Serveur DHCP : Comment exclure l'accès à certaines MACADDR

[magnetyk]

Bonjour

Je suis actuellement en train d'installer un serveur DHCP/Bind9 et mon bo$$ me demande d'inclure une liste d'exclusion.

Je m'explique : La machine A se connecte au serveur DHCP, son addresse MAC est autorisée (elle est dans une 'liste blanche'), elle est donc acceptée au sein du réseau. La machine B veut aussi se connecter au serveur DHCP, seulement elle est interdite d'accès au réseau.

Quels éléments dois-je rajouter (au fichier config ?) ou quel script dois-je utiliser pour effectuer une 'blacklist' des adresses MAC interdites sur le réseau et une autre liste des adresses mac autorisées ?

Un peu fouilli tout ça, je peux poster mes fichiers configs ou d'autres explications

J'attends avec impatience (mais pas trop ) votre aide.

Merci d'avance

[Gandalf]

Une liste d'exclusion ? Sur un réseau filaire ? A quoi ça sert ?

[magnetyk]

Heu ben je ne sais pas. On m'a juste demandé de faire une liste d'exclusion de toutes les mac address inconnues par la société afin qu'elle ne puisse pas se voir attribuer une adresse IP par le serveur DHCP.

Je me vois pas sortir à mon patron "Une liste d'exclusion ? Sur un réseau filaire ? A quoi ça sert ?" Héhé

[magnetyk]

Réponse officielle de la direction : "Empêcher qu'un ordinateur portable n'appartenant pas au parc informatique vole des informations confidentielles." Ca se comprend, ils ont déjà été dans la m*r*e à cause d'un cas similaire

[Franck78]

Salut,

Et bien tu répondras à l'auteur de cette énorme bétise que c'est parfaitement illusoire....

Il suffit d'exactement 1/100 de seconde pour sniffer quelques infos permettant de découvrir la plage IP utilisée et s'attribuer une IP valide.
Et ce n'est que la première méthode.

Et peut être que ta 'cote' grimpera dans l'esprit de ton patron


Bye

[Gandalf]

On m'a juste demandé de faire une liste d'exclusion de toutes les mac address inconnues

Comment veux-tu les lister puisqu'elles sont inconnues ?

[frost]

En faite je crois qu'il voudrait l'inverse, c'est-à-dire pouvoir attribuer une adresse ip à une carte dont l'adresse MAC est connue, par contre empêcher l'attribution d'une adresse ip à une carte dont l'adresse mac ne fait pas partie de la "whitelist"

[Les_Marches]

Bonjour,

A ce moment, définis seulement des baux statiques.

Ca va te prendre du temps suivant l'importance de ton parc, mais à ce moment là chaque machine aura une adresse IP statique fournie par le DHCP en fonction de sa MAC ADDRESS. Il n'y aura pas de bail dynamique où n'importe quel poste se connectant sur le réseau interne recevra une adresse IP.

Les seules corruptions possibles seront des corruptions de MAC ADDRESS.

[arapaho]

Et bien tu répondras à l'auteur de cette énorme bétise que c'est parfaitement illusoire....

Il suffit d'exactement 1/100 de seconde pour sniffer quelques infos permettant de découvrir la plage IP utilisée et s'attribuer une IP valide.
Et ce n'est que la première méthode.

Attention a ne pas pousser trop loin non plus On ne sait pas ce qui va être demandé par la suite.
Si la plage valide d'adresses matérielles est correctement gérée, elle est la meme pour les serveurs DHCP, les routeurs et les switches et autres actifs réseaux. Dans ce cas, la correspondance MAC<->IP, avec une IP effective dans le DHCP ne correspondant qu'a une MAC déterminée peut être gérée sur les actifs réseaux.
La récupération d'une IP aléatoire, meme dans l'adresse réseau correspondante est dans ce cas difficile à réaliser sans le blocage du port de l'actif ou l'envoie d'une alerte aux netadmins.
Après on peut penser au MAC spoofing. Dans ce cas la encore, la présence multiple d'une MAC dans le réseau doit encore être géré avec les actifs.

[Franck78]

la correspondance MAC<->IP

Je tiques quand je vois ça. Ca me rapelle qu'il y en a encore [des personnes] pour associer une IP et une personne... Aquand une mac-adress<=>une personne !

La demande serait crédible si elle était correctement posée. Une quantité de protocole peut s'appuyer sur ethernet. Pas seulement IP.
Tous ça pour dire que pour protéger une couche contre des accès 'illégaux', il est parfaitement illusoire de s'appuyer sur le couche supérieure...
Il faut bien sur travailler à son niveau (et ceux du dessous) donc ici le point privilégié est le switch !

[Bosquetia]

+1 avec Franck !

Sur le switch, on peut faire en sorte de capturer l'adresse mac du pc connecté à un port.
Ainsi ce port sera seulement exploitable par cette adresse mac, mais en plus on peut aussi désactiver les ports non utilisés.

Enfin on peut aussi recourir à la sécurité 'physique' du site, à savoir on ne rentre pas avoir un pc portable, ni avec un telephone gsm qui fait caméra etc..., les zones sont sécurisées par badge etc....

Au fait question con, ton patron il a prévu de mettre un truc pour analyser les emails sortant ?
Car c'est souvent comme ca que ca arrive les fuites !!!!!

[arapaho]

Je tiques quand je vois ça. Ca me rapelle qu'il y en a encore [des personnes] pour associer une IP et une personne... Aquand une mac-adress<=>une personne !

A aucun moment je n'ai associé une ip et une mac. Je ne vois pas pourquoi tu tiques puisque je ne parle pas d'association ip/personne. Mais tout simplement des correspondances réalisées par le dhcp pour l'attribution des baux.

[magnetyk]

Merci beaucoup pour tous ces éléments de réponse qui, je vois, provoquent quelques débats intéressants Je vais voir si je peux agir au niveau des switches mais la requête de mes supérieurs est assez illusoire il est vrai.

Moi je voterai pour des mini bombes electro magnétiques qui attaquent les machines non reconnues par un système d'ADN électronique. héhé