isoler une machine Inconnu

Grizli · 23/11/2011, 09h30

Bonjour,

j'ai un réseau qui est aujourd'hui un peut comme une passoire, IP statique, pas de gestion de profile,.... n'importe qui qui ramène ça machine pourra se connecter sans aucun soucis, il lui suffit de connaitre une des adresse du réseau pour s'y implanté.

pour remédier a ça j'ai pensé a mettre en place un DHCP qui servira que les machines dont le MAC est connu,ce ci permettra de cerner la population sur le réseau, mais pas pour autant d’empêcher une personne de s'implanter et de profiter des services (si elle connait les infos nécessaire ) : accès internet, partage, ....

pourriez vous juste m'orienter pour que je puisse sécuriser mon réseau et sur tout contrôler la population connectée.

Grizli.

hornetbzz · 23/11/2011, 09h50

Je ne suis pas un pro et ça dépend du nombre de machines de ton réseau, mais sans plus d'info, voila ce que je ferai (ce que j'ai fait), comme un débutant :

1 firewall avec un bon iptable bien réglé, un conntrack et un DHCP
"n" sous-reseaux,
1 switch manageable en créant "n" VLAN

nota: sachant que la limitation par MAC est facilement contournable.

Une solution "pro" m'intéresse également.

ciscowarrior · 23/11/2011, 19h52

entrées statiques dans la table MAC de ton access switch ou si le switch le supporte: port-security avec max une adresse et en sticky avec le mode violation en shutdown. Comme ça plus de MAC spoofing possible.
Si le switch le supporte: Dynamic ARP inspection + IP Source Guard + DHCP snooping. Dans ce cas pas besoin de mettre tout le monde en binding avec la MAC et on supprime l'IP spoofing et en même temps on lutte conter les attaques MiTM avec rogue DHCP server et ARP spoofing.
On peux aussi mettre en place une authentification DOT1x avec serveur Radius et Guest Vlan.

Alain.

hornetbzz · 23/11/2011, 20h44

Merci

,

oui quelques une de ces opérations fonctionnent pour moi avec un smart switch (manageable) GS724T

23/11/2011, 09h30	#1
Grizli Membre à l'essai AlaEddine OUALI T24 Admin Inscription : avril 2007 Messages : 64 Détails du profil Informations personnelles : Nom : AlaEddine OUALI Âge : 28 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : T24 Admin Secteur : Finance Informations forums : Inscription : avril 2007 Messages : 64 Points : 22 Points : 22	isoler une machine Inconnu Bonjour, j'ai un réseau qui est aujourd'hui un peut comme une passoire, IP statique, pas de gestion de profile,.... n'importe qui qui ramène ça machine pourra se connecter sans aucun soucis, il lui suffit de connaitre une des adresse du réseau pour s'y implanté. pour remédier a ça j'ai pensé a mettre en place un DHCP qui servira que les machines dont le MAC est connu,ce ci permettra de cerner la population sur le réseau, mais pas pour autant d’empêcher une personne de s'implanter et de profiter des services (si elle connait les infos nécessaire ) : accès internet, partage, .... pourriez vous juste m'orienter pour que je puisse sécuriser mon réseau et sur tout contrôler la population connectée. Grizli.
	10

23/11/2011, 09h50	#2
hornetbzz Membre chevronné Directeur commercial Inscription : octobre 2009 Messages : 475 Détails du profil Informations personnelles : Sexe : Âge : 44 Localisation : France Informations professionnelles : Activité : Directeur commercial Informations forums : Inscription : octobre 2009 Messages : 475 Points : 681 Points : 681	Je ne suis pas un pro et ça dépend du nombre de machines de ton réseau, mais sans plus d'info, voila ce que je ferai (ce que j'ai fait), comme un débutant : 1 firewall avec un bon iptable bien réglé, un conntrack et un DHCP "n" sous-reseaux, 1 switch manageable en créant "n" VLAN nota: sachant que la limitation par MAC est facilement contournable. Une solution "pro" m'intéresse également.
	00

23/11/2011, 19h52	#3
ciscowarrior Membre habitué Inscription : novembre 2011 Messages : 92 Détails du profil Informations personnelles : Sexe : Localisation : Belgique Informations forums : Inscription : novembre 2011 Messages : 92 Points : 119 Points : 119	entrées statiques dans la table MAC de ton access switch ou si le switch le supporte: port-security avec max une adresse et en sticky avec le mode violation en shutdown. Comme ça plus de MAC spoofing possible. Si le switch le supporte: Dynamic ARP inspection + IP Source Guard + DHCP snooping. Dans ce cas pas besoin de mettre tout le monde en binding avec la MAC et on supprime l'IP spoofing et en même temps on lutte conter les attaques MiTM avec rogue DHCP server et ARP spoofing. On peux aussi mettre en place une authentification DOT1x avec serveur Radius et Guest Vlan. Alain.
	10

23/11/2011, 20h44	#4
hornetbzz Membre chevronné Directeur commercial Inscription : octobre 2009 Messages : 475 Détails du profil Informations personnelles : Sexe : Âge : 44 Localisation : France Informations professionnelles : Activité : Directeur commercial Informations forums : Inscription : octobre 2009 Messages : 475 Points : 681 Points : 681	Merci , oui quelques une de ces opérations fonctionnent pour moi avec un smart switch (manageable) GS724T
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email