locked
Win 2K8 Std R2 - DHCP - bloquer une plage d'adresses MAC RRS feed

  • Question

  • Bonjour,

     

    Je suis admin sys&réseau dans une boite d'environ 600 utilisateurs.

    Je souhaiterais bloquer la connexion au réseau wifi de l'entreprise à notre flotte de mobiles Iphone.

    Mon contrôleur wifi me permet de bloquer des adresses mac uniquement (non pas des plages). Je ne me vois pas saisir les 300 mac adresses des mobiles du site.

    Aussi je souhaiterais pouvoir utiliser un système de blocage en utilisant les 3 premiers octets des adresses mac (réservé au constructeur).

     

    J'ai pensé que je pourrais faire ca directement depuis mon serveur DHCP. Vous allez me dire, l'utilisateur n'a qu'a mettre une IP fixe sur son mobile et basta, et bien non la topologie du réseau est assez complexe et ne lui permettra pas d'aller bien loin.

     

    Auriez vous une idée de comment je pourrais faire ca ?

     

    D'avance merci de vos réponses.

     

    n0m

    jeudi 14 avril 2011 09:47

Réponses

  • Cette solution te permet de bloquer tous les iphones et d'autoriser tout le reste.

    Elle ne requiert pas beaucoup de temps de mise en place.

    Tu vas dans la console DHCP - Filter - Deny -> 00-26-08-* (par exemple)

    et tous les iphones sont bloqués...

    Chrono en main, 2 minutes... ? ;-)

    Maintenant, cette manipulation doit être approuvée, testée et validée...

    EDIT : Liste des adresses mac Apple : http://hwaddress.com/?q=APPLE


    http://blog.simaju.fr - Partage de connaissances et retour d'expériences.
    jeudi 14 avril 2011 13:35

Toutes les réponses

  • Bonjour,

    si l'on part sur une solution Wifi dans une entreprise, il faut dés le départ posé les bases de la sécurité. Si j'étais dans votre cas , je mettrai en place un serveur Radius qui permettrait de gérer l'authentification de la machine ou de l'utilisateur afin d'autoriser la connexion sur la borne Wifi puisqu'un filtrage sur le contrôleur Wifi n'est pas gérable et encore moins une gestion des adresses MAC.

    SLTS

    jeudi 14 avril 2011 12:17
  • Bonjour,

     

    Nous disposons bien d'un serveur radius pour l'authentification des clients mais je n'ai pas la main dessus ni la possibilité d'y faire appliquer des modifs.

    Mon contrôleur wifi, ainsi que le serveur dhcp sont capable de faire des restrictions d'accès sur adresses MAC mais il m'est trop fastidieux de référencer puis de rentrer chacune des adresses MAC. Je souhaiterais travailler avec des plages d'adresses MAC.

    jeudi 14 avril 2011 12:28
  • Bonjour,

    Tu peux utiliser la fonctionnalité "Callout DLL for MAC Address based filtering".

    Tu peux n'autoriser que les MAC que tu connais et toutes les autres seront bloquées.

    Tu peux bloquer toutes les MAC que tu connais et toutes les autres seront autorisées.

    Dans les 2 cas, il est important, à mon sens, d'avoir une vue d'ensemble sur les périphériques qui accèdent au réseau, même s'ils sont nombreux.

    EDIT :Il semble possible d'utiliser un wildcard pour bloquer un ensemble d'adresses MAC, je n'ai pas testé :

    DHCP server in Windows Server 2008 R2 has builtin support for MAC address based filtering.
    Wild cards are allowed as suffixes in the specified MAC address filter.

     


    http://blog.simaju.fr - Partage de connaissances et retour d'expériences.

    • Modifié Julien.G jeudi 14 avril 2011 13:18
    • Proposé comme réponse Marc Lognoul jeudi 14 avril 2011 14:12
    jeudi 14 avril 2011 12:59
  • Salut,

     

    J'avais entendu parler de la solution dont tu parles mais elle n'est vraiment pas en visageable vu la taille de notre parc informatique (et vu le nombre d'admin pour gérer tout ca...)...

    L'authentification sur notre réseau wifi est basé sur un radius couplé à notre AD... Un compte de domaine suffit donc, et tous les possesseurs d'Iphone disposent d'un compte de domaine... Donc potentielement, les 300 Iphone du site peuvent se connecter sur notre wifi, ce que je ne souhaite pas...

     

    une autre idée ?

    Edit : je viens de voir ton edit. J'ai bien fouiner, je n'ai rien vu de tel mais du coup je vais fouiner encore !

     


    jeudi 14 avril 2011 13:21
  • Cette solution te permet de bloquer tous les iphones et d'autoriser tout le reste.

    Elle ne requiert pas beaucoup de temps de mise en place.

    Tu vas dans la console DHCP - Filter - Deny -> 00-26-08-* (par exemple)

    et tous les iphones sont bloqués...

    Chrono en main, 2 minutes... ? ;-)

    Maintenant, cette manipulation doit être approuvée, testée et validée...

    EDIT : Liste des adresses mac Apple : http://hwaddress.com/?q=APPLE


    http://blog.simaju.fr - Partage de connaissances et retour d'expériences.
    jeudi 14 avril 2011 13:35
  • Je teste ca de suite en tout cas ! Merci de ton aide !
    jeudi 14 avril 2011 13:37
  • Ho oui, tiens nous au courant je pense que ça peut intéresser pas mal de monde...
    http://blog.simaju.fr - Partage de connaissances et retour d'expériences.
    jeudi 14 avril 2011 13:40
  • Les premiers tests sont concluants.

    En ayant ajouté un filtre d'exclusion de 3 octets + wildcard sur mon DHCP, mon Iphone ainsi que ceux de mes collegues ne récupèrent plus d'IP.

    Nouvelle mission : autoriser quelques Iphones à obtenir une IP... A priori, il semblerait que les filtres d'exclusions soient prioritaires sur les filtres d'autorisation :/

    jeudi 14 avril 2011 14:12
  • On avance... c'est déjà ça... :)
    http://blog.simaju.fr - Partage de connaissances et retour d'expériences.
    jeudi 14 avril 2011 16:45