Discussion :

[saimmmms]

Salut, j'ai un réseau qui comporte près de 500 machine(wifi et filaire), j'ai utilisé l'adressage dynamique par DHCP, me question c'est : comment autoriser uniquement ces PC, ya des personne qui apporte leur pc portable, je veux pas les autoriser, uniquement on les identifiants(MAC), donc j'ai penser a utiliser le filtrage avec iptables sur ces près de 500 pc, mais j'ai peur de la lenteur qui va me provoquer; est ce vraiment j'ai raison? si oui y a t'il un autre moyen pour bloquer les MAC inconnue de naviguer sur internet / intranet

[Invité]

Salut,

avant de te lancer dans des iptables interminables, simple question...

Je doute que ton réseau de 500 PC Wifi/filaire soit un seul réseau IP qui soit dans le même subnet que l'interface d'entrée de ton firewall... Tu dois avoir des routeurs entre ton firewall et les PC Wifi/filaires, non ?

Parce que dans ce cas là, lorsqu'un paquet IP est routé vers l'interface d'entrée de ton firewall, il se présentera avec la MAC address du routeur. Seuls les PC dans le même subnet que l'interface d'entrée du firewall arriveront avec l'adresse MAC native...

Steph

[ZZelle]

En supposant que les 500 machines soient sur un/des réseau(s) sur le(s)quel(s) le firewall a une interface/ip, tu veux utiliser le filtrage par mac pour :
- sécuriser plus fortement ce que le firewall protège (intranet/internet) ? => ebtables (plus adapté qu'iptables pour du filtrage par mac (ou mac/ip))
- protéger aussi le réseau sur lequel les machines sont connectées ... en effet si une machine se connecte sauvagement sur un réseau avec une ip statique, elle peut discuter avec toutes les machines du réseau qui ne filtrent pas les mac/ip (en général tout le monde sauf le firewall). Dans ce cas (au moins pour la partie filaire), le seul moyen est que les machines soient connectées directement sur des switchs (L2/L3) qui permettent le filtrage/configuration par mac.

[saimmmms]

Merci pour les réponses, on qu’un seul réseau, pourquoi un seul, car on ai un nœud central, je ne suis pas responsable des autres sous directions (segments) donc je ne peux ni exiger ni ordonner ni contrôler, simplement recommander, autre part il ont mis que du cascade avec les switches, et aussi la totalité (près de 80%) de ce réseau comporte que des portables des étudiants qui consultent la majorité du temps des sites de torrents , porn, et parfois tentative de piratage que les structures supérieurs nous les signale par fois, donc la seul solution c’est identifier quiconque en cas des consultation des sites illégaux, ou quelqu’un qui est mal intentionné qui veut utilisé nos références dans le web, donc l’objectif final est de bloquer les attaques vers l’extérieur(internet), et la DMZ

Merci infiniment.

[ZZelle]

Si tu veux faire du filtrage par mac, tu ne peux que le faire sur ton réseau pas sur les réseaux des sous-directions.


Une solution pour contourner le problème est plutôt que de filtrer les machines via leurs mac, tu peux demander à ce que les gens s'authentifient sur un squid pour accéder à internet/intranet.

[saimmmms]

quand j'ai dis sous-direction, je veux dire que je ne peux pas exiger des machines firewall ou même pout le NAT avec un responsable interne, mais j'ai le droit de dire "non votre réseau me pose des problèmes", donc chaque section me transmis une liste avec des noms et MACs, en ce qui concerne squid, esqu'il peut faire le job parfaitement? sans ralentir la nivigation?
merci.

[ZZelle]

En ce qui concerne squid, est-ce qu'il peut faire le job parfaitement? sans ralentir la nivigation?

C'est très courant (en tout cas de mon point de vue) d'utiliser squid comme proxy web avec authentification (avec un ldap pour la gestion des utilisateurs/authentification).

Avantages de squid pour ton besoin:
- tout le trafic internet/intranet passant avec une authentification par le proxy, tu peux logger qui fait quoi (sauf erreur légalement le responsable de la sécurité doit pouvoir fournir aux autorités en cas de besoin ces informations)
- la contrainte porte sur l'utilisateur via l'authentification et non les machines ... si un élève change de PC, utilise les PCs de la salle info pour aller sur internet, c'est transparent.
- tu peux restreindre les flux sortants au http(s) (pour les utilisateurs lambda, si l'utilisateur le veut vraiment il passera toujours mais il mettra en défaut ce qu'il a signé dans la charte internet).
- ça réduira l'usage de scripts "louches" sur le net
- quand tu ne pourras pas empêcher certaines activités sur internet (directdownload typiquement), tu pourrais les tracer !
- impact sur les performances de navigation: rien, voire c'est même mieux vu que squid peut faire du cache.

Contraintes de squid pour ton besoin:
- les utilisateurs doivent configurer leurs browsers pour utiliser un proxy web (l'idéal étant qu'ils aient juste à activer la détection automatique du proxy)
- certains vont gueuler car leurs scripts ne marcheront plus (la DSI légitiment, les autres souvent beaucoup moins), ça peut se gérer avec des passe droits.
- ca peut poser des problèmes pour certains protocoles comme svn/git
- Quid des mise à jours windows

Fausse contrainte:
- un élève peut fournir ses identifiants à qqun d'autre pour se connecter ... c'est sa responsabilité tout de même (faut le prévenir qu'en même ia une charte) qu'il engage en cas de conneries de l'autre avec ses identifiants.

J'aurais tendance à dédier une machine pour le squid, et ne pas l'héberger sur le firewall (c'est pas son boulot).

[saimmmms]

Merci ZZelle, je vais l'utiliser
merci aussi a IP_Steph