Discussion :

[stoyak]

Salut à tous,

Je viens vers vous car j'ai un ami qui a du mal à trouver des arguments pour convaincre son Patron d'installer un DNS et un DHCP sur le réseau. Je suis donc à la recherche d'arguments sur les avantages et inconvénients.

Il dispose en effet d'un réseau informatique avec une dizaine de sites distants, reliés par VPN et d'un site central.
Il doit y avoir environ 40 postes par site plus 180 environ sur le site central. A cela il faut rajouter les IPs des imprimantes réseaux, les boitiers de sécurité, téléphones et autres matériels.
A ce jour, tout est en IP fixe qu'il gère à la main. Ce qui veut dire à chaque PC, mettre une adresse IP, idem pour serveurs et autres. En plus, obligation de mettre à jour un fichier excel pour maintenir tout ça, .... Idem pour la configuration de logiciels ou applications nécessitant de joindre un serveur ou une machine: il est obligé de se rappeler de l'IP, de l'ajouter à la main, ...
Bref, mon ami trouve ça rébarbatif et pas très propre et voudrait savoir s'il est judicieux de mettre en place un DHCP et un DNS. Quels sont les avantages et inconvénients ? Son chef est sceptique à l'idée de mettre en place un DHCP, voir même un DNS et il cherche donc des arguments.

Merci pour votre contribution!

[Jenna]

Avantages du DHCP :

• Tu n'as plus a t'occuper des adresses IP des postes clients. Le PC client arrive le matin, obtient une adresse IP et c'est tout bon.

Inconvénients du DHCP

• Il faut continuer à gérer à la main les serveurs (imprimantes, routeurs, serveur de fichier, Active directory) car ce sont des serveurs et donc il faut connaitre leur adresse IP qui doit rester statique.
  
• Il faut un serveur DHCP par réseau local. Le DHCP supporte assez mal le routage (il faut faire des conf particulières sur les routeurs pour laisser le broadcast DHCP).
  
• N'importe quel PC peut se connecter sur le réseau local et obtenir une IP rapidement. Cela peut poser un problème au niveau de la sécurité.

Avantages d'un serveur DNS. Ici, je ne parle que d'un serveur DNS cache. Je ne parle pas d'un serveur DNS de zone.

• Cela permet de mutualiser les requêtes DNS. Si une personne a déjà demandé www.google.com, une 2eme personne qui demande aura une réponse plus rapidement. C'est le rôle d'un cache.
  
• Ce n'est pas très compliqué à mettre en oeuvre et cela se couple très bien avec le serveur DHCP.

Inconvénient d'un serveur DNS.

• Je n'en voie pas mis à part qu'il faut le mettre en place et que cela demande quelques compétences d'administration.

Attention, dans tous les cas, tes serveurs DNS et DHCP deviennent des ressources critiques de ton réseau. Si le serveur DNS ou DHCP ne marche plus, tu vas très vite le savoir car tout le monde va te crier dessus.

[djibril]

Avantage DNS :

1. Éviter de tenir à jour la table hosts de chaque poste client d’un réseau
2. Avoir un cache DNS qui accélère la recherche des noms
3. Sur un réseau locale, un serveur DNS permet d’accélérer le trafic sur le réseau car de nombreux services ont besoins d’un serveur DNS bien configuré pour fonctionner correctement (WEB, POP, SMTP,..)
4. Il est possible d'en avoir plusieurs sur des serveurs différents afin de garantir son service en cas d'arrêt d'un des serveurs (Installation maitre sur un serveur principal et esclave sur les autres)

Inconvénient DNS :

1. Peut être son installation, quoi que ce n'est pas très compliqué.
2. Penser à l'installer sur au moins 2 serveurs si on manipule un grand réseau
3. En cas d'utilisation d'un DNS sans DHCP, là il faut maintenir le fichier d'annuaire des IP, ça peut être long au début.

