dhcp or not dhcp ? (débat d'experts)

[jibe]

Salut,

Une fois de plus, je tombe sur un conseil de jdh :

Même si l'adressage fixe semble plus sûr, aujourd'hui le dhcp est presque obligatoire, ne serait ce pour les portables.

Je me décide donc à poser la question : le fait que jdh (et d'autres) préconise(nt) systématiquement le DHCP m'a toujours interrogé ! Je suis un peu vieux jeu, et j'ai bien du mal à me laisser convaincre que DHCP est préférable à l'adressage fixe.

Précisons tout de suite :
- Bien sûr, cela dépend des cas et des besoins et une réponse d'ordre général ne convient pas toujours à des cas particuliers. Il n'est pas question ici de cas précis, mais bien de cas où le débat a tout son sens : là où la préférence est due plus à l'opinion personnelle de l'ingé réseau qu'à des besoins qui de toutes manières seront satisfaits dans les deux cas.
- Il est bien évident que sur un réseau avec un bon nombre de postes, l'adressage fixe est bien long à mettre en place et que je considère bien dans ce cas que le DHCP s'impose !
- Je n'oublie pas les nomades et leur réserve toujours une petite plage en DHCP. L'adressage fixe ne concerne que les postes fixes, bien sûr !

Donc, voilà : ai-je tort de faire de l'adressage fixe (avec petite plage DHCP pour les nomades) ? Qu'est-ce qui fait que d'autres préfèrent DHCP ?

Question subsidiaire : jdh préconise ce qu'il appelle du "DHCP fixe". Cela préserve donc tous les avantages qui me font préférer l'adressage fixe, mais qu'est-ce donc qui compense le (gros à mon sens) inconvénient de la complexité de configuration ?

[Franck78]

DHCP 'on' bien sur!

Repense au temp IPX/SPX. Il n'y avait qu'un 'serveur' à décider d'un numéro de réseau, les stations clientes ne se posant que peux de questions...

Alors DHCP, ca corrige une absurdité qui s'appelle gérer une plage IP alors que le protocole pouvait seul se dépatouiller.

Maintenant en va venir te raconter que c'est bien de surveiller les IPs attribuées. Et pourtant tu sais que c'est inutile, 'intrus' empruntera une IP à une machine (hs ou qu'il rendra hs). Alors? Alors tu surveilles l'étage en dessous, les Mac Address. Et re-problème. Alors? Alors tu surveilles qui est branché sur chaque port du switch (manageable of course). Et ? Et bien tu bosses plus sans déclancher 100 alarmes ! Alors tu vois, te priver de DHCP, c'est juste bon pour répondre à Hadopi bientôt, si tu veux pas mémoriser les bails.

Bye

[jdh]

Quand on gère des parcs importants (pour moi c'est plutôt du passé), évidemment la question de l'adressage est importante.
Il peut arriver que l'on doivent même changer de n° de réseau, que l'on ajoute des vlan, que l'on prépare ip v6, ...

Les catégories de matériels en jeu sont :
- routeurs, firewall : adressage ip fixe et statique,
- serveurs : adressage ip fixe et statique,
- imprimantes (réseaux) / copieurs : adressage ip fixe,
- terminaux légers : adressage ip fixe ou dynamique,
- pc fixes : adressage ip fixe ou dynamique,
- pc portables : adressage dynamique.

Les portables deviennent majoritaires, et doivent utiliser du dhcp car, sinon, cela les rend difficile à utiliser à l'extérieur. (Même cas si le proxy est inscrit en dur).
Les fixes deviennent minoritaires, et peuvent aussi bénéficier du dhcp.
Les terminaux légers peuvent entrer en jeu ...

L'opération majeure est la masterisation du pc fixe ou portable.
Il est important d'utiliser des logiciels tel partimage, clonezilla, ghost ou Acronis, ...
C'est à ce moment qu'il faut créer la réservation dhcp (pour l'adresse ethernet et l'adresse wifi !).
Il peut être à recommander l'utilisation d'un outil de gestion de parc tel OCS Inventory (Fusion Inventory ?), SMS, ...

Ensuite, on peut utiliser des outils tel arpwatch pour suivre les adresses MAC qui parcourent le réseau (limité à un réseau : attention au vlan !).

Il est notable que mettre en place une stratégie reste un effort assez lourd.
Le passage à ip v6 devrait être un moment où cette réflexion sera nécessaire.

[jibe]

Salut,

Merci pour vos réponses fort intéressantes !

@Franck : mine de rien, ta réponse est tout à fait l'une de celles que j'attendais, surtout sur Ixus, forum dédié à la sécurité ! Elle confirme ce qu'il me semblait sans trop y avoir réfléchi : une IP fixe n'apporte pas grand chose, rien même d'après toi, à la sécurité.

