Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
856 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Sécuriser un serveur

n°694008
-knoppix-
Posté le 16-06-2005 à 09:12:35  profilanswer
 

 :hello:  bonjour tt le monde,  
 
je voudrais comment faire pour bloque l'accés à un serveur à des poste a partir de leur mac adresse.
 :hello:  

mood
Publicité
Posté le 16-06-2005 à 09:12:35  profilanswer
 

n°694011
l0ky
Posté le 16-06-2005 à 09:20:40  profilanswer
 

Tout dépend si un firewall est placé en sortie du réseau de tes clients mais avec iptables tu peux utiliser le match --mac-source.
 
Remarque 1:
Mais ce n'est possible que si le firewall est en sortie réseau de tes clients.
 
Remarque 2:
Une adresse mac peut se changer aussi facilement qu'une adresse IP

n°694036
_darkalt3_
Proctopathe
Posté le 16-06-2005 à 10:29:11  profilanswer
 

Une adresse MAC n'est pas unique pour chaque interface réseau contruite, et inscrite 'en dur' dans ladite carte ?


---------------
Töp of the plöp
n°694042
l0ky
Posté le 16-06-2005 à 10:50:07  profilanswer
 

A la base elles devaient être unique, mais il me semble que le plan de numérotation a été un peu surchargé et que la probabilité que 2 cartes aient la même adresse mac n'est plus nul.
 
Apres elles ne sont pas inscrites "en dur" dans la carte.
=> man ifconfig
=> recherche hw

n°694062
-knoppix-
Posté le 16-06-2005 à 11:09:28  profilanswer
 

je savoir si il ya une command qui permet a partir d'une adresse mac ou d'une adresse IP, de bloque l'accés de machine vers un serveur.

n°694063
-knoppix-
Posté le 16-06-2005 à 11:09:51  profilanswer
 

pas firewall

n°694069
l0ky
Posté le 16-06-2005 à 11:12:55  profilanswer
 

Si tu disais ce que tu as comme système/réseau/architecture on pourrait peut être t'aider [:pingouino]


Message édité par l0ky le 16-06-2005 à 11:13:14
n°694088
-knoppix-
Posté le 16-06-2005 à 11:34:22  profilanswer
 

j'ai un serveur linux redaht 7.2, sur lequel je voudrais fiixe des regles pourque certaine machine ne puisse y acceder, réseaux ethernet.

n°694093
l0ky
Posté le 16-06-2005 à 11:36:07  profilanswer
 

et est ce que les clients que tu veux bloqués et ton serveurs sont sur le même lien réseau (connection directe sans routeur intermédiaire) ?

n°694096
l0ky
Posté le 16-06-2005 à 11:36:49  profilanswer
 

Sinon as tu  lut mon premier post [:opus dei]


Message édité par l0ky le 16-06-2005 à 11:47:42
mood
Publicité
Posté le 16-06-2005 à 11:36:49  profilanswer
 

n°694110
_darkalt3_
Proctopathe
Posté le 16-06-2005 à 11:46:27  profilanswer
 

Il y a pas de '?', donc pas de questions, donc à priori il ne peut y avoir de réponses :D


---------------
Töp of the plöp
n°694113
l0ky
Posté le 16-06-2005 à 11:47:29  profilanswer
 

_darkalt3_ a écrit :

Il y a pas de '?', donc pas de questions, donc à priori il ne peut y avoir de réponses :D


 L' [:opus dei] sert de point d'interrogation :o (il en a d'ailleurs 3 re:o)


Message édité par l0ky le 16-06-2005 à 11:48:03
n°694183
-knoppix-
Posté le 16-06-2005 à 13:14:53  profilanswer
 

c'est sur plusieurs serveurs dans le vlan, et aussi sur des vpn

n°694185
-knoppix-
Posté le 16-06-2005 à 13:15:15  profilanswer
 

dans le même vlan

n°694290
_darkalt3_
Proctopathe
Posté le 16-06-2005 à 15:37:00  profilanswer
 

l0ky a écrit :

L' [:opus dei] sert de point d'interrogation :o (il en a d'ailleurs 3 re:o)


Je parlais de l'auteur de ce topic :)


