Discussion :

[Grizli]

Bonjour,

j'ai un réseau qui est aujourd'hui un peut comme une passoire, IP statique, pas de gestion de profile,.... n'importe qui qui ramène ça machine pourra se connecter sans aucun soucis, il lui suffit de connaitre une des adresse du réseau pour s'y implanté.

pour remédier a ça j'ai pensé a mettre en place un DHCP qui servira que les machines dont le MAC est connu,ce ci permettra de cerner la population sur le réseau, mais pas pour autant d’empêcher une personne de s'implanter et de profiter des services (si elle connait les infos nécessaire ) : accès internet, partage, ....

pourriez vous juste m'orienter pour que je puisse sécuriser mon réseau et sur tout contrôler la population connectée.

Grizli.

[hornetbzz]

Je ne suis pas un pro et ça dépend du nombre de machines de ton réseau, mais sans plus d'info, voila ce que je ferai (ce que j'ai fait), comme un débutant :

1 firewall avec un bon iptable bien réglé, un conntrack et un DHCP
"n" sous-reseaux,
1 switch manageable en créant "n" VLAN

nota: sachant que la limitation par MAC est facilement contournable.

Une solution "pro" m'intéresse également.

[ciscowarrior]

entrées statiques dans la table MAC de ton access switch ou si le switch le supporte: port-security avec max une adresse et en sticky avec le mode violation en shutdown. Comme ça plus de MAC spoofing possible.
Si le switch le supporte: Dynamic ARP inspection + IP Source Guard + DHCP snooping. Dans ce cas pas besoin de mettre tout le monde en binding avec la MAC et on supprime l'IP spoofing et en même temps on lutte conter les attaques MiTM avec rogue DHCP server et ARP spoofing.
On peux aussi mettre en place une authentification DOT1x avec serveur Radius et Guest Vlan.

Alain.

[hornetbzz]

Merci ,

oui quelques une de ces opérations fonctionnent pour moi avec un smart switch (manageable) GS724T