filtrage par adresse mac

Ce forum est dédié à PF Sense, une distribution open-source, basée sur FreeBSD et destinée à la mise en place d'un routeur firewall

Modérateur: modos Ixus

filtrage par adresse mac

Messagepar cecos47 » 21 Sep 2010 10:59

Salut à tous!!
comme sécurité "Local user manager" alors,
J' ai crée un compte d' utilisateur et j' ai pu connecter deux postes avec le même compte pourtant je n' ai pas activé la fonction "Disable MAC filtering" qui se trouve dans captive portal.
Logiquement le deuxième poste ne devrait pas avoir accès au réseau
Comment cela s'explique!!!
cecos47
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 16 Sep 2010 18:50

Re: filtrage par adresse mac

Messagepar jdh » 21 Sep 2010 11:38

même compte = même droit , non ?

Quel rapport avec @ip ou @mac ?
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: filtrage par adresse mac

Messagepar ccnet » 21 Sep 2010 12:08

Logiquement le deuxième poste ne devrait pas avoir accès au réseau
Comment cela s'explique!!!

Pour bien comprendre ce que fait cette option je vous recommande la lecture de la note d'explication que les concepteurs de Pfsense ont a jouté juste en dessous. Je cite :
If this option is set, no attempts will be made to ensure that the MAC address of clients stays the same while they're logged in. This is required when the MAC address of the client cannot be determined (usually because there are routers between pfSense and the clients). If this is enabled, RADIUS MAC authentication cannot be used.

Cette option, active par défaut, ne fait que s'assurer que durant une session un utilisateur authentifié ne change pas d'adresse MAC, rien d'autre. Cette fonctionnalité ne correspond pas à un mécanisme d'authentification. Par ailleurs rien ne permet dans Pfsense de supposer qu'un login doit être unique à un instant donné.
Tout est donc normal.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: filtrage par adresse mac

Messagepar jdh » 21 Sep 2010 12:16

Waouh, quelle précision de ccnet ! (Toujours au top :wink: )

Comme avec n'importe quel portal, on s'identifie avec (identifiant/mdp) mais rien n'interdit d'utiliser à partir de 2 postes le même identifiant !

Ma réponse était plus courte (et n'apportait pas la précision sur la MAC adresse) parce que cela m'a semblé tellement évident le doublon d'identifiant !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: filtrage par adresse mac

Messagepar cecos47 » 21 Sep 2010 13:28

Mon souhait est qu'un utilisateur doit avoir son compte à lui seul.Comment je procède alors!!!
c' est-à-dire une autre personne ne pourra pas utiliser ce même compte
cecos47
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 16 Sep 2010 18:50

Re: filtrage par adresse mac

Messagepar ccnet » 21 Sep 2010 13:48

Si chaque utilisateur conserve soigneusement son mot de passe il n'y a pas de problème. Non ?
Dernière édition par ccnet le 21 Sep 2010 14:10, édité 1 fois au total.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: filtrage par adresse mac

Messagepar jdh » 21 Sep 2010 14:03

J'ai du mal à comprendre : chaque utilisateur aurait le même compte ?

Si vous voulez différencier des individus, FORCEMENT, on leur donne un identifiant différent !

Par exemple : pour un utilisateur Pascal NOEL, l'identifiant est p.noel (avec "ordure" comme mot de passe !). Tout le monde peut savoir l'identifiant de l'autre mais ne doit pas savoir le mot de passe (sinon il peut utiliser l'identifiant).

C'est quand même TRES TRES basique tout cela, non ?
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: filtrage par adresse mac

Messagepar cecos47 » 21 Sep 2010 14:12

je voulais dire que si il y a 10 utilisateurs il aurons 10 comptes différent bien sur .mais je ne souhait pas que l' un des 10 utilisateurs donne son compte à une 11ème personne pour se connecter!!!comment pourrais-je empêcher cela
cecos47
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 16 Sep 2010 18:50

Re: filtrage par adresse mac

Messagepar ccnet » 21 Sep 2010 14:37

C'est soit un problème d'authentification forte, soit un problème organisationnel.

Authentification biométrique, par exemple, dans le premier cas. Politique de sécurité dans le second, dûment signée avec engagement de respect des clauses de cette politique.

Mais comme vous parlez d'adresse MAC dans le premier post (sans aucune indication de contexte) je crains fort que vous ne mélangiez authentification des utilisateurs et des machines. On ne sait d'ailleurs pas quels sont vos besoins de sécurité.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: filtrage par adresse mac

Messagepar cecos47 » 21 Sep 2010 14:41

comment authentifier les machines alors via le pfsense
cecos47
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 16 Sep 2010 18:50

Re: filtrage par adresse mac

Messagepar ccnet » 21 Sep 2010 15:00

Une véritable authentification de ce type (les machines autorisées) nécessite un NAC, ce qui n'est pas simple (certificats, radius, switchs gérant IEEE 802.1X, etc ...).
Encore une fois, vous nous questionnez sur des solutions mais le besoin n'a toujours pas été explicité. Avant de parler solution, je préfère avoir compris le problème. C'est, selon moi, le bon ordre dans lequel traiter les choses.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Re: filtrage par adresse mac

Messagepar cecos47 » 21 Sep 2010 15:22

ok!!
je connecte des utilisateurs à internet à qui j' ai crée pour chacun un compte via pfsense et il s' avère que certaine remet leur mdp et login à leurs amis pour avoir accès au réseau.mon souhait est d' empercher cela,comment le faire?
est il possible de le faire via pfsense?
ou via une autre interface ?
cecos47
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 16 Sep 2010 18:50

Re: filtrage par adresse mac

Messagepar jdh » 21 Sep 2010 15:56

Et on lui pèlera le jonc comme au bailli du limousin, qu'on a pendu avec ses tripes !

Une menace : si j'en prends un qui donne son mot de passe, il fait le tour de l'entreprise $%#&! nu
Faudrait peut-être se faire respecter un peu !

Une idée : vous mettez comme mot de passe la maitresse (ou l'amant) : personne osera donner son mot de passe !
(Normalement, il y en aura un qui vas dire "comment on fait quand on en a plusieurs" ...)


Tout cela est VRAIMENT TRES TRES basique : la technique ne peut pas organiser les choses ou faire comprendre la confidentialité des choses !
Prenez vous un peu en charge !! Là ça dépasse ce forum !
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Re: filtrage par adresse mac

Messagepar jpmgir » 21 Sep 2010 19:54

salut
cecos47 a écrit: il s' avère que certaine remet leur mdp et login à leurs amis pour avoir accès au réseau.mon souhait est d' empercher cela
ci je veux prêter ma maison je prête les clés avec tu ne peu pas luter contre ca , la seule méthode valide et la menace de sanction mais pas a 100%
ci je veux prêter ma maison c peu être a un exclu la il y a un esprit de fraternité tu peu pas luter c dans les droits de l'homme article n°1
la prochaine étape de l'évolution pour homo-sapiens pourrais être homo-sapiens-ignoti (l'umain qui sais qu'il ne sais rien ou presque) et la suivante homo-sapiens-grando-ignoti (l'umain qui connais l'ampleur de son ignorance) JpmGir
Avatar de l’utilisateur
jpmgir
Premier-Maître
Premier-Maître
 
Messages: 59
Inscrit le: 05 Juil 2010 18:28
Localisation: Nice


Retour vers pfSense

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron