sécurisation par DHCP

sandybel · 28/07/2011, 12h38

Coucou a tous, j'ai un sérieux problème concernant la sécurité réseau.
mon thème de stage consiste à sécuriser les adresses IP, c'est à dire n'autoriser que les pc dont l'adresse MAC est enregistré à avoir une adresse ip fixe.
j'ai donc pensé à la réservation d'adresse avec un serveur DHCP, mais le hic est que je ne sais pas peut pas faire le contrôle avec le DHCP, si l’utilisateur entre lui même ses paramètres IP.
je veux donc autoriser que les paquets qui transitent par le serveur DHCP, et ignorer les autres . je sais pas si c'est possible?
merci de m'aider.

ram-0000 · 28/07/2011, 15h33

La seule solution que je vois à ton problème est de sécuriser les switch.

C'est à dire pour chaque port du switch, tu déclares l'adresse MAC qui à le droit d’émettre ou recevoir.

C'est assez lourd à mettre en œuvre car :

il faut connaitre toutes les adresses MAC de ta société
il faut des switch qui possèdent cette fonctionnalité
cela ne peut pas marcher sur des ports de switch cascadés avec un autre switch (il y aura plusieurs adresse MAC sur ce port)
c'est très lourd à gérer car il faut une vraie gestion des nouveaux postes arrivants

Par contre, c'est très efficace, seules les adresses MAC déclarées pourront parler.

Malette · 04/08/2011, 22h04

Bonsoir,

En complément de la réponse précédente, si tu as une politique stricte de gestion des droits (cad: enlever la possibilité pour l'utilisateur de modifier son adresse ip) pour les pc clients, cela peut t’ôter une épine du pied, car l'utilisateur ne peut plus changer lui même les paramètres...
Reste toujours les portables persos qui se connectent sauvagement...

Sinon dernière solution, la plus bourrine de toute que je ne connais seulement sur des switchs cisco, c'est la fonctionnalité "dhcp snooping" qui empeche tout serveur dhcp pirate sur le réseau combiné à la fonctionnalité "ip source guard" qui permet de filtrer le traffic en se basant sur les échanges dhcps enregistrés.

Avec ça tu es normalement certain qu'un pc qui configure manuellement une adresse ip ne pourra pas accéder au réseau.

Blackcurse · 12/08/2011, 11h59

salut,

Hum as tu pensé a radius ? avec une authentification par certificat ?

Sinon par gpo tu empeche l'accés à la section réseau tu laisse les machines en dhcp, et ensuite tu colle tes reservations. Le dhcp attribura alors les adresses ip en fonction des adresses mac des reservations, et tes machines auront toujours les mêmes @.

28/07/2011, 12h38	#1
sandybel Invité de passage Inscription : juin 2008 Messages : 3 Détails du profil Informations forums : Inscription : juin 2008 Messages : 3 Points : 1 Points : 1	sécurisation par DHCP Coucou a tous, j'ai un sérieux problème concernant la sécurité réseau. mon thème de stage consiste à sécuriser les adresses IP, c'est à dire n'autoriser que les pc dont l'adresse MAC est enregistré à avoir une adresse ip fixe. j'ai donc pensé à la réservation d'adresse avec un serveur DHCP, mais le hic est que je ne sais pas peut pas faire le contrôle avec le DHCP, si l’utilisateur entre lui même ses paramètres IP. je veux donc autoriser que les paquets qui transitent par le serveur DHCP, et ignorer les autres . je sais pas si c'est possible? merci de m'aider.
	00

28/07/2011, 15h33	#2
ram-0000 Expert Confirmé Sénior Raymond Inscription : mai 2007 Messages : 7 471 Détails du profil Informations personnelles : Nom : Raymond Informations forums : Inscription : mai 2007 Messages : 7 471 Points : 10 992 Points : 10 992	La seule solution que je vois à ton problème est de sécuriser les switch. C'est à dire pour chaque port du switch, tu déclares l'adresse MAC qui à le droit d’émettre ou recevoir. C'est assez lourd à mettre en œuvre car : il faut connaitre toutes les adresses MAC de ta société il faut des switch qui possèdent cette fonctionnalité cela ne peut pas marcher sur des ports de switch cascadés avec un autre switch (il y aura plusieurs adresse MAC sur ce port) c'est très lourd à gérer car il faut une vraie gestion des nouveaux postes arrivants Par contre, c'est très efficace, seules les adresses MAC déclarées pourront parler. __________________ Raymond Cafuro Cafuro est un outil SNMP dont le but est d'aider les administrateurs système et réseau à configurer leurs équipements SNMP réseau. WinAgentLog WinAgentLog est un service Windows qui collecte en temps réel les messages Microsoft EventLog et les retransmet en utilisant le protocole Syslog à une machine distante. e-verbe Un logiciel de conjugaison des verbes de la langue française Ma page personnelle sur DVP
	00

04/08/2011, 22h04	#3
Malette Candidat au titre de Membre du Club Administrateur systèmes et réseaux Inscription : mars 2010 Messages : 21 Détails du profil Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : mars 2010 Messages : 21 Points : 13 Points : 13	Bonsoir, En complément de la réponse précédente, si tu as une politique stricte de gestion des droits (cad: enlever la possibilité pour l'utilisateur de modifier son adresse ip) pour les pc clients, cela peut t’ôter une épine du pied, car l'utilisateur ne peut plus changer lui même les paramètres... Reste toujours les portables persos qui se connectent sauvagement... Sinon dernière solution, la plus bourrine de toute que je ne connais seulement sur des switchs cisco, c'est la fonctionnalité "dhcp snooping" qui empeche tout serveur dhcp pirate sur le réseau combiné à la fonctionnalité "ip source guard" qui permet de filtrer le traffic en se basant sur les échanges dhcps enregistrés. Avec ça tu es normalement certain qu'un pc qui configure manuellement une adresse ip ne pourra pas accéder au réseau.
	00

12/08/2011, 11h59	#4
Blackcurse Invité de passage Administrateur systèmes et réseaux Inscription : juillet 2011 Messages : 3 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Administrateur systèmes et réseaux Secteur : Administration - Collectivité locale Informations forums : Inscription : juillet 2011 Messages : 3 Points : 1 Points : 1	salut, Hum as tu pensé a radius ? avec une authentification par certificat ? Sinon par gpo tu empeche l'accés à la section réseau tu laisse les machines en dhcp, et ensuite tu colle tes reservations. Le dhcp attribura alors les adresses ip en fonction des adresses mac des reservations, et tes machines auront toujours les mêmes @.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email