Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

DHCP un peu spécial

1 view
Skip to first unread message

Tr@nquille

unread,
Dec 16, 2009, 9:10:41 AM12/16/09
to
Bonjour,

est-ce qu'il existe un serveur dhcp qui serait capable de faire ᅵa:

lorsqu'un poste se connecte sur le rᅵseau, celui-ci ᅵmet une requᅵte de
demande d'adresse ip.
Le serveur l'intercepte.
ᅵ partir de lᅵ, plutᅵt que d'envoyer l'ip comme un bourin, il va
contrᅵler si une adresse ip a dᅵjᅵ ᅵtᅵ attribuᅵe ᅵ cette mac address,
donc en gros il vᅵrifie s'il connait l'adresse mac demandante en
parcourant sa base (en gros) et s'il ne connait pas cette mac, il
bloque la demande et avertit une boite aux lettre ou mᅵcanisme
ᅵquivalent.
Ensuite, seule une intervention manuelle d'un opᅵrateur pour valider la
demande peut permettre au processus dhcp de continuer.

C'est possible ᅵa?

merci pour vos pistes.

--
L'intelligence ne se dᅵfend pas, elle se constate. (Rᅵflexion)
tranqui...@gmail.com


Le Forgeron

unread,
Dec 16, 2009, 12:26:21 PM12/16/09
to
Le 16/12/2009 15:10, Tr@nquille nous fit lire :

> Bonjour,
>
> est-ce qu'il existe un serveur dhcp qui serait capable de faire ᅵa:
>
> lorsqu'un poste se connecte sur le rᅵseau, celui-ci ᅵmet une requᅵte de
> demande d'adresse ip.
> Le serveur l'intercepte.
> ᅵ partir de lᅵ, plutᅵt que d'envoyer l'ip comme un bourin, il va
> contrᅵler si une adresse ip a dᅵjᅵ ᅵtᅵ attribuᅵe ᅵ cette mac address,
> donc en gros il vᅵrifie s'il connait l'adresse mac demandante en
> parcourant sa base (en gros) et s'il ne connait pas cette mac, il bloque
> la demande et avertit une boite aux lettre ou mᅵcanisme ᅵquivalent.
> Ensuite, seule une intervention manuelle d'un opᅵrateur pour valider la
> demande peut permettre au processus dhcp de continuer.
>
> C'est possible ᅵa?

Bloquer la demande, non (un autre pourrait rᅵpondre, c'est la joie des
broadcasts (et oui, y a des rᅵseaux qui peuvent avoir plusieurs DHCP...
parfois par maladresse, d'autres fois par bᅵtise, et parfois ᅵ raison,
si si!).
Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
mettre une plage libre de taille nulle, et de se taper le remplissage
des associations adresses MAC-IP, faisable sur la plupart des serveurs
DHCP. (c'est typiquement ce que propose les interfaces de FAI et les
modem-routeur-ADSL avec serveur dhcp incorporᅵ)
Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
n'est pas difficile a ᅵcrire.

La solution un peu plus "fasciste" consiste non pas ᅵ jouer sur le
serveur DHCP (je dᅵbranche une machine qui marche en rᅵcupᅵrant son IP &
masque, sa gateway et ses DNS, met la mienne ᅵ la place et paf le
rᅵseau), mais ᅵ activer le verrouillage MAC sur le switch (option
classique sur les switch/hub "manageable"): Le switch verrouillera le
port si l'adresse MAC change. (et dans une version "brasil", bien
entendu, seul les ports utilisᅵs sont ouverts).

Maintenant, si votre cᅵblage est encore en coaxial, ᅵa va ᅵtre dᅵlicat.
>
> merci pour vos pistes.
>

Tr@nquille

unread,
Dec 16, 2009, 1:11:02 PM12/16/09
to
*Ecrit* *par* *Le Forgeron*:

> Le 16/12/2009 15:10, Tr@nquille nous fit lire :
>> Bonjour,
>>
>> est-ce qu'il existe un serveur dhcp qui serait capable de faire ᅵa:
>>
>> lorsqu'un poste se connecte sur le rᅵseau, celui-ci ᅵmet une requᅵte
>> de demande d'adresse ip.
>> Le serveur l'intercepte.
>> ᅵ partir de lᅵ, plutᅵt que d'envoyer l'ip comme un bourin, il va
>> contrᅵler si une adresse ip a dᅵjᅵ ᅵtᅵ attribuᅵe ᅵ cette mac
>> address, donc en gros il vᅵrifie s'il connait l'adresse mac
>> demandante en parcourant sa base (en gros) et s'il ne connait pas
>> cette mac, il bloque la demande et avertit une boite aux lettre ou
>> mᅵcanisme ᅵquivalent. Ensuite, seule une intervention manuelle d'un
>> opᅵrateur pour valider la demande peut permettre au processus dhcp
>> de continuer.
>>
>> C'est possible ᅵa?

> Bloquer la demande, non (un autre pourrait rᅵpondre, c'est la joie
> des broadcasts (et oui, y a des rᅵseaux qui peuvent avoir plusieurs
> DHCP... parfois par maladresse, d'autres fois par bᅵtise, et parfois
> ᅵ raison, si si!).

ok, moi je n'ai qu'un seul serveur dhcp sur le rᅵseau.

> Attribuer uniquement sur la base d'une adresse MAC connue, suffit de
> mettre une plage libre de taille nulle, et de se taper le remplissage
> des associations adresses MAC-IP, faisable sur la plupart des
> serveurs DHCP. (c'est typiquement ce que propose les interfaces de
> FAI et les modem-routeur-ADSL avec serveur dhcp incorporᅵ)

oui mais non, avec plus de 200 postes, je voulais ᅵviter ce genre de
solutions...

> Envoyer un mail... j'ai comme un doute. Mais un sniffer DHCP-request
> n'est pas difficile a ᅵcrire.

j'imaginais un truc dᅵjᅵ tout fait.

> La solution un peu plus "fasciste" consiste non pas ᅵ jouer sur le
> serveur DHCP (je dᅵbranche une machine qui marche en rᅵcupᅵrant son
> IP & masque, sa gateway et ses DNS, met la mienne ᅵ la place et paf
> le rᅵseau),

ok mais ᅵa suppose qu'on a accᅵs physiquement ᅵ une machine au moins.

> mais ᅵ activer le verrouillage MAC sur le switch (option
> classique sur les switch/hub "manageable"): Le switch verrouillera le
> port si l'adresse MAC change. (et dans une version "brasil", bien
> entendu, seul les ports utilisᅵs sont ouverts).

et lᅵ on pert la souplesse de l'itinᅵrant (les gens connus doivent
pouvoir changer de bureau facilement, les inconnus ne devraient pas
pouvoir obtenir une ip sans passer par un contrᅵle prᅵalable de l'ᅵtat
de leur poste)

> Maintenant, si votre cᅵblage est encore en coaxial, ᅵa va ᅵtre
> dᅵlicat.

de ce cᅵtᅵ ᅵa irait :-)

bref, je cherche une solution pour ᅵviter que des personnes externes ᅵ
notre entreprise se connectent ᅵ notre rᅵseau sans d'abord qu'elles
passent par notre service afin qu'on vᅵrifie l'ᅵtat gᅵnᅵral de leur
poste au niveau sᅵcuritᅵ.
Compter uniquement sur la bonne volontᅵ des personnes internes qui les
invitent, ᅵa ne marche pas...

peut-ᅵtre qu'il y a d'autres techniques que je n'imagine mᅵme pas :-)

merci de ta rᅵponse en tout cas.

--
Prochain palier: Sortir du lot (proprement).
tranqui...@gmail.com


Arnal

unread,
Dec 16, 2009, 1:27:07 PM12/16/09
to
802.1X Protocole qui permet d'authentifier l'utilisateur ou le matᅵriel
avant "d'ouvrir" le port du switch, l'authentification passe par un
serveur Radius, Tacacs, cas, et peu faire appel ᅵ un annuaire LDAP pour
authentifier l'utilisateur.

Le 16/12/2009 19:11, Tr@nquille a ᅵcrit :

Tr@nquille

unread,
Dec 16, 2009, 3:37:17 PM12/16/09
to
*Ecrit* *par* *Arnal*:

> 802.1X Protocole qui permet d'authentifier l'utilisateur ou le
> matᅵriel avant "d'ouvrir" le port du switch, l'authentification passe
> par un serveur Radius, Tacacs, cas, et peu faire appel ᅵ un annuaire
> LDAP pour authentifier l'utilisateur.

j'avais entendu parler de cette solution, mais elle me semble lourde,
c'est pourquoi je cherchais ᅵ savoir s'il n'y avait pas un truc plus
simple.
apparemment non, donc je vais devoir approfondir cette partie.

si j'ai bien compris, il me faut:
- un serveur ldap (active directory sous windows server 2003 pour le
moment)
- un serveur radius: ias de microsoft sur w2k3
- des ᅵquipements rᅵseau supportant les protocoles mis en jeu (je vais
vᅵrifier ce point)

bon, ben je crois que j'ai tout ce qu'il me faut, j'ai dᅵjᅵ trouvᅵ
quelques docs intᅵressantes ᅵ ce sujet, reste plus qu'ᅵ monter une
plateforme pour tester...

merci.

> Le 16/12/2009 19:11, Tr@nquille a ᅵcrit :

...


>>
>> bref, je cherche une solution pour ᅵviter que des personnes
>> externes ᅵ
>> notre entreprise se connectent ᅵ notre rᅵseau sans d'abord qu'elles
>> passent par notre service afin qu'on vᅵrifie l'ᅵtat gᅵnᅵral de leur
>> poste au niveau sᅵcuritᅵ.
>> Compter uniquement sur la bonne volontᅵ des personnes internes qui
>> les
>> invitent, ᅵa ne marche pas...
>>
>> peut-ᅵtre qu'il y a d'autres techniques que je n'imagine mᅵme pas
>> :-)
>>
>> merci de ta rᅵponse en tout cas.

--
Commenᅵons par faire ce que l'on dit plutᅵt que de dire ce que l'on va
faire. (Etat d'esprit)
tranqui...@gmail.com


0 new messages