Avantage et inconvénient DHCP et DNS [Résolu]

[stoyak]

Salut à tous,

Je viens vers vous car j'ai un ami qui a du mal à trouver des arguments pour convaincre son Patron d'installer un DNS et un DHCP sur le réseau. Je suis donc à la recherche d'arguments sur les avantages et inconvénients.

Il dispose en effet d'un réseau informatique avec une dizaine de sites distants, reliés par VPN et d'un site central.
Il doit y avoir environ 40 postes par site plus 180 environ sur le site central. A cela il faut rajouter les IPs des imprimantes réseaux, les boitiers de sécurité, téléphones et autres matériels.
A ce jour, tout est en IP fixe qu'il gère à la main. Ce qui veut dire à chaque PC, mettre une adresse IP, idem pour serveurs et autres. En plus, obligation de mettre à jour un fichier excel pour maintenir tout ça, .... Idem pour la configuration de logiciels ou applications nécessitant de joindre un serveur ou une machine: il est obligé de se rappeler de l'IP, de l'ajouter à la main, ...
Bref, mon ami trouve ça rébarbatif et pas très propre et voudrait savoir s'il est judicieux de mettre en place un DHCP et un DNS. Quels sont les avantages et inconvénients ? Son chef est sceptique à l'idée de mettre en place un DHCP, voir même un DNS et il cherche donc des arguments.

Merci pour votre contribution!

[Jenna]

Avantages du DHCP :

• Tu n'as plus a t'occuper des adresses IP des postes clients. Le PC client arrive le matin, obtient une adresse IP et c'est tout bon.

Inconvénients du DHCP

• Il faut continuer à gérer à la main les serveurs (imprimantes, routeurs, serveur de fichier, Active directory) car ce sont des serveurs et donc il faut connaitre leur adresse IP qui doit rester statique.
  
• Il faut un serveur DHCP par réseau local. Le DHCP supporte assez mal le routage (il faut faire des conf particulières sur les routeurs pour laisser le broadcast DHCP).
  
• N'importe quel PC peut se connecter sur le réseau local et obtenir une IP rapidement. Cela peut poser un problème au niveau de la sécurité.

Avantages d'un serveur DNS. Ici, je ne parle que d'un serveur DNS cache. Je ne parle pas d'un serveur DNS de zone.

• Cela permet de mutualiser les requêtes DNS. Si une personne a déjà demandé www.google.com, une 2eme personne qui demande aura une réponse plus rapidement. C'est le rôle d'un cache.
  
• Ce n'est pas très compliqué à mettre en oeuvre et cela se couple très bien avec le serveur DHCP.

Inconvénient d'un serveur DNS.

• Je n'en voie pas mis à part qu'il faut le mettre en place et que cela demande quelques compétences d'administration.

Attention, dans tous les cas, tes serveurs DNS et DHCP deviennent des ressources critiques de ton réseau. Si le serveur DNS ou DHCP ne marche plus, tu vas très vite le savoir car tout le monde va te crier dessus.

[djibril]

Avantage DNS :

1. Éviter de tenir à jour la table hosts de chaque poste client d’un réseau
2. Avoir un cache DNS qui accélère la recherche des noms
3. Sur un réseau locale, un serveur DNS permet d’accélérer le trafic sur le réseau car de nombreux services ont besoins d’un serveur DNS bien configuré pour fonctionner correctement (WEB, POP, SMTP,..)
4. Il est possible d'en avoir plusieurs sur des serveurs différents afin de garantir son service en cas d'arrêt d'un des serveurs (Installation maitre sur un serveur principal et esclave sur les autres)

Inconvénient DNS :

1. Peut être son installation, quoi que ce n'est pas très compliqué.
2. Penser à l'installer sur au moins 2 serveurs si on manipule un grand réseau
3. En cas d'utilisation d'un DNS sans DHCP, là il faut maintenir le fichier d'annuaire des IP, ça peut être long au début.