---------------
Töp of the plöp
n°694689
nuitn0ir
Posté le 17-06-2005 à 13:11:43  profilanswer
 

y a un truc bien qui s'appele hosts.deny . Je te laisse chercher , mais sa devrait être la solution à ton problème ;)
 
d'ailleurs , coupler un firewall à hosts.deny via des règles sympas , sa donne en général un résultat efficace ;)

n°694697
l0ky
Posté le 17-06-2005 à 13:38:47  profilanswer
 

non ces fichiers ne se basent que se sur l'adresse IP.

n°694704
nuitn0ir
Posté le 17-06-2005 à 13:54:00  profilanswer
 

Il n'existe pas la même possibilité , je veux dire un équivalent du hosts.deny pour une adresse mac ?
 
sinon , s'il a un serveur dhcp , il peut forcer l'attribution de la même adresse ip à une même adresse mac , et là par contre passer par hosts.deny .


Message édité par nuitn0ir le 17-06-2005 à 13:55:07
n°694726
l0ky
Posté le 17-06-2005 à 14:14:45  profilanswer
 

utiliser un serveur dhcp n'interdit pas de changer manuellement son adresse IP pour une autorisée... Et quand bien même, changer son adresse mac est également possible...


Message édité par l0ky le 17-06-2005 à 14:15:40
n°694967
nuitn0ir
Posté le 17-06-2005 à 23:12:22  profilanswer
 

Ce que je veux dire , c'est que sur le mien par exemple , j'ai déclaré d'emblé les adresses mac des machines autorisés , avec en correspondance de celle-ci leur adresses ip délivrées par mon serveur DHCP . dit d'une autre façon , si un neuneu veut changer son adresse ip , il le pourra , c'est certain , tout comme sa mac , en revanche il se retrouvera isolé de tout le réseau .

n°694973
nlc
Le mieux est l'ennemi du bien
Posté le 18-06-2005 à 00:10:31  profilanswer
 

l0ky a écrit :

A la base elles devaient être unique, mais il me semble que le plan de numérotation a été un peu surchargé et que la probabilité que 2 cartes aient la même adresse mac n'est plus nul.


 
Désolé mais tout cela est completement faux.
Elles sont effectivement unique, et on est loin d'atteindre toute la plage d'adresse, qui contient 6 octets.
La preuve sur le site de l'organisme qui gere les adresses MAC, avec le fichier qui repertorie tous les fabriquants et leur zone respective : http://standards.ieee.org/regauth/oui/oui.txt
 
Et ensuite, l'adresse mac est bien en dur sur la carte elle meme.
Cette adresse est stockée dans une petite memoire eeprom i2c de type 24C16.


Message édité par nlc le 18-06-2005 à 00:27:02
n°694999
l0ky
Posté le 18-06-2005 à 11:14:54  profilanswer
 

Pour l'unicité j'en était pas sur. Mais bon.
 
quand au fait de pourvoir changer son adresse mac, j'en suis sûr étant donné que je l'ai déja réalisé, et vérifié par capture à partir d'un autre équipement.

n°695043
dam1330
...
Posté le 18-06-2005 à 14:00:10  profilanswer
 

ca m'etonnerait bien qu'on puisse changer les adresses  mac, en ce moment j'installe des switch en stage et le fabriquant (entherasys) colle des autocollants sur les switch avec l'adresse mac
 
ca ne s'appelle surment pas adresse physique pour rien


Message édité par dam1330 le 18-06-2005 à 14:02:00
n°695044
leto
Posté le 18-06-2005 à 14:17:14  profilanswer
 

L'adresse MAC est stockée sur la carte elle même. Ainsi il est pas possible de changer d'adresse MAC au sens propre du terme "changer" . Mais en revanche il est tout a fait possible de se faire passer pour une autre adresse MAC, donc en pratique on peut bien changer d'adresse mac.
 
Par exemple mon routeur wifi (WRT54G) propose de  "cloner" une autre adresse MAC, dans le cas ou un FAI impose l'utilisation d'une adresse MAC particulière :
http://img71.echo.cx/my.php?image=tempwrtmac5vi.png

n°695046
rawcut
tw: @_rawcut
Posté le 18-06-2005 à 14:20:20  profilanswer
 

dam1330 a écrit :

ca m'etonnerait bien qu'on puisse changer les adresses  mac, en ce moment j'installe des switch en stage et le fabriquant (entherasys) colle des autocollants sur les switch avec l'adresse mac
 
ca ne s'appelle surment pas adresse physique pour rien


 
Sauf que le spoofing ca ne porte pas ce nom pour rien non plus  [:ogmios]

n°695822
nlc
Le mieux est l'ennemi du bien
Posté le 20-06-2005 à 18:39:48  profilanswer
 