En fait, le principal avantage que je vois à l'adressage fixe, c'est surtout que c'est limpide et que ça oblige un peu plus à réfléchir que DHCP. DHCP, c'est le mode par défaut de la plupart des OS (tous peut-être ?). Donc, on installe sans se poser de questions... et tant pis si ça pose un problème. C'est ainsi qu'on voit des serveurs DHCP mal configurés qui provoquent des conflits d'adresse avec les inévitables appareils qui ne peuvent avoir qu'une IP fixe... Ou qu'on finit par ne plus savoir dans quel réseau on est, et faire des adressages qui mélangent les réseaux (combien de posts depuis le début de cette année où un adressage de réseau identique a été fait sur le LAN et le WAN ou la DMZ ?).

C'est aussi la raison pour laquelle je persiste (et persisterai si vous n'arrivez pas à me convaincre du contraire ) à préconiser l'adressage fixe sur les petits réseaux. Pour des réseaux importants, le DHCP non seulement parait indispensable pour les raisons déjà évoquées, mais ne me gêne pas dans la mesure où c'est généralement un pro qui monte le réseau. Il sait donc parfaitement ce qu'il fait et n'a aucunement besoin d'un adressage fixe pour l'obliger à la réflexion !

@jdh : J'ai plusieurs questions auxquelles je n'ai jamais vraiment réfléchi, vu que je ne m'occupe que de petits, voire tout petits réseaux (surtout TPE et artisans...) :

1 - Pourquoi un adressage fixe sur les imprimantes/copieurs alors que tu préconises plutôt le DHCP partout ailleurs où c'est possible ? Les imprimantes acceptant le DHCP ne sont plus exception...

2 - Comme je fais partout de l'adressage fixe, je comprends mal ce que tu dis à propos de la masterisation et de la réservation DHCP. Certainement qu'une petite recherche m'éclairerait, mais si tu veux bien essayer de préciser ici, je pense que ça pourrait servir à beaucoup

3 - Puisque tu en parles, il pourrait être intéressant de faire une petite aparté dans ce fil : A ton avis, quand faudra-t-il commencer à envisager le passage en IPv6 ? Je pense que ça varie selon un certain nombre de facteurs ? Lesquels ?

[jdh]

Dans une entreprise où je travaille 3 jours, j'ai en charge un parc d'environ 180 pc, serveurs, imprimantes (sur 3 sites).

Les matériels "fixes" ont une adresse fixe, les pc ont une adresse dynamique.
J'entends par "fixes" : firewall, serveurs et imprimantes/copieurs.
Pourquoi pas les imprimantes/copieurs en adressage dynamique ? Cela ne concerne que 20 à 25 machines.
On pourrait aussi faire de même avec les serveurs.

Je le ferais le jour où ce sera un serveur linux (physique) qui gèrera le dhcp avec une interface apache/php pour configurer bind/dhcp3-isc ... et qu'il sera parfaitement le remplaçant (synchronisé) des dns/dhcp des domaines windows. Ce n'est pas encore le cas.

Lors de la masterisation, il est facile de relever les adresses MAC et de créer les 2 réservations (eth+wifi) dans le serveur DHCP.
Il suffit juste de démarrer le PC SANS le connecter au réseau et de faire "ipconfig (/all)".
Objectivement, j'ai un peu de mal : pas mal de wifi ou d'eth n'ont pas été enregistré : portables de commerciaux distants, ...
Il faudrait accepter de prendre juste 1 minute de plus !
(Du coup, je vais être bientôt obliger de changer le masque de sous réseau : une classe C, c'est 254 adresses, et quand il faut doubler presque tous les micros ! Là l'intérêt du DHCP est clair !)


Pour ipv6, il faut considérer
- le NAT n'existe plus en ipv6, mais le firewall existe encore,
- le premier point sera les services hébergés (en interne) : le ftp, le relais mail, le site web extranet, ...
- mon fai ne m'a pas encore fourni de réseau ipv6, seul free permet d'avoir une ip v6,
- tcp/ip v6 est nativement dispo avec Seven et 2008, il faut ajouter un pilote pour Xp, et j'ai encore quelques serveurs en 2000.

Bref, un peu comme tout le monde, le dos rond ...
Il va falloir s'y pencher en 2012 ...

Sinon, pour une TPE avec 7 micros, j'avais un firewall DEBIAN/Shorewall avec BIND+DHCP (synchonisé).
J'ai basculé sur pfSense qui vient avec un DHCP et un DNS tout à fait acceptable pour faire du "DHCP fixe".

[ccnet]

Je pense aussi que, sur le réseau local, pour les postes des utilisateurs l'usage d'une ip fixe n'est pas spécifiquement un facteur de sécurité. Si l'on doit réellement identifier des machines (je dis bien des machines pas des utilisateurs) sur le réseau il faut se tourner vers 802.1x / eap etc. Pour cela il faut disposer d'équipements compatibles (commutateurs), d'un serveur Radius.