Avantage DHCP :

1. Évite les conflits d'adresse IP et permet de contrôler l'utilisation des adresses IP de façon centralisée. Ainsi, si un paramètre change au niveau du réseau, comme, par exemple l'adresse de la passerelle par défaut, il suffit de changer la valeur du paramètre au niveau du serveur DHCP, pour que toutes les stations aient une prise en compte du nouveau paramètre dès que le bail sera renouvelé. Dans le cas de l'adressage statique, il faudrait manuellement reconfigurer toutes les machines.
2. Plus le réseau est grand, plus c'est pratique à maintenir
3. économie d'adresse : ce protocole est presque toujours utilisé par les fournisseurs d'accès Internet qui disposent d'un nombre d'adresses limité. Ainsi grâce à DHCP, seules les machines connectées en ligne ont une adresse IP. En effet, imaginons un fournisseur d'accès qui a plus de 1000 clients. Il lui faudrait 5 réseaux de classe C, s'il voulait donner à chaque client une adresse IP particulière. S'il se dit que chaque client utilise en moyenne un temps de connexion de 10 mn par jour, il peut s'en sortir avec une seule classe C, en attribuant, ce que l'on pourrait appeler des "jetons d'accès" en fonction des besoins des clients.
4. Le changement de plan d'adressage se trouve facilité par le dynamisme d'attribution.
5. Avec DHCP, il suffit d'attribuer une adresse au serveur. Lorsqu'un ordinateur client DHCPdemande l'accès au réseau en TCP-IP son adresse est allouée dynamiquement à l'intérieur d'une plage d'adresses définie sur le serveur .
6. L'administrateur de réseau contrôle le mode d'attribution des adresses IP en spécifiant une durée de bail qui indique combien de temps l'hôte peut utiliser une configuration IP attribuée, avant de devoir solliciter le renouvellement du bail auprès du serveur DHCP.
7. L'adresse IP est libérée automatiquement, à l'expiration du bail, pour un ordinateur client DHCP retiré d'un sous-réseau, et une nouvelle adresse est automatiquement définie pour ce dernier, lorsque cet ordinateur est reconnecté à un autre sous-réseau. Ni l'utilisateur ni l'administrateur de réseau n'ont besoin de fournir de nouvelles informations relatives à la configuration. Cette fonctionnalité est non négligeable, tant pour les utilisateurs de portables fixés ou non à différentes stations d'accueil que pour les ordinateurs fréquemment déplacés.
8. Il est possible de fixer une Adresse IP pour des serveurs à volonté en fonction de l'adresse MAC.

Inconvénient DHCP :

1. Le client utilise des trames de broadcast pour rechercher un serveur DHCP sur le réseau, cela charge le réseau. Si vous avez une entreprise avec plusieurs centaines de personnes qui ouvrent leur session le matin à 8 h ou l'après midi à 14 h, il peut s'en suivre de graves goulets d'étranglement sur le réseau. L'administrateur devra donc réfléchir sérieusement à l'organisation de son réseau.
2. Il faut un serveur DHCP par réseau local
3. Tout le monde peut accéder à votre réseau et s'y connecter, mais je pense qu'il est possible de sécuriser cela.

D'autres forumeurs auront peut être d'autres suggestions

Attention, dans tous les cas, tes serveurs DNS et DHCP deviennent des ressources critiques de ton réseau. Si le serveur DNS ou DHCP ne marche plus, tu vas très vite le savoir car tout le monde va te crier dessus.

De toute façon, dans un réseau il y a toujours des serveurs critiques

[djibril]

En passant, comment sécuriser son DHCP sur un réseau ? Car mine de rien, le fait que n'importe qui puisse obtenir une adresse IP peut être un trou de sécurité dans un vaste Réseau, non !!!

[dahtah]

En passant, comment sécuriser son DHCP sur un réseau ? Car mine de rien, le fait que n'importe qui puisse obtenir une adresse IP peut être un trou de sécurité dans un vaste Réseau, non !!!

Celà veut dire que tu as accès physique au réseau interne. C'est pour ça que c'est primordial de sécuriser ton réseau vu de l'intérieur et pas que de l'extérieur (c'est la principale erreur des entreprises).
Une solution qui n'en est pas vraiment une :
Si ton parc est homogène (même constructeur de carte réseau), tu peux filtrer par l'adresse MAC (refuser les connexions d'@ MAC que tu ne connais pas).
C'est quasiment la seule solution pour "sécuriser" dhcp.

[djibril]

Celà veut dire que tu as accès physique au réseau interne. C'est pour ça que c'est primordial de sécuriser ton réseau vu de l'intérieur et pas que de l'extérieur (c'est la principale erreur des entreprises).
Une solution qui n'en est pas vraiment une :
Si ton parc est homogène (même constructeur de carte réseau), tu peux filtrer par l'adresse MAC (refuser les connexions d'@ MAC que tu ne connais pas).
C'est quasiment la seule solution pour "sécuriser" dhcp.