Ben techniquement, oui, il est bien sur possible de changer une adresse mac.
Comme je l'ai dit, celle ci est stocké dans une memoire eeprom sur la carte reseau. Cette eeprom est programmée a un moment donné par le fabricant avec l'adresse MAC desirée.  
Sur le principe on demande au chip de programmer son eeprom avec telle adresse MAC. Pour les bidouilleurs, on peut aussi dessouder l'eeprom et changer l'adresse avec un programmateur qui gere les eeprom I2C type 24Cxx.
 
Personnelement, dans divers projets electronique, je connecte des cartes electronique sur ethernet grace a un controleur ethernet de chez Cirrus logic, le CS8900A.
Et dans les couches drivers que j'utilise, il existe une commande pour lui envoyer l'adresse mac qu'il doit utiliser s'il n'y a pas d'eeprom connectée sur le chip.
Donc on peut bien techniquement faire marcher une carte reseau avec une adresse mac qui n'est pas celle prevue par le fabricant.
Mais cette possibilité, je suppose qu'elle n'existe pas dans les drivers conventionnels.
 
A+

n°695824
piouPiouM
insomniak
Posté le 20-06-2005 à 18:48:18  profilanswer
 

Pas besoin de tripatouiller sa carte nic pour changer d'adresse MAC, suffit d'utiliser les outils qui vont bien pour se faire passer pour un autre  ;)


Message édité par piouPiouM le 20-06-2005 à 18:48:42

---------------
o(^_^o) Gimp4you : tutoriels pour Gimp 2 | Galerie (o^_^)o
n°695828
l0ky
Posté le 20-06-2005 à 18:55:03  profilanswer
 

mano:/home/augure# ifconfig eth1
eth1      Lien encap:Ethernet  HWaddr 00:40:05:0D:30:00
          inet adr:192.168.50.1  Bcast:192.168.50.255  Masque:255.255.255.0
          adr inet6: fe80::240:5ff:fe0d:3000/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:79263 errors:0 dropped:0 overruns:0 frame:0
          TX packets:69353 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:25493584 (24.3 MiB)  TX bytes:10740656 (10.2 MiB)
          Interruption:201 Adresse de base:0xc400
mano:/home/augure# ifconfig eth1 down
mano:/home/augure# ifconfig eth1 hw ether 00:40:05:0D:30:11
mano:/home/augure# ifconfig eth1 192.168.50.1
mano:/home/augure# ifconfig
eth1      Lien encap:Ethernet  HWaddr 00:40:05:0D:30:11
          inet adr:192.168.50.1  Bcast:192.168.50.255  Masque:255.255.255.0
          adr inet6: fe80::240:5ff:fe0d:3011/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:79275 errors:0 dropped:0 overruns:0 frame:0
          TX packets:69373 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:25495096 (24.3 MiB)  TX


 
Pour les sceptiques je peux également faire des captures d'écran d'ethereal, montrant du traffic utilisant n'importe quelle adresse MAC légale sur un réseau ethernet


Message édité par l0ky le 20-06-2005 à 18:56:26
n°696936
-knoppix-
Posté le 23-06-2005 à 08:54:01  profilanswer
 

Ok les mecs je vais tester tout ça mille merci encore Tchao

n°696946
-knoppix-
Posté le 23-06-2005 à 09:16:07  profilanswer
 

auriez vous d'autres idées sur la question posée, etant donnez qu'on peut changer la mac adresse, je voudrais que que les parametres de restriction tienne compte de la @ mac; le nom du host, ou encore d'autres parametres qu'on ne puisse pas changer.  

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
 

Sujets relatifs
Mandrake 10.1 + hlds (serveur HL counter strike) + shorewalltcpdump - Traffic bizarre sur un serveur...
Que prendre pour se faire un serveur DHCP ?Partitionnement d'un serveur de DB
Sécuriser son serveur.installer et securiser un serveur mail ?
Sécuriser son serveur : Les meilleurs sourcesSécuriser un serveur internet
Securiser un serveur debian "woody" de base ?Securiser un serveur
Plus de sujets relatifs à : Sécuriser un serveur


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR