Slt,
j'administre un rézo ki tourne sous win 2003 server edition standard, avec controleur de domaine (active directory). Comment faire pour que mon serveur DHCP identifie d'abord un poste avant de lui attribuer une adresse IP et l'@ de la passerelle et en même temps bloquer les postes non reconnus.

filtrage par MAC adresse .... si MAC absente de la white liste => no IP

par contre un petit malin qui se branche sur le reseau peut toujours configurer ses IP/passerelle/dns en manuel, et si il est dans la meme plage que celle de ton reseau il va passer

il lui suffit d'avoir acces a un poste non verrouillé pour lire tous les parametres qu'il lui faut, il faut juste a tomber sur une IP non encore attribué et ton reseau ne se rendra compte de rien
a moins d'avoir une black list d'adresse mac qui contient la regle "tous sauf with list"

edithe me rappelle que cette solution est chiante parce que tu doit declaré une par une toute nouvelle machine qui rentre dans la boite pour lui delocké l'acces au reseau, idem si qlq remplace ca carte reseau => nouvelle MAC address nouvelle declaration a faire

Merci mais, si un poste c déjà connecté et j'ai son @ mac, je peux déjà interdire l'exlure à partir de son @ mac c ça?

une becanne qui s'est deja connecté, ne serais ce qu'une fois apparai dans les logs du serveur DHCP donc oui tu peut trouver l'@ mac que tu cherche et la passer en black liste ( mais faut etre sur que c'est la bonne .... faut trier quoi )  
 
ensuite blacklister une @ MAC n'empeche pas de connecter la machine au reseau, les postes clients ne filtrent pas les MAC, si la becane "pirate" regle correctement IP et masque, il vas circuler librement sur le reseau interne, il sera juste bloquer pour acceder au routeur( acces net exterieur coupé)  et au controlleur de domaine (dossiers partagé centraux protégé)  
 
et le spoofing Mac reste toujour possible    

Merci arkrom, je vai dejà essayer ça et je verrai ensuite ce ça va donner.

la securité reseau n'est pas une science exacte ... il n'y a aucn moyen d'etre certain qu'une personne non autorisé est sur ton reseau sans surveiller physiquement que c'est bien les bon mec assis sur les chaises  
 
que ca soit log/pass , mac @, on peut toujours réussir a usurper les ID de qlq un avec asses de temps et de moyen  
 
si vos switch sont administrable tu peut rajouter une couche en faisant des lien port/mac => si une mac n'est pas sur le port ou tu l'attend, l'adresse est rejeté et tu peut même désactiver le port en cause ( couper la prise mural quoi )  
c'est très sur car l'usurpateur doit venir débrancher une machine pour se mettre a sa place pour reussir son coup.  mais c'est misere land a mettre en place, ca demande des switch de compet avec une gestion administrative fiable des connections derriere  
et au premier petit malin qui deplace son cable reseau parce qu'il prefere mettre son bureau près de la fenetre plutot que du coté porte ... ca coupe ( histoire vecu )  

Meme si la sécurité est une science inexacte, moi probleme est que j'ai des utilisateurs qui ne veulent pas qu'on ajoutent leur poste au domaine, car leurs droits seront alors limités, alors ils préfèrent venir avec un labtop, les connecter à mon rézo et avoir accès  au routeur, c ceux là surtout que je veux empêcher d'accerder au routeur sans mon autorisation

effectivement, la tu fait une with list/ black list d'adresse mac dans le routeur et ils sont baisé