Serveur DHCP : Comment exclure l'accès à certaines MACADDR

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Serveur DHCP : Comment exclure l'accès à certaines MACADDR

Messagepar magnetyk » 12 Sep 2005 10:59

Bonjour ;)

Je suis actuellement en train d'installer un serveur DHCP/Bind9 et mon bo$$ me demande d'inclure une liste d'exclusion.

Je m'explique : La machine A se connecte au serveur DHCP, son addresse MAC est autorisée (elle est dans une 'liste blanche'), elle est donc acceptée au sein du réseau. La machine B veut aussi se connecter au serveur DHCP, seulement elle est interdite d'accès au réseau.

Quels éléments dois-je rajouter (au fichier config ?) ou quel script dois-je utiliser pour effectuer une 'blacklist' des adresses MAC interdites sur le réseau et une autre liste des adresses mac autorisées ?

Un peu fouilli tout ça, je peux poster mes fichiers configs ou d'autres explications ;)

J'attends avec impatience (mais pas trop ;) ) votre aide.

Merci d'avance ;)
magnetyk
Matelot
Matelot
 
Messages: 4
Inscrit le: 12 Sep 2005 10:54

Messagepar Gandalf » 12 Sep 2005 12:05

Une liste d'exclusion ? Sur un réseau filaire ? A quoi ça sert ?
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar magnetyk » 12 Sep 2005 12:08

Heu ben je ne sais pas. On m'a juste demandé de faire une liste d'exclusion de toutes les mac address inconnues par la société afin qu'elle ne puisse pas se voir attribuer une adresse IP par le serveur DHCP.

Je me vois pas sortir à mon patron "Une liste d'exclusion ? Sur un réseau filaire ? A quoi ça sert ?" Héhé :P
magnetyk
Matelot
Matelot
 
Messages: 4
Inscrit le: 12 Sep 2005 10:54

Messagepar magnetyk » 12 Sep 2005 12:15

Réponse officielle de la direction : "Empêcher qu'un ordinateur portable n'appartenant pas au parc informatique vole des informations confidentielles." Ca se comprend, ils ont déjà été dans la m*r*e à cause d'un cas similaire :?
magnetyk
Matelot
Matelot
 
Messages: 4
Inscrit le: 12 Sep 2005 10:54

Messagepar Franck78 » 12 Sep 2005 12:52

Salut,

Et bien tu répondras à l'auteur de cette énorme bétise que c'est parfaitement illusoire....

Il suffit d'exactement 1/100 de seconde pour sniffer quelques infos permettant de découvrir la plage IP utilisée et s'attribuer une IP valide.
Et ce n'est que la première méthode.

Et peut être que ta 'cote' grimpera dans l'esprit de ton patron :lol:


Bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Gandalf » 12 Sep 2005 13:20

magnetyk a écrit:On m'a juste demandé de faire une liste d'exclusion de toutes les mac address inconnues


Comment veux-tu les lister puisqu'elles sont inconnues ? :shock:
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar frost » 12 Sep 2005 13:29

En faite je crois qu'il voudrait l'inverse, c'est-à-dire pouvoir attribuer une adresse ip à une carte dont l'adresse MAC est connue, par contre empêcher l'attribution d'une adresse ip à une carte dont l'adresse mac ne fait pas partie de la "whitelist"
Frost
------------------------------
Ipcop Addict
------------------------------
Avatar de l’utilisateur
frost
Contre-Amiral
Contre-Amiral
 
Messages: 465
Inscrit le: 28 Fév 2004 01:00
Localisation: Arras

Messagepar Les_Marches » 12 Sep 2005 14:58

Bonjour,

A ce moment, définis seulement des baux statiques.

Ca va te prendre du temps suivant l'importance de ton parc, mais à ce moment là chaque machine aura une adresse IP statique fournie par le DHCP en fonction de sa MAC ADDRESS. Il n'y aura pas de bail dynamique où n'importe quel poste se connectant sur le réseau interne recevra une adresse IP.

Les seules corruptions possibles seront des corruptions de MAC ADDRESS.
Dernière édition par Les_Marches le 12 Sep 2005 14:59, édité 1 fois au total.
"Will Install Needless Data On Whole System"
Avatar de l’utilisateur
Les_Marches
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 196
Inscrit le: 18 Juin 2004 16:05
Localisation: IDF

Messagepar arapaho » 12 Sep 2005 14:59

Franck78 a écrit:Et bien tu répondras à l'auteur de cette énorme bétise que c'est parfaitement illusoire....

