Autentification machine pour accès réseau

[mega-therion]

Bonjour,

Alors voilà, comme je suis limitée dans le titre du message, je ne sais pas si ma demande est claire (je n'ai pas trouvé de réponses déjà présentes et j'espère ne pas m'être trompée d'endroit ).

Je suis en stage dans une entreprise qui utilise aussi bien du Linux (Red Hat), que du Windows (2000, 2003). Elle possède un centre principal, qui est basé sur un environnement Active Directory, et des succusalles qui sont en environnement workgroup, adresses en DHCP (sur serveur windows) pour tous les clients.

Mon maître de stage m'a demandé de trouver un utilitaire ou une solution pour interdire l'accès du réseau à des machines spécifiques. A l'heure actuelle, n'importe quel employé qui arrive avec son ordinateur personnel peut se connecter au réseau et avoir accès au net.

Mon maître de stage voudrait que toute machine qui n'appartienne pas au réseau ne puisse tout bonnement rien faire, pas même récupérer une configuration ip (donc si l'utilisateur est malin et qu'il se connecte au réseau en IP fixe, il ne doit pas avoir accès aux ressources du réseau).

Nul besoin de me parler de proxy, de serveur d'autentification qui agissent sur les utilisateurs ou bien d'adresses IP réservées Je ne peux pas non plus agir sur le Pare-feux.

L'entreprise travaille avec des switchs nortel 470-24T-PWR.

J'avais proposé cette solution, tout mettre en Ip réservées, rajouter les adresses exclues et faire joujou avec le parefeux. Mais solution trop laborieuse, et rejetée.

Une autre solution rejetée était de rentrer toutes les adresses MACS des machines dans chaque switchs, mais cela veut dire que dès qu'une machine est remplacée, il faut modifier toutes les tables des switchs (en plus, on doit être limité et l'entreprise compte facilement plus de 150 machines).

Est ce qu'un serveur qui fonctionnerait comme Kerberos ou Radius, mais en agissant directement sur les machines, serait une solution ? Parce qu'ils y avaient pensé à Kerberos, mais cela n'a pas été retenue...

J'ai bien trouvé sur le net un module à IPCop, qui s'appelle BOT (BlockOutTraffic). Ce serait une solution comme celle ci qu'il me faudrait. Mais bien évidement, l'entreprise utilise un arkoon comme solution pare-feux.

[ccnet]

Non, ce n'est pas clair.
Vous souhaitez interdire l'accès au réseau local ou à Internet depuis le réseau local ?

A l'heure actuelle, n'importe quel employé qui arrive avec son ordinateur personnel peut se connecter au réseau et avoir accès au net.

Et comment fait il pour joindre le domaine avec sa machine personnel ?

Nul besoin de me parler de proxy, de serveur d'autentification qui agissent sur les utilisateurs

et

Est ce qu'un serveur qui fonctionnerait comme Kerberos ou Radius ...

Tout cela est pour le moins confus ...

Dans un premier temps un voyage à Lourdes me semble bien.

[jdh]

Bonjour.

Nous n'allons pas faire votre stage à votre place. Néanmoins, nous pouvons donner des idées. Il vous restera à regarder si elles conviennent et si on peut les mettre en oeuvre ... (et ce n'est pas rien !)


* machine n'appartenant pas au réseau => pas d'adresse ip :
Cela veut dire "pas de DHCP" ! Ou alors un DHCP ne diffusant qu'à des machines connues = pas de range dispo ! Cela doit être possible sous Windows ou sous Linux.

NB : cela suppose que l'on suive le parc existant de façon TRES précise. Un logiciel d'inventaire du type OCS peut être utile pour relever toutes les config.

* Accès internet seulement aux machines autorisées :
Seul le firewall ou un proxy sont capables de faire cela ! L'installation d'un proxy entrainera des règles adaptées au niveau du firewall. Un proxy de type SQUID avec son accompagnant SquidGuard me parait possible. Meilleur serait un produit comme NuFW encore plus adapté. (A voir si NuFW peut fonctionner avec Arkoon)



NB : une protection basée sur une adresse IP est assez aisée à contourner, de même pour l'adresse MAC.

NB2 : il est contradictoire qu'il existe une solution simple à un problème complexe. Alors ce qui parait complexe et est rejetée, ne devrait sans doute être écartée sans mure réflexion.

[mega-therion]

Bonsoir,

Vous souhaitez interdire l'accès au réseau local ou à Internet depuis le réseau local ?

Dans un premier temps, interdire l'accès au net depuis le réseau local.

Nul besoin de me parler de proxy, de serveur d'autentification qui agissent sur les utilisateurs

et

Est ce qu'un serveur qui fonctionnerait comme Kerberos ou Radius ...

Tout cela est pour le moins confus ...

J'ai parlé d'autentification utilisateur

"Nul besoin de me parler de proxy, de serveur d'autentification qui agissent surles utilisateurs"

et d'autentification machine

"Est ce qu'un serveur qui fonctionnerait comme Kerberos ou Radius, mais en agissant directement sur les machines"

Sauf erreur de ma part, les machines et les utilisateurs sont deux choses différentes, non ?

* machine n'appartenant pas au réseau => pas d'adresse ip :
Cela veut dire "pas de DHCP" ! Ou alors un DHCP ne diffusant qu'à des machines connues = pas de range dispo ! Cela doit être possible sous Windows ou sous Linux.

Oui c'est faisable, dans les deux cas.

Cependant, dans le cas d'une adresse Ip réservée, il suffit qu'une personne connaisse les paramètres Ips offerts, de sa machine de travail par exemple (serveur DNS, passerelle) pour qu'il revienne avec sa machine personnelle et entre en dur ces paramètres-ci.

* Accès internet seulement aux machines autorisées :
Seul le firewall ou un proxy sont capables de faire cela ! L'installation d'un proxy entrainera des règles adaptées au niveau du firewall. Un proxy de type SQUID avec son accompagnant SquidGuard me parait possible.

Hum, il me semblait que le proxy agissait seulement au niveau des comptes utilisateurs. J'ai bien vu des sites parlant de ARP Proxy, mais je n'ai pas encore saisi tout le fonctionnement, il faut que je creuse plus de ce côté.

Avec Squid, si une personne arrive à récupérer les mots de passe et les identifiants des employés, et dans le cas où elle a une configuration ip valide, sur sa machine personnelle, elle pourra là aussi se connecter sur le net, non ? Ce que mon maître de stage veut aussi éviter.

Jdh, merci pour vos réponses, et je n'ai pas l'intention que quelqu'un fasse mon stage à ma place, je souhaite juste avoir quelques pistes, autres que celle que j'ai déjà vues et qui, une fois creusées par mes soins, pourraient convenir à mon maître de stage.

Ccnet, n'étant pas habituée à expliquer un problème réseau, la déférence pour le boulet de service que je suis dont vous faîtes preuve à mon égard me va droit au coeur.

Mes billets pour Lourdes sont commandés, il y a un place pour vous...

[jdh]

OK, on peut faire de l'humour mais au 2me post, il y a un peu d'abus. Ccnet est un contributeur sérieux, je dirais même très sérieux.

La présentation de votre problème est quand même étonnante.

Il y a des mots clés, il y a des évocations de solutions, il y a des idées qui sont rejetées alors qu'elles seraient à explorer.

Le problème est très loin d'être évident ... et exige une connaissance affirmée ...