Bonjour,    
 
nous envisageons de mettre en place du DHCP dans notre société mais notre DI s'inquiète des problèmes possibles liés au DHCP (postes extérieurs qui se branchent et récupèrent alors une conf IP,...)
Il a été envisagé de restreindre la connexion seulement aux adresses MAC connues, mais cela deviendrait vite une usine à gaz.
 
Avez-vous une solution qui permettrait de résoudre ce type de problème ?
comment avez-vous géré ce problème dans votre société ?
 
Merci,    
 
Athon

La seule méthode "un peu secure" pour filtrer les machines qui se connectent, c'est de faire des réservations d'adresses MAC (et encore, en isolant la possibilité de faire du spoofing). Mais c'est effectivement une usine à gaz. Ce en quoi, ton architecture actuelle n'empêche pas non plus de se connecter au réseau. En ce sens, un DHCP ne simplifiera pas (ou alors très très très peu) la tâche d'un éventuel intrus.

 
Le problème que je vois, je ne sais pas si c'est vrai ou non, c'est que la réservation d'adresses MAC implique une attribution d'adresse IP par adresse MAC.
 
Me trompe-je ?

Non, tu ne te trompes pas. C'est effectivement très lourd à gérer.

nac et 802.1x ?? tout depend de la taille de ton organisation et des moyens que tu comptes mettre dans la secu.
Mais sinon, non, un DHCP ne facilite que tres peu la tache d'un eventuel attaquant ..

Oui, que crains tu exactement?

Moi, pas grand chose, mais la DI ne désire pas avoir de postes de sociétés extérieures qui se branchent et récupèrent une conf IP (on a déjà eu un virus qui a éssayé de pénettrer, qui a été bloqué par notre anti-virus, via ce cas de figure)

chez nous, c est gere avec des VLAN et 1@Mac=1@IP
 
si il y a une reservation pour mon PC, je chope une IP d'un certain subnet.
si il y a pas de reservation, le DHCP m en attribue une , mais il m est impossible de joindre un equipement du reseau de l entreprise, il n est autorisé que a utiliser le roiuteur pour aller sur l intranet

Bah alors il te reste la reservation ou l'adressage IP fixe.
Bon courage si tu as bcp de postes!

l adressage par IP fixe est la moins bonne : si tu veux la modifier dans le futut, il faut se rendre sur place.
 
avec une reservation, tu peux la changer depuis le serveur.
 
a noter egallement qu il est possible de fair un script qui ajoute automatiquement les reservations (pour peut qu on donne l'@Mac

 
Yep mais bizarrement on retrouve ca dans pas mal de grosse grosse boite (genre 40000 utilisateurs).

Bah, pour le moment on est en IP fixe...