Avantage DHCP :

1. Évite les conflits d'adresse IP et permet de contrôler l'utilisation des adresses IP de façon centralisée. Ainsi, si un paramètre change au niveau du réseau, comme, par exemple l'adresse de la passerelle par défaut, il suffit de changer la valeur du paramètre au niveau du serveur DHCP, pour que toutes les stations aient une prise en compte du nouveau paramètre dès que le bail sera renouvelé. Dans le cas de l'adressage statique, il faudrait manuellement reconfigurer toutes les machines.
2. Plus le réseau est grand, plus c'est pratique à maintenir
3. économie d'adresse : ce protocole est presque toujours utilisé par les fournisseurs d'accès Internet qui disposent d'un nombre d'adresses limité. Ainsi grâce à DHCP, seules les machines connectées en ligne ont une adresse IP. En effet, imaginons un fournisseur d'accès qui a plus de 1000 clients. Il lui faudrait 5 réseaux de classe C, s'il voulait donner à chaque client une adresse IP particulière. S'il se dit que chaque client utilise en moyenne un temps de connexion de 10 mn par jour, il peut s'en sortir avec une seule classe C, en attribuant, ce que l'on pourrait appeler des "jetons d'accès" en fonction des besoins des clients.
4. Le changement de plan d'adressage se trouve facilité par le dynamisme d'attribution.
5. Avec DHCP, il suffit d'attribuer une adresse au serveur. Lorsqu'un ordinateur client DHCPdemande l'accès au réseau en TCP-IP son adresse est allouée dynamiquement à l'intérieur d'une plage d'adresses définie sur le serveur .
6. L'administrateur de réseau contrôle le mode d'attribution des adresses IP en spécifiant une durée de bail qui indique combien de temps l'hôte peut utiliser une configuration IP attribuée, avant de devoir solliciter le renouvellement du bail auprès du serveur DHCP.
7. L'adresse IP est libérée automatiquement, à l'expiration du bail, pour un ordinateur client DHCP retiré d'un sous-réseau, et une nouvelle adresse est automatiquement définie pour ce dernier, lorsque cet ordinateur est reconnecté à un autre sous-réseau. Ni l'utilisateur ni l'administrateur de réseau n'ont besoin de fournir de nouvelles informations relatives à la configuration. Cette fonctionnalité est non négligeable, tant pour les utilisateurs de portables fixés ou non à différentes stations d'accueil que pour les ordinateurs fréquemment déplacés.
8. Il est possible de fixer une Adresse IP pour des serveurs à volonté en fonction de l'adresse MAC.

Inconvénient DHCP :

1. Le client utilise des trames de broadcast pour rechercher un serveur DHCP sur le réseau, cela charge le réseau. Si vous avez une entreprise avec plusieurs centaines de personnes qui ouvrent leur session le matin à 8 h ou l'après midi à 14 h, il peut s'en suivre de graves goulets d'étranglement sur le réseau. L'administrateur devra donc réfléchir sérieusement à l'organisation de son réseau.
2. Il faut un serveur DHCP par réseau local
3. Tout le monde peut accéder à votre réseau et s'y connecter, mais je pense qu'il est possible de sécuriser cela.

D'autres forumeurs auront peut être d'autres suggestions

Citation:

Envoyé par Jenna

Attention, dans tous les cas, tes serveurs DNS et DHCP deviennent des ressources critiques de ton réseau. Si le serveur DNS ou DHCP ne marche plus, tu vas très vite le savoir car tout le monde va te crier dessus.

De toute façon, dans un réseau il y a toujours des serveurs critiques

[djibril]

En passant, comment sécuriser son DHCP sur un réseau ? Car mine de rien, le fait que n'importe qui puisse obtenir une adresse IP peut être un trou de sécurité dans un vaste Réseau, non !!!

[dahtah]

Citation:

Envoyé par djibril

En passant, comment sécuriser son DHCP sur un réseau ? Car mine de rien, le fait que n'importe qui puisse obtenir une adresse IP peut être un trou de sécurité dans un vaste Réseau, non !!!

Celà veut dire que tu as accès physique au réseau interne. C'est pour ça que c'est primordial de sécuriser ton réseau vu de l'intérieur et pas que de l'extérieur (c'est la principale erreur des entreprises).
Une solution qui n'en est pas vraiment une :
Si ton parc est homogène (même constructeur de carte réseau), tu peux filtrer par l'adresse MAC (refuser les connexions d'@ MAC que tu ne connais pas).
C'est quasiment la seule solution pour "sécuriser" dhcp.

[djibril]

Citation:

Envoyé par dahtah

Celà veut dire que tu as accès physique au réseau interne. C'est pour ça que c'est primordial de sécuriser ton réseau vu de l'intérieur et pas que de l'extérieur (c'est la principale erreur des entreprises).
Une solution qui n'en est pas vraiment une :
Si ton parc est homogène (même constructeur de carte réseau), tu peux filtrer par l'adresse MAC (refuser les connexions d'@ MAC que tu ne connais pas).
C'est quasiment la seule solution pour "sécuriser" dhcp.

En faisant comment ? En créant autant d'IP fixe que de PC ? car dans ce cas, tu perds l'utilité et l'avantage du DHCP. Ou bien, y a t il une technique particulière ?

[dahtah]

Citation:

Envoyé par djibril

En faisant comment ? En créant autant d'IP fixe que de PC ? car dans ce cas, tu perds l'utilité et l'avantage du DHCP. Ou bien, y a t il une technique particulière ?

Non, ça reviendrai à tourner en rond
En fait l'@ MAC est composé de deux morceaux l'identifiant constructeur (les 24 premiers bits) et l'identifiant de la carte (les 24 derniers bits). Donc tu ne donnes pas de baux dhcp aux adresses MAC dont tu ne connais pas les 24 premiers bits. En gros tu donnes une adresse que si tu connais le constructeur de la carte.
Mais bon, cette limitation peut facilement être outrepassée du point de vue de l'attaquant. C'est qu'un tout petit premier rempart (ou muret plutôt ). En plus, ça impose d'avoir un parc standardisé, et complique les connexions itinérantes.

[djibril]

Il suffit que le pirate ait un PC du même constructeur . Mais bon, c'est déjà une idée.

[dahtah]

Citation:

Envoyé par djibril

Il suffit que le pirate ait un PC du même constructeur .

Même pas, tu changes juste ton @ MAC avec les premiers bits adéquat. Comme ça tu "matches" la rêgle et tu obtiens ton adresse.

[djibril]

Citation:

Envoyé par dahtah

Même pas, tu changes juste ton @ MAC avec les premiers bits adéquat. Comme ça tu "matches" la rêgle et tu obtiens ton adresse.

à creuser alors!!

[chaval]

Citation:

Envoyé par djibril

En faisant comment ? En créant autant d'IP fixe que de PC ? car dans ce cas, tu perds l'utilité et l'avantage du DHCP. Ou bien, y a t il une technique particulière ?

Oui et non.

• S'il y a beaucoup d'ordinateurs portable, les utilisateurs n'ont pas à jongler avec des configurations selon l'endroit où ils se trouvent (IP fixe au boulot, dynamique sur un hotspot wifi, ou sur un autre site, ou chez lui)
• la configuration réseau est récupéré à chaque bail (même si c'est la même à chaque fois). S'il y a un changement de l'adresse IP d'un serveur DNS ou de la passerelle par défaut, on la change une fois sur le serveur DHCP, et il n'y a qu'a attendre l'expiration des baux DHCP (moins d'une journée) plutôt que se palucher la config réseau de 100 postes windows (probablement plus d'une journée)

et puis aussi

• si un utilisateur te fait chier, tu mets une adresse IP bidon en face de son adresse mac, et il n'a plus accès au réseau. Non, je déconne la...

[stoyak]

Merci à tous pour vos réponses!

Je pense que mon ami aura assez d'informations pour essayer de convaincre son boss!

Stoyak