comment bloquer l'accès à mon réseau - Réseaux - Réseaux grand public / SoHo
Marsh Posté le 19-08-2009 à 17:37:35
filtrage par MAC adresse .... si MAC absente de la white liste => no IP
par contre un petit malin qui se branche sur le reseau peut toujours configurer ses IP/passerelle/dns en manuel, et si il est dans la meme plage que celle de ton reseau il va passer
il lui suffit d'avoir acces a un poste non verrouillé pour lire tous les parametres qu'il lui faut, il faut juste a tomber sur une IP non encore attribué et ton reseau ne se rendra compte de rien
a moins d'avoir une black list d'adresse mac qui contient la regle "tous sauf with list"
edithe me rappelle que cette solution est chiante parce que tu doit declaré une par une toute nouvelle machine qui rentre dans la boite pour lui delocké l'acces au reseau, idem si qlq remplace ca carte reseau => nouvelle MAC address nouvelle declaration a faire
Marsh Posté le 19-08-2009 à 18:04:45
Merci mais, si un poste c déjà connecté et j'ai son @ mac, je peux déjà interdire l'exlure à partir de son @ mac c ça?
Marsh Posté le 19-08-2009 à 18:11:30
une becanne qui s'est deja connecté, ne serais ce qu'une fois apparai dans les logs du serveur DHCP donc oui tu peut trouver l'@ mac que tu cherche et la passer en black liste ( mais faut etre sur que c'est la bonne .... faut trier quoi )
ensuite blacklister une @ MAC n'empeche pas de connecter la machine au reseau, les postes clients ne filtrent pas les MAC, si la becane "pirate" regle correctement IP et masque, il vas circuler librement sur le reseau interne, il sera juste bloquer pour acceder au routeur( acces net exterieur coupé) et au controlleur de domaine (dossiers partagé centraux protégé)
et le spoofing Mac reste toujour possible
Marsh Posté le 19-08-2009 à 18:15:24
Merci arkrom, je vai dejà essayer ça et je verrai ensuite ce ça va donner.
Marsh Posté le 19-08-2009 à 18:23:35
la securité reseau n'est pas une science exacte ... il n'y a aucn moyen d'etre certain qu'une personne non autorisé est sur ton reseau sans surveiller physiquement que c'est bien les bon mec assis sur les chaises
que ca soit log/pass , mac @, on peut toujours réussir a usurper les ID de qlq un avec asses de temps et de moyen
si vos switch sont administrable tu peut rajouter une couche en faisant des lien port/mac => si une mac n'est pas sur le port ou tu l'attend, l'adresse est rejeté et tu peut même désactiver le port en cause ( couper la prise mural quoi )
c'est très sur car l'usurpateur doit venir débrancher une machine pour se mettre a sa place pour reussir son coup. mais c'est misere land a mettre en place, ca demande des switch de compet avec une gestion administrative fiable des connections derriere
et au premier petit malin qui deplace son cable reseau parce qu'il prefere mettre son bureau près de la fenetre plutot que du coté porte ... ca coupe ( histoire vecu )
Marsh Posté le 19-08-2009 à 18:39:55
Meme si la sécurité est une science inexacte, moi probleme est que j'ai des utilisateurs qui ne veulent pas qu'on ajoutent leur poste au domaine, car leurs droits seront alors limités, alors ils préfèrent venir avec un labtop, les connecter à mon rézo et avoir accès au routeur, c ceux là surtout que je veux empêcher d'accerder au routeur sans mon autorisation
Marsh Posté le 19-08-2009 à 19:37:33
effectivement, la tu fait une with list/ black list d'adresse mac dans le routeur et ils sont baisé
Marsh Posté le 19-08-2009 à 17:14:21
Slt,
j'administre un rézo ki tourne sous win 2003 server edition standard, avec controleur de domaine (active directory). Comment faire pour que mon serveur DHCP identifie d'abord un poste avant de lui attribuer une adresse IP et l'@ de la passerelle et en même temps bloquer les postes non reconnus.