Il suffit d'exactement 1/100 de seconde pour sniffer quelques infos permettant de découvrir la plage IP utilisée et s'attribuer une IP valide.
Et ce n'est que la première méthode.


Attention a ne pas pousser trop loin non plus :) On ne sait pas ce qui va être demandé par la suite.
Si la plage valide d'adresses matérielles est correctement gérée, elle est la meme pour les serveurs DHCP, les routeurs et les switches et autres actifs réseaux. Dans ce cas, la correspondance MAC<->IP, avec une IP effective dans le DHCP ne correspondant qu'a une MAC déterminée peut être gérée sur les actifs réseaux.
La récupération d'une IP aléatoire, meme dans l'adresse réseau correspondante est dans ce cas difficile à réaliser sans le blocage du port de l'actif ou l'envoie d'une alerte aux netadmins.
Après on peut penser au MAC spoofing. Dans ce cas la encore, la présence multiple d'une MAC dans le réseau doit encore être géré avec les actifs.
No One Will Ever Need More Than 640K Ram - Bill Gates, 1981
Avatar de l’utilisateur
arapaho
Amiral
Amiral
 
Messages: 1119
Inscrit le: 18 Avr 2002 00:00
Localisation: Genève

Messagepar Franck78 » 12 Sep 2005 18:00

la correspondance MAC<->IP


Je tiques quand je vois ça. Ca me rapelle qu'il y en a encore [des personnes] pour associer une IP et une personne... Aquand une mac-adress<=>une personne !

La demande serait crédible si elle était correctement posée. Une quantité de protocole peut s'appuyer sur ethernet. Pas seulement IP.
Tous ça pour dire que pour protéger une couche contre des accès 'illégaux', il est parfaitement illusoire de s'appuyer sur le couche supérieure...
Il faut bien sur travailler à son niveau (et ceux du dessous) donc ici le point privilégié est le switch !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar Bosquetia » 13 Sep 2005 11:36

+1 avec Franck !

Sur le switch, on peut faire en sorte de capturer l'adresse mac du pc connecté à un port.
Ainsi ce port sera seulement exploitable par cette adresse mac, mais en plus on peut aussi désactiver les ports non utilisés.

Enfin on peut aussi recourir à la sécurité 'physique' du site, à savoir on ne rentre pas avoir un pc portable, ni avec un telephone gsm qui fait caméra etc..., les zones sont sécurisées par badge etc....

Au fait question con, ton patron il a prévu de mettre un truc pour analyser les emails sortant ?
Car c'est souvent comme ca que ca arrive les fuites !!!!!
Bosquetia
Major
Major
 
Messages: 84
Inscrit le: 08 Oct 2004 08:18
Localisation: SomeWhere ;-)

Messagepar arapaho » 13 Sep 2005 12:08

Franck78 a écrit:Je tiques quand je vois ça. Ca me rapelle qu'il y en a encore [des personnes] pour associer une IP et une personne... Aquand une mac-adress<=>une personne !


A aucun moment je n'ai associé une ip et une mac. Je ne vois pas pourquoi tu tiques puisque je ne parle pas d'association ip/personne. Mais tout simplement des correspondances réalisées par le dhcp pour l'attribution des baux.
No One Will Ever Need More Than 640K Ram - Bill Gates, 1981
Avatar de l’utilisateur
arapaho
Amiral
Amiral
 
Messages: 1119
Inscrit le: 18 Avr 2002 00:00
Localisation: Genève

Messagepar magnetyk » 14 Sep 2005 08:52

Merci beaucoup pour tous ces éléments de réponse qui, je vois, provoquent quelques débats intéressants ;) Je vais voir si je peux agir au niveau des switches mais la requête de mes supérieurs est assez illusoire il est vrai.

Moi je voterai pour des mini bombes electro magnétiques qui attaquent les machines non reconnues par un système d'ADN électronique. héhé :lol:
magnetyk
Matelot
Matelot
 
Messages: 4
Inscrit le: 12 Sep 2005 10:54


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron