locked
Configuration DHCP -filtrer les PCs non appartenant au domaine RRS feed

  • Question

  • Bonjour,

    Je suis un administrateur réseau et j'ai un problème au niveau de notre entreprise.

     

    Le problème c'est qu'il y a des personnes qui ramenant avec elle des PCs Portable qui n'ont pas l'autorisation pour travailler avec des PCs Portable sur notre entreprise, mais après qu'elles connectent le PC avec notre réseau local il prend une adresse IP dynamique (DHCP) et il peut se connecter à internet et à cause de cette connexion on trouve que les liaisons de notre entreprise devenus très lent.

     

    Ma question c'est est-ce qu'il y a une configuration à faire sur notre serveur DHCP (Windows Server 2003 R2 Standard  Edition sp2) pour que tout les PCs qui n'appartient pas à notre domaine on peut diriger leur adresse IP dynamique (DHCP) vers une pool différente ou bien il y a une autre solution.

    NB : j’ai un autre serveur « Windows Server 2008 R2 Standard  Edition sp1 »

    Merci d'avance pour votre collaboration


    mercredi 15 juin 2011 12:49

Réponses

  • Bonjour,

    pour DHCP, vous pouvez utiliser le filtrage MAC de sorte à ce que le serveur n'attribue des adresses IP que pour les machines avec des adresses MAC spécifiques.

    Pour plus d'informations, reportez-vous à mon tutoriel: http://www.ahmedmalek.com/web/fr/doc.asp?docid=1520&mcat=4&mrub=41&msrub=64

    La démarche peur être appliquée que sur un serveur 2008 / 2008 R2.

    Pour le contrôle de l'accès Internet, je recommande l'utilisation d'un solution TMG Forefront comme un serveur proxy et de permettre l'accès qu'aux utilisateurs autorisés.

     


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified IT Professional: Enterprise Administrator

    Mon site web: http://www.ahmedmalek.com

    Pour suivre mes publications d'articles / tutoriels, devenez membre de cette page sur Facebook: http://www.facebook.com/TunisianIT

    mercredi 15 juin 2011 12:56
  • Bonjour,

    la seule solution fiable serait de faire du 802.1x afin d'authentifier réellement vos utilisateurs.

    Par contre, c'est assez lourd à mettre en place sur un environnement existant.

    Le filtrage par MAC ou autre au niveau du DHCP ne sera que peu utile car l'utilisateur pourra toujours définir une IP fixe à son poste.

    Tu peux sinon sensibiliser tes utilisateurs sur le sujet et effectuer des scans réguliers avec nmap. Tu seras davantage dans le détectif/préventif que dans la recherche d'une solution technique pure mais parfois c'est efficace aussi ;-)

    A bientôt


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mercredi 15 juin 2011 14:01
  • Le boitier d'accès Internet ne doit pas être branché directement sur le réseau local.

    => Utiliser un pare-feu ou un serveur avec ISA ou TMG  (avec 2 cartes réseaux) afin de filtrer tout ce qui entre et sort.

    Concernant la quarantaine DHCP, il est possible de gérer la mise en quarantaine des stations qui ne remplissent pas certains critères.

    Sur un réseau comportant un nombre peu élévé de machine, on peut aussi gérer DHCP en ne définissant que le nombre exact de stations nécessaires, et en affectant ces adresses par réservation.

    Exemple, s'il y a 10 stations, définir une étendue pour 10 machines, et créer 10 réservations à partir des 10 adresses MAC correspondantes.

    L'étendue peut être agrandie au fur et à mesure...

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mercredi 15 juin 2011 20:46
  • Bonjour,

    Le protocole DHCP n'intègre pas de moyen d'authentifier les ordinateurs.

    Je pense que la réponse de Freddy a été sous-estimée: c'est le but du 802.1x de résoudre ce type de problématique. Sa mise en oeuvre n'est pas forcémment si compliquée que ça. De plus, la plupart des AP récents, même d'entrée de gamme, fonctionnent sans problème dans cette configuration. Voir http://technet.microsoft.com/en-US/network/cc984252.aspx.

    Il existe une autre technique se basant sur IPSec et permettant d'isoler les postes clients non-conformes, toutefois celle-ci peut s'avérer elle très compliquée à mettre en oeuvre. Voici un Solution Accelerator à son sujet: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18358

     


    --- Marc Lognoul [MCSE, MCTS, MVP]
    Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things
    Blogs: http://www.marc-lognoul.me/
    lundi 20 juin 2011 07:28

Toutes les réponses

  • Bonjour,

    pour DHCP, vous pouvez utiliser le filtrage MAC de sorte à ce que le serveur n'attribue des adresses IP que pour les machines avec des adresses MAC spécifiques.

    Pour plus d'informations, reportez-vous à mon tutoriel: http://www.ahmedmalek.com/web/fr/doc.asp?docid=1520&mcat=4&mrub=41&msrub=64

    La démarche peur être appliquée que sur un serveur 2008 / 2008 R2.

    Pour le contrôle de l'accès Internet, je recommande l'utilisation d'un solution TMG Forefront comme un serveur proxy et de permettre l'accès qu'aux utilisateurs autorisés.

     


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified IT Professional: Enterprise Administrator

    Mon site web: http://www.ahmedmalek.com

    Pour suivre mes publications d'articles / tutoriels, devenez membre de cette page sur Facebook: http://www.facebook.com/TunisianIT

    mercredi 15 juin 2011 12:56
  • Bonjour,

    la seule solution fiable serait de faire du 802.1x afin d'authentifier réellement vos utilisateurs.

    Par contre, c'est assez lourd à mettre en place sur un environnement existant.

    Le filtrage par MAC ou autre au niveau du DHCP ne sera que peu utile car l'utilisateur pourra toujours définir une IP fixe à son poste.

    Tu peux sinon sensibiliser tes utilisateurs sur le sujet et effectuer des scans réguliers avec nmap. Tu seras davantage dans le détectif/préventif que dans la recherche d'une solution technique pure mais parfois c'est efficace aussi ;-)

    A bientôt


    Freddy ELMALEH aka "bigstyle" -- Consultant Freelance pour Active IT -- MVP Windows Server - Directory Services
    mercredi 15 juin 2011 14:01
  • Bonjour,

    Merci beaucoup Mr X  pour votre aide ,mais le problème que j'ai plusieurs ordinateurs portable qui utilise le DHCP comme une adresse,et je ne peux pas utilisé la méthode de filtrage MAC,par contre pour votre solution  Freddy je cherche une solution informatique pour résoudre se problème

    Merci d'avance pour votre support

    il n'y a pas une autre solution

    Salutations

    mercredi 15 juin 2011 15:53
  • La meilleure solution pour blocker l'acces internet est d'utiliser un serveur proxy.

     


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified IT Professional: Enterprise Administrator

    Mon site web: http://www.ahmedmalek.com

    Pour suivre mes publications d'articles / tutoriels, devenez membre de cette page sur Facebook: http://www.facebook.com/TunisianIT

    mercredi 15 juin 2011 17:53
  • Le boitier d'accès Internet ne doit pas être branché directement sur le réseau local.

    => Utiliser un pare-feu ou un serveur avec ISA ou TMG  (avec 2 cartes réseaux) afin de filtrer tout ce qui entre et sort.

    Concernant la quarantaine DHCP, il est possible de gérer la mise en quarantaine des stations qui ne remplissent pas certains critères.

    Sur un réseau comportant un nombre peu élévé de machine, on peut aussi gérer DHCP en ne définissant que le nombre exact de stations nécessaires, et en affectant ces adresses par réservation.

    Exemple, s'il y a 10 stations, définir une étendue pour 10 machines, et créer 10 réservations à partir des 10 adresses MAC correspondantes.

    L'étendue peut être agrandie au fur et à mesure...

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info
    mercredi 15 juin 2011 20:46
  • Bonjour,

    Quel type de firewall utilises-tu ? Quelle est la taille de ton parc informatique ?

    Si tu veux filtrer l'accés internet, tu dois utiliser un serveur Proxy.

    Tu peux regarder les produits Microsoft Forefront. (http://www.microsoft.com/france/serveur/forefront/protection-des-donnees.aspx)

    Sinon beaucoup d'appliance firewall intgré aussi des options supplémentaire de filtrage web avec ou sans authentification "Active Directory" ( Cyberoam, Watchguard, Cisco, WebSense ... )

    Je me permets d'attirer ton attention sur le faites que méme avec un filtrage web, les machines non autorises pourront se connecter sur ton réseau local et compromettre la sécurité de ton réseau local.

    Les attaques de couche 2 sont trés faciles à mettre en place.

    Le top est de rajouter la solution de Freddy, ce qui n'empeche pas de rajouter le filtrage web.

    Une autre solution moins sécurise que celle de Freddy, mais efficace et pas cher serait de fixer les mac de tes machines sur les ports du switch-;-)

    Il y a des switch qui te permette d'attribuer un port à une MAC et d'en faire l'apprentissage avant.

    Si une personne se branche sur le switch et qu'il n'est pas autorisé tu recevras une alerte et le port se bloquera automatiquement.

    Tu peux penser rajouter aussi un réseau wifi guest pour les visiteurs.

    Je pense que tu devrais penser à rédiger une politique de sécurité.

    Bonne soirée, 

    Thierry
    vendredi 17 juin 2011 00:08
  • Bonjour,

    Merci beaucoup pour votre aide et pour tout les solution que vous m'avez donner ,mon problème ce n'est pas le filtrage web j'utilise déjà websense,mais mon problème c'est que les PCs portable qui n’appartient pas a notre domaine prend une Adresse DHCP et la plage des adresses DHCP à un accès total sur internet.

    Ma question c'est est-ce qu'il y a une configuration à faire sur notre serveur DHCP  pour que tout les PCs qui n'appartient pas à notre domaine on peut diriger leur adresse IP dynamique (DHCP)?

    Merci Merci beaucoup pour votre aide

    Salutations

     

    vendredi 17 juin 2011 11:34
  • Bonjour,

    Merci beaucoup pour votre aide et pour tout les solution que vous m'avez donner ,mon problème ce n'est pas le filtrage web j'utilise déjà websense,mais mon problème c'est que les PCs portable qui n’appartient pas a notre domaine prend une Adresse DHCP et la plage des adresses DHCP à un accès total sur internet.

    Ma question c'est est-ce qu'il y a une configuration à faire sur notre serveur DHCP  pour que tout les PCs qui n'appartient pas à notre domaine on peut diriger leur adresse IP dynamique (DHCP)?

    Merci Merci beaucoup pour votre aide

    Salutations

     

    A mes connaissances, non.

     


    This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Microsoft Student Partner 2010 / 2011
    Microsoft Certified Professional
    Microsoft Certified Systems Administrator: Security
    Microsoft Certified Systems Engineer: Security
    Microsoft Certified Technology Specialist: Windows Server 2008 Active Directory, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Network Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows Server 2008 Applications Infrastructure, Configuration
    Microsoft Certified Technology Specialist: Windows 7, Configuring
    Microsoft Certified IT Professional: Enterprise Administrator

    Mon site web: http://www.ahmedmalek.com

    Pour suivre mes publications d'articles / tutoriels, devenez membre de cette page sur Facebook: http://www.facebook.com/TunisianIT

    vendredi 17 juin 2011 13:03
  • Bonjour,

    Le protocole DHCP n'intègre pas de moyen d'authentifier les ordinateurs.

    Je pense que la réponse de Freddy a été sous-estimée: c'est le but du 802.1x de résoudre ce type de problématique. Sa mise en oeuvre n'est pas forcémment si compliquée que ça. De plus, la plupart des AP récents, même d'entrée de gamme, fonctionnent sans problème dans cette configuration. Voir http://technet.microsoft.com/en-US/network/cc984252.aspx.

    Il existe une autre technique se basant sur IPSec et permettant d'isoler les postes clients non-conformes, toutefois celle-ci peut s'avérer elle très compliquée à mettre en oeuvre. Voici un Solution Accelerator à son sujet: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=18358

     


    --- Marc Lognoul [MCSE, MCTS, MVP]
    Heureux celui qui a pu pénétrer les causes secrètes des choses. Happy is the one who could enter the secret causes of things
    Blogs: http://www.marc-lognoul.me/
    lundi 20 juin 2011 07:28