DHCP est quand même fort pratique pour les postes nomades. On peut même dire incontournable. Pour les postes fixes, pourquoi pas du statique c'est comme on le souhaite. DHCP avec réservation est quand même un très bon compromis à mon avis.

Pour IPV6 on prédit régulièrement son adoption et dans l'entreprise rien ne se passe. Aujourd'hui on arrive au bout quand même. Pour l'entreprise qui dispose d'assez ip publique en V4 il n'y pas d'urgence. Il faut aussi regarder ce qui est supporté par les équipements du réseau. Par exemple aujourd'hui"hui le support d'ip V6 est voisin de zéro sur la V2 beta 5 de Pfsense. Prévoir les mises à niveaux est souhaitable afin d''être en position de migrer facilement. Prévoir la cohabitation est aussi souhaitable. Pour la PME, TPE qui a juste un accès internet avec un routeur NAT, il n'y a pas folle urgence.
IPV6 ouvre néanmoins des horizons même sur la base d'un simple abonnement Free. Ce n'est plus une ip publique qui vous est alloué mais un bloc entier, des centaines d'adresses ip. Plus besoin de NAT tout peut être adressé en ip publique. Il faudra revoir nos réflexes et méthodes en matière de sécurité.
Pour finir : http://pro.01net.com/editorial/526999/e ... rnee-ipv6/ On y vient quand même vraiment.

[jibe]

Ok, vos réponses m'interrogent sans vraiment me convaincre !

jdh pour 7 postes dans une TPE confirme qu'il fait du "DHCP fixe", ce qui est tout à fait cohérent avec les conseils qu'il donne régulièrement sur Ixus. Mais parce qu'il n'a "que" 20 à 25 imprimantes, il les laisse en IP fixe

ccnet m'a toujours paru plus "tolérant" quant à l'IP fixe...

Oui, je sais : je pinaille Mais je me dis que si je me pose toutes ces questions, il y a un grand nombre de membres d'Ixus qui doivent tirer à pile ou face pour savoir s'ils doivent ou non faire du DHCP, et forcément le feront mal ! Quand on voit déjà les difficultés qu'ils ont pour avoir un adressage correct et cohérent entre leurs différents réseaux...

J'ai bien envie de dire les choses ainsi :
- Pour les petits réseaux, un adressage en IP fixe est plus clair et présente l'avantage d'obliger à travailler de manière réfléchie, planifiée et cohérente.
- Même pour les petits réseaux, il ne faut pas oublier les nomades (portables et autres postes occasionnels), et donc réserver une plage DHCP.
- DHCP présente des avantages assez intéressants pour qu'on puisse le considérer comme une bonne solution également dans tous les cas, à condition de faire du "DHCP fixe".
- Sauf raisons et compétences particulières, les serveurs, firewall et autres routeurs doivent toujours avoir une IP fixe (l'interface WAN étant une raison particulière d'adopter un adressage adapté à la connexion ADSL).

IPv6
Vos précisions m'amènent à me poser la question : y a-t-il intérêt à mettre en IPv6 les installations nouvelles en TPE dont le FAI est Free ?

Autrement dit, peut-on considérer que l'expérience ainsi acquise et le temps gagné sur la migration qui ne sera pas nécessaire compense les difficultés à gérer (et les confusions inévitables !) simultanément des réseaux en IPv6 et d'autres en IPv4 ?

Et aussi (probablement que Christian Caleca peut m'apporter la réponse, mais peut-être qu'il est possible de la résumer en quelques mots ?) qu'est-ce que ce mélange d'IPv4 et IPv6 implique pour la gestion à distance de ces réseaux (accès par ssh ou par VPN aux SME ou firewall en passerelle, et éventuellement par VNC sur les postes) ?

[Taltos]

Bonjour,
j'suis pas un expert... cela dit, le réseau que je gère (70postes + 10 portables) est en DHCP évidement, a vrai dire passé la 10aine de poste, je ne vois pas l'intérêt de rester en IP fixe (toutes les raisons auxquelles je pense ont été déjà énoncées).

pour les copieurs, j'ai fait le choix de fonctionner au travers de réservation DHCP, cela me permet de changer la conf de mon réseau si nécessaire sans forcement passer sur chacune des machines. si un copieur part en réparation, lorsqu'il revient il récupère la bonne IP sans que le tech n'ait besoin d'avoir connaissance de mon plan d'adressage..

cela me semble être un bon compromis.. d'ailleurs, je me demande même si je ne vais pas passer tous mes postes en réservation (histoire de fixer les IP)

Voila mes deux maigres sous a cette discussion

A+
T