADIUS, tu peux même affecter le VLAN selon les éléments d'authentification, c'est à dire être capable d'affecter son VLAN par utilisateur, et d'avoir un VLAN poubelle pour ceux qui ne peuvent pas s'authentifier.
Effectivement.Pour l'assignement d'un vlan-id suite à une authentification se basant sur 802.1x/EAP, la séquence simplifiée est la suivante :
EAP-request/user-ID : antho Me ----------------------------------> Serveur Radius
EAP-Success/user-ID:antho,VLAN-ID=XXX Me <-------------------------------------------Serveur Radius
XXX étant le numéro du VLAN-ID d'affectation, positionné au niveau des attributs de l'utilisateur Radius "Tunnel Private Group ID".
Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth ?
Cedric Blancher
Le Fri, 23 Apr 2004 08:47:41 +0000, anth0 a écrit :
Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth
Je n'ai plus le truc en tête, mais ce n'est pas en cas _d'échec_ de l'authentification que j'affectais un VLAN poubelle, mais en cas de non réponse à la requête d'authentification (i.e. le client ne peut pas s'authentifier). C'est assez utile pour les entreprises qui veulent mettre en place un WLAN en laissant une possibilité hotspot pour leurs visiteurs.
L'échec de l'authentification (i.e. je file un mauvais loing/mdp) est une violation de la politique de sécurité et doit être traitée comme telle. T'as joué au con, tu touches pas à mon bac à sable :)
--
Normal c'est un XT, il n'y a pas de BIOS !! Et c'est quoi qui t'affiche "Keyboard Failure, press any key"
L'écran ?
-+- CL in GFA : T'as de bons yeux tu sais... -+-
Le Fri, 23 Apr 2004 08:47:41 +0000, anth0 a écrit :
Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment
on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth
Je n'ai plus le truc en tête, mais ce n'est pas en cas _d'échec_ de
l'authentification que j'affectais un VLAN poubelle, mais en cas de non
réponse à la requête d'authentification (i.e. le client ne peut pas
s'authentifier). C'est assez utile pour les entreprises qui veulent mettre
en place un WLAN en laissant une possibilité hotspot pour leurs visiteurs.
L'échec de l'authentification (i.e. je file un mauvais loing/mdp) est une
violation de la politique de sécurité et doit être traitée comme
telle. T'as joué au con, tu touches pas à mon bac à sable :)
--
Normal c'est un XT, il n'y a pas de BIOS !!
Et c'est quoi qui t'affiche "Keyboard Failure, press any key"
Le Fri, 23 Apr 2004 08:47:41 +0000, anth0 a écrit :
Par contre, je n'ai jamais pratiqué la dessus, quelqu'un sait comment on définit l'assignation au VLAN "pouvelle", en cas d'échec de l'auth
Je n'ai plus le truc en tête, mais ce n'est pas en cas _d'échec_ de l'authentification que j'affectais un VLAN poubelle, mais en cas de non réponse à la requête d'authentification (i.e. le client ne peut pas s'authentifier). C'est assez utile pour les entreprises qui veulent mettre en place un WLAN en laissant une possibilité hotspot pour leurs visiteurs.
L'échec de l'authentification (i.e. je file un mauvais loing/mdp) est une violation de la politique de sécurité et doit être traitée comme telle. T'as joué au con, tu touches pas à mon bac à sable :)
--
Normal c'est un XT, il n'y a pas de BIOS !! Et c'est quoi qui t'affiche "Keyboard Failure, press any key"
L'écran ?
-+- CL in GFA : T'as de bons yeux tu sais... -+-
T0t0
"Arno" wrote in message news:
J'aurais besoin de faire en sorte qu'elles ne se voient plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Cisco propose une solution qu s appelle PSFP je crois qui permet de faire un filtrage des adresses MAC des postes connectes entre eux. C est interessant, et ca marche, par contre je me demande comment ca reagit en faisant de l ARP cache poisonning et en utilisant une machine du réseau local comme rebond... a voir.
Si ta borne n est pas du cisco, il y a peut etre des alternatives chez les concurents, mais je n en connais pô :-(
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Arno" <arnoraes@ifrance.com> wrote in message
news:aac4cb66.0404202254.7392eb61@posting.google.com
J'aurais besoin de faire en sorte qu'elles ne se voient
plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point
d'accès leur sert uniquement pour aller sur Internet donc pas besoin de
connaître le reste du réseau.
Cisco propose une solution qu s appelle PSFP je crois qui permet de
faire un filtrage des adresses MAC des postes connectes entre eux.
C est interessant, et ca marche, par contre je me demande comment ca
reagit en faisant de l ARP cache poisonning et en utilisant une machine
du réseau local comme rebond... a voir.
Si ta borne n est pas du cisco, il y a peut etre des alternatives chez
les concurents, mais je n en connais pô :-(
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
J'aurais besoin de faire en sorte qu'elles ne se voient plus. Je souhaiterait qu'elle ne voit personne d'autre qu'elle. Ce point d'accès leur sert uniquement pour aller sur Internet donc pas besoin de connaître le reste du réseau.
Cisco propose une solution qu s appelle PSFP je crois qui permet de faire un filtrage des adresses MAC des postes connectes entre eux. C est interessant, et ca marche, par contre je me demande comment ca reagit en faisant de l ARP cache poisonning et en utilisant une machine du réseau local comme rebond... a voir.
Si ta borne n est pas du cisco, il y a peut etre des alternatives chez les concurents, mais je n en connais pô :-(
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
