jaffommopeff-9757

Envoyé par jaffommopeff-9757

Bonjour,

Je réponds à un sujet vieux de plusieurs années car il semble bien référencé (et que certain semble l'utilisé comme source).

Il y a de nombreuses coquilles, données incomplètes ou non claires dans ce sujet. Je vais tenter de clarifier certains points mais prenez le temps de vérifier vos sources (comme toujours).

Globalement gérer les adresses manuellement sur n'importe quel réseau est une aberration. On a inventé les serveurs DHCP pour de bonnes raisons.
Dans les bonnes pratiques, on a l'habitude de mettre un adressage dynamique pour tous les PC et de mettre des adresses fixes pour les serveurs et les imprimantes. On n'oubliera pas de réserver des adresses ou des plages pour cela.
Par exemple, si on utilise l'adressage privé 192.168.0.0 (comme beaucoup de box opérateur), on paramètre son DHCP pour utiliser les adresses de 192.168.0.50 à 192.168.0.200. Dans ce cas, il reste 103 adresses (de 0 à 50 et de 200 à 254) pour mettre des équipements en adressages fixes. Si on a besoin de plus d'adresses on peut diminuer le nombre de réservation ou rajouter des Vlans.
D'ailleurs, globalement les VLAN sont vos meilleurs amis en réseau : séparation des flux, des usagers, des téléphones, des serveurs ... On peut limiter l'impact de certaines attaques. En effet, la très grosses majorité des attaques viennent de l'intérieur => voir l’excellent guide de l'ANSII (en français) (https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf )).

Reprenons le DHCP, il se base sur du broadcast, donc les ordinateurs vont "crier" à tout le monde "QUI EST LE DHCP ?". Mais comme tout broadcast, c'est limité au même réseau (ou vlan).
Si on a plusieurs réseaux, on ne met pas plusieurs serveurs DHCP. En effet, plus on a d'équipements, plus c'est difficile de gérer et plus on a de panne (ben oui, si on a deux serveurs on a deux fois plus d'équipements qui peuvent tomber en pannes).
[ J'en profite pour parler de la redondance : cela ne sert à rien du tout (mais alors a rien du tout) si on ne supervise pas les équipements (ou/et qu'on test très régulièrement) !! Ça coûte plus cher, on a plus de pannes (bien que la première sans impact) et si on ne sait pas quand ça tombe en panne on a juste déplacer l'impact (et comme on se sent protéger, on fait encore moins attention). Globalement, plus un réseau est grand plus il coûte cher (même en coût/utilisateur) et plus il difficile à administrer]
Donc, si on a plusieurs réseaux, on met un seul serveur DHCP (redondé si nécessaire) et on met des DHCP relaie sur les routeurs. Ces derniers vont transformer un trames broadcast "QUI EST LE DHCP ?" en trame unicast vers le serveur DHCP "j'ai un mec qui crie sur mon réseau, tu peux lui donner une adresse ?". C'est une configuration basique à faire.
D'ailleurs ces trames de broadcast ne créent absolument pas de surcharges sur un réseau. Si vous avez un réseau gigabit, il faudrait 15 millions de trames DHCP pour surcharger un réseau. Si vous avez 15 millions de PC dans le même réseau, vous allez avoir des problèmes bien plus graves.

Quant au DNS, si vous avez un AD (active directory), il est obligatoire. La question se pose pas. Globalement, si vous avez besoin que certains noms pointent chez vous, il faut un DNS. Si vous avez un serveur mail, un serveur d'authentification, un intranet, un serveur de gestion d'impression ... => il faut un DNS. Personnes d'autres que vous ne peut savoir où sont vos ressources en internes.
Sinon, il permet d'éviter que chacun fasse ces petites requêtes (l'idée du DNS cache). C'est plus réactif (mais ça n’accélère pas le trafic). Si on n'a aucun service hébergé, peu de PC, et qu'on n'a pas de box opérateur, on peut très bien utiliser le DNS gratuit de Google directement (8.8.8.8), ou celui de son opérateur.

Sinon, en terme de sécurité pour le DHCP : le faite qu'un inconnu puisse avoir une adresse IP automatiquement est un faux débat. N'importe quel pirate sait contourner le fait de ne pas avoir d'adresse IP. Donc lui donnez une adresse automatiquement ne va accélérer que de quelques secondes sont travail. Pareil, un filtrage par adresse mac ne donne qu'une illusion de sécurité. Les adresses mac se changes à la volé (même Windows 10 le fait automatiquement pour les réseau sans-fils sans protection).
De toute façon, si on peut accéder de manière physique au réseau (soit via un équipement, soit via un prises murale vide), qu'il y ait ou non un DHCP ou un filtrage mac ne va rien changer pour n'importe quel pirate. Ça sert à rien de mettre un cadenas sur une porte si elle reste ouverte ...
Si vous voulez protéger votre réseau, et vos ressources, il va falloir être plus intelligent que les pirates ou être prêt à assumer les risques.
Vous pouvez commencer par bloquer tous les ports non utilisés, cadenassé vos équipements physiques et mettre en place des port-security ou ce genre de mécanisme pour limiter les accès aux ports.
Si vous voulez faire du bon travail, un système 802.1x est un vrai plus (s’il est bien installé et paramétré).

Voilà, si n’aviez pas vu les coquilles plus haut, je vous conseille vraiment de reprendre les bases réseaux. Certaines sont très grosses. Je ne vais pas faire de pub mais des formations de qualité gratuite existe.
Bien comprendre le mécanisme de DHCP et de DNS est un minimum si vous faite du réseau (sans chercher à connaitres les détails ou les trames).
Et si vous avez lu jusqu’ici, ben bravo !

Bonne journée !