En faisant comment ? En créant autant d'IP fixe que de PC ? car dans ce cas, tu perds l'utilité et l'avantage du DHCP. Ou bien, y a t il une technique particulière ?

[dahtah]

En faisant comment ? En créant autant d'IP fixe que de PC ? car dans ce cas, tu perds l'utilité et l'avantage du DHCP. Ou bien, y a t il une technique particulière ?

Non, ça reviendrai à tourner en rond
En fait l'@ MAC est composé de deux morceaux l'identifiant constructeur (les 24 premiers bits) et l'identifiant de la carte (les 24 derniers bits). Donc tu ne donnes pas de baux dhcp aux adresses MAC dont tu ne connais pas les 24 premiers bits. En gros tu donnes une adresse que si tu connais le constructeur de la carte.
Mais bon, cette limitation peut facilement être outrepassée du point de vue de l'attaquant. C'est qu'un tout petit premier rempart (ou muret plutôt ). En plus, ça impose d'avoir un parc standardisé, et complique les connexions itinérantes.

[djibril]

Il suffit que le pirate ait un PC du même constructeur . Mais bon, c'est déjà une idée.

[dahtah]

Il suffit que le pirate ait un PC du même constructeur .

Même pas, tu changes juste ton @ MAC avec les premiers bits adéquat. Comme ça tu "matches" la rêgle et tu obtiens ton adresse.

[djibril]

Même pas, tu changes juste ton @ MAC avec les premiers bits adéquat. Comme ça tu "matches" la rêgle et tu obtiens ton adresse.

à creuser alors!!

[chaval]

En faisant comment ? En créant autant d'IP fixe que de PC ? car dans ce cas, tu perds l'utilité et l'avantage du DHCP. Ou bien, y a t il une technique particulière ?

Oui et non.

• S'il y a beaucoup d'ordinateurs portable, les utilisateurs n'ont pas à jongler avec des configurations selon l'endroit où ils se trouvent (IP fixe au boulot, dynamique sur un hotspot wifi, ou sur un autre site, ou chez lui)
• la configuration réseau est récupéré à chaque bail (même si c'est la même à chaque fois). S'il y a un changement de l'adresse IP d'un serveur DNS ou de la passerelle par défaut, on la change une fois sur le serveur DHCP, et il n'y a qu'a attendre l'expiration des baux DHCP (moins d'une journée) plutôt que se palucher la config réseau de 100 postes windows (probablement plus d'une journée)

et puis aussi

• si un utilisateur te fait chier, tu mets une adresse IP bidon en face de son adresse mac, et il n'a plus accès au réseau. Non, je déconne la...

[stoyak]

Merci à tous pour vos réponses!

Je pense que mon ami aura assez d'informations pour essayer de convaincre son boss!

Stoyak

[jaffommopeff-9757]

Bonjour,

Je réponds à un sujet vieux de plusieurs années car il semble bien référencé (et que certain semble l'utilisé comme source).

Il y a de nombreuses coquilles, données incomplètes ou non claires dans ce sujet. Je vais tenter de clarifier certains points mais prenez le temps de vérifier vos sources (comme toujours).

Globalement gérer les adresses manuellement sur n'importe quel réseau est une aberration. On a inventé les serveurs DHCP pour de bonnes raisons.
Dans les bonnes pratiques, on a l'habitude de mettre un adressage dynamique pour tous les PC et de mettre des adresses fixes pour les serveurs et les imprimantes. On n'oubliera pas de réserver des adresses ou des plages pour cela.
Par exemple, si on utilise l'adressage privé 192.168.0.0 (comme beaucoup de box opérateur), on paramètre son DHCP pour utiliser les adresses de 192.168.0.50 à 192.168.0.200. Dans ce cas, il reste 103 adresses (de 0 à 50 et de 200 à 254) pour mettre des équipements en adressages fixes. Si on a besoin de plus d'adresses on peut diminuer le nombre de réservation ou rajouter des Vlans.
D'ailleurs, globalement les VLAN sont vos meilleurs amis en réseau : séparation des flux, des usagers, des téléphones, des serveurs ... On peut limiter l'impact de certaines attaques. En effet, la très grosses majorité des attaques viennent de l'intérieur => voir l’excellent guide de l'ANSII (en français) (https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf )).

