Bonjour à tous,
 
Ce sujet s'adresse particulièrement aux admininstrateurs réseaux. Dans l'infrastructure des réseaux modernes, un server DHCP est utilisé pour authentifié les machines. Une adresse IP est distribué en fonction de l'adresse physique (MAC). Cependant avec un système d'exploitation de type UNIX/Linux il est possible de changer l'adresse physique de la carte de réseau.
 
Je suis donc à le recherche de méthodes qui permettent de lutter contre ce genre de pratique. J'ai bien cherché sur le web mais sans grand résultat. N'hésiter pas à poster les liens qui vous semble appropriés.
 
Merci beacoup.
 
@++

tu ne fais pas que des reservations, si?
puis quel serait l'interet de spoofer une adresse mac pour avoir une ip quand l'ip t'es fournie quoi qu'il arrive par le dhcp

ton serveur dhcp est sur une interface dont l'adresse est publique ????

ha non... si tu amènes une machine qui n'est pas référencée dans le DHCP au niveau de l'adrese physique, elle n'obtiendra pas de bail.
D'où l'intérêt de spoofer une adresse référencée dans le DHCP et passer outre les sécurités (démarches) mises en place.

tu montes un serveur DHCP
tu prends une machine complètement étrangère au réseau
tu fous un OS dessus
tu la mets en DHCP
tu la connectes au réseau
tu as une adresse IP
tu penses que son adresse ethernet se trouvait dans la base du serveur DHCP? moi non.

 
Sur notre DHCP cette machine n'aura pas de bail.

dans un serveur dhcp on peut le configurer pour qu'il donne une certaine ip à une adresse MAC précise.
On peut aussi le configurer pour qu'il n'attribue rien aux adresses macs non référencé.
 
 
KrzAramis > malheureusement on ne peut rien faire à ce niveau là, il faut donc réfléchir sur un autre niveau.
 
1) en entreprise : Tu fais ça = hors charte informatique = blame, licenciement.
 
2) en lieu publique : il faut réfléchir à d'autre moyen d'authentification (c'est a dire qu'avec, seulement, une ip on ne peut rien faire...
 

 
t'as interet à faire ça sur un petit réseau, parce que référencer les x milles adresses ethernet d'un parc c'est un peu la misère.
que ce soit fait pour des cas particuliers de reservations OK, mais autrement c'est tendu.
A moins qu'à la première connexion des machines, lorsqu'elles demandent une IP le serveur lui relève l'adresse MAC et te demande si tu veux l'accepter ou non...
mais je ne connais pas ce genre de serveurs dhcp

ça dépend du parc, avec un bon admin, une bonne hiéarchie et des machines qui ne sont pas renouveler tous les jours c'est facile à faire.

 
C'est un gros gros réseau, mais divisé en plusieurs départements... chaque équipe info des département gère dans le dhcp les machines dont il a la charge.
 
Une nouvelle machine = configuration DHCP + déclaration DNS

c'est quoi vos serveurs dhcp?

 
+ 1
 
C'est exactement ça    
 
Je trouve bizzare qu'il n'y ai pas de solution. J'avais lu quelque part qu'avec la méthode de MAC Address Learning (usilation de Switch en cascade) il était possible de lutter contre ça. Il y avait "small switch management" aussi. Malheureusement sans références précises (Tests/publications/résultats). Et pour finir, il serai possible de configurer le DHCP pour qu'il demande d'autre détails d'identification que quelqu un qui vole juste l'adresse MAC ne peut savoir.  

 
Je suis un chercheur et je n'ai pas l'intention de le faire où je travaille. J'ai besoin d'en savoir un peu plus dans ce domaine c'est tout. Les conséquences de telles actions dans le monde du travail ne m'interresse guère   (Mais merci quand même   ).

bah fallait le dire
 
mais mon 2)  reste valable .....

Y a un truc que je comprend pas bien la...
A quoi ca servirai de modifier sa MAC adresse pour avoir "droit" a une ip, alors qu'on peut aussi directement se mettre l'ip qu'on veut...  
(evidement t'a interet a bien la choisir si tu veux pas mettre un beau bordel sur le reseau mais bon )

>> Alana tu as tout faux car tu n'as pas lu le sujet correctement. Si le réseau en question utilise un serveur DHCP comme c'est la cas ici et que tu specifies toi même l'adresse IP, pour peu que ton Adresse MAC ne soit pas reconnu, tu ne POURRA pas utiliser le réseau !! C'est d'ailleurs l'un des buts du protocol DHCP.
 

 
@++

 
Pas exactement.
 
Un serveur DHCP est la pour ne pas avoir à configurer les parametres ip de chaque poste.
 
Mais rien ne t'empeche de le faire (du moment que tu connais ce qu'il faut rentrer comme ip, masque de sous reseau, serveur dns et passerelle)
 
ça sous entend de trouver une ip non prise sous peine d'avoir un conflit.

 
ça c'est pas la mort
 
en attendant ma question reste ouverte : quels sont vos serveurs DHCP?

Hummm, je ne suis pas d'accord. Récément j'ai amené un PC exterieur à mon organisation. J'ai essayé 2 méthodes:
1. Un switch 2950 series (Cisco)
2. Sans switch
 
Bien entendu j'ai fait un scan de mon Subnet. Pas de probleme des adresses IP libre y en avait à gogo. Mais quoi qu'il en soit pas moyen que le réseau foncitonne avec ce PC.  J en ai donc déduis que le DHCP ou autre service ne reconnaissait pas la nouvelle adresse MAC.
 
Avant que vous ne posiez la question le PC exterieur était parfaitement configuré (nom de domain, etc.)
 
@++

c'est pas normal il y a un filtre sur du matériel actif autrement ça devrait fonctionner.

Ouaip, je pense aussi. Le DHCP ne fait que de l'attribution automatique, il n'a jamais eu pour but de faire de la validation ou je sais pas quoi.

mais c'est quoi ces serveurs DHCP!!!

pas d'accord

BORDEL
y'a personne qui va me dire ce que vous utilisez comme serveur DHCP?

je te réponds tout à l'heure... là j'suis @home, pause bouffe.

KrzAramis : tu prêtes aux srv DHCP des vertus qu'ils n'ont pas. Tu peux pas laisser reposer ta sécurité sur une réservation d'adresse MAC.
La première chose à laquelle il faut réfléchir c comment empecher un intrus d'avoir physiquement accès a ton réseau : un vigile à l'entrée ca fait partie de la sécurité informatique.

(ne dérivons pas sécu réseau, y'a un autre topic actif sur le sujet)

Voilà, avec exactitude :
 
Serveur dhcp : ISC DHCPd version 3.0.1
Sur une Debian.
Nous l'administrons via un accès Webmin (idem pour DNS, qui est du BIND 9.2.x)

précision: possible aussi avec windows

 
ok merci

y'a pas de cd-r/w sur ton portable ?

 
oui sur le portable mais , sur le NT4 :
 
  accès du floppy interdit
  accès du cdroom interdit
 
et j'ai pas envie de me prendre la tête pour truander la bête
   

Un lecteur de carte perforée ?
C'est quel genre d'activité la boîte où tu bosses ?