Reprenons le DHCP, il se base sur du broadcast, donc les ordinateurs vont "crier" à tout le monde "QUI EST LE DHCP ?". Mais comme tout broadcast, c'est limité au même réseau (ou vlan).
Si on a plusieurs réseaux, on ne met pas plusieurs serveurs DHCP. En effet, plus on a d'équipements, plus c'est difficile de gérer et plus on a de panne (ben oui, si on a deux serveurs on a deux fois plus d'équipements qui peuvent tomber en pannes).
[ J'en profite pour parler de la redondance : cela ne sert à rien du tout (mais alors a rien du tout) si on ne supervise pas les équipements (ou/et qu'on test très régulièrement) !! Ça coûte plus cher, on a plus de pannes (bien que la première sans impact) et si on ne sait pas quand ça tombe en panne on a juste déplacer l'impact (et comme on se sent protéger, on fait encore moins attention). Globalement, plus un réseau est grand plus il coûte cher (même en coût/utilisateur) et plus il difficile à administrer]
Donc, si on a plusieurs réseaux, on met un seul serveur DHCP (redondé si nécessaire) et on met des DHCP relaie sur les routeurs. Ces derniers vont transformer un trames broadcast "QUI EST LE DHCP ?" en trame unicast vers le serveur DHCP "j'ai un mec qui crie sur mon réseau, tu peux lui donner une adresse ?". C'est une configuration basique à faire.
D'ailleurs ces trames de broadcast ne créent absolument pas de surcharges sur un réseau. Si vous avez un réseau gigabit, il faudrait 15 millions de trames DHCP pour surcharger un réseau. Si vous avez 15 millions de PC dans le même réseau, vous allez avoir des problèmes bien plus graves.

Quant au DNS, si vous avez un AD (active directory), il est obligatoire. La question se pose pas. Globalement, si vous avez besoin que certains noms pointent chez vous, il faut un DNS. Si vous avez un serveur mail, un serveur d'authentification, un intranet, un serveur de gestion d'impression ... => il faut un DNS. Personnes d'autres que vous ne peut savoir où sont vos ressources en internes.
Sinon, il permet d'éviter que chacun fasse ces petites requêtes (l'idée du DNS cache). C'est plus réactif (mais ça n’accélère pas le trafic). Si on n'a aucun service hébergé, peu de PC, et qu'on n'a pas de box opérateur, on peut très bien utiliser le DNS gratuit de Google directement (8.8.8.8), ou celui de son opérateur.

Sinon, en terme de sécurité pour le DHCP : le faite qu'un inconnu puisse avoir une adresse IP automatiquement est un faux débat. N'importe quel pirate sait contourner le fait de ne pas avoir d'adresse IP. Donc lui donnez une adresse automatiquement ne va accélérer que de quelques secondes sont travail. Pareil, un filtrage par adresse mac ne donne qu'une illusion de sécurité. Les adresses mac se changes à la volé (même Windows 10 le fait automatiquement pour les réseau sans-fils sans protection).
De toute façon, si on peut accéder de manière physique au réseau (soit via un équipement, soit via un prises murale vide), qu'il y ait ou non un DHCP ou un filtrage mac ne va rien changer pour n'importe quel pirate. Ça sert à rien de mettre un cadenas sur une porte si elle reste ouverte ...
Si vous voulez protéger votre réseau, et vos ressources, il va falloir être plus intelligent que les pirates ou être prêt à assumer les risques.
Vous pouvez commencer par bloquer tous les ports non utilisés, cadenassé vos équipements physiques et mettre en place des port-security ou ce genre de mécanisme pour limiter les accès aux ports.
Si vous voulez faire du bon travail, un système 802.1x est un vrai plus (s’il est bien installé et paramétré).

Voilà, si n’aviez pas vu les coquilles plus haut, je vous conseille vraiment de reprendre les bases réseaux. Certaines sont très grosses. Je ne vais pas faire de pub mais des formations de qualité gratuite existe.
Bien comprendre le mécanisme de DHCP et de DNS est un minimum si vous faite du réseau (sans chercher à connaitres les détails ou les trames).
Et si vous avez lu jusqu’ici, ben bravo !

Bonne journée !