Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
487 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Limiter la fourniture DHCP aux PC de l'AD

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Limiter la fourniture DHCP aux PC de l'AD

n°165995
tuxbleu
renie ses origines
Posté le 17-10-2019 à 12:20:26  profilanswer
 

Bonjour,  :hello:  
 
J'essaie d'instaurer un peu de sécurité à un nouveau réseau entreprise dont le service informatique interne m'est confié.
Rien n'est fait pour éviter que n'importe qui ne se connecte au réseau, le Wifi de l'entreprise n'est pas sur un Vlan séparé, la clé est affichée partout, les smartphones perso siphonnent la bande passante avec leurs vidéos youtube, etc.
 
Je pensais, dans un premier temps, essayer de restreindre l'accès au DHCP en n'autorisant que les PC du domaine à avoir une adresse attribuée --> NAP ?
 
En bonus, une zone de quarantaine qui permettrait de valider les exceptions qui se seraient faites refouler serait top, sinon on gérera autrement (avec une réservation par exemple ?).
 
Quelle sont vos recommandations ?  :??:  
 
 


---------------
Mon topic de vente - Mon feed-back
mood
Publicité
Posté le 17-10-2019 à 12:20:26  profilanswer
 

n°165996
satoshi
Posté le 17-10-2019 à 12:44:57  profilanswer
 

:hello:
 
on parle de combien de machines? Dans une moindre mesure, tu pourrais simplement faire un filtrage d'adresse MAC au niveau du serveur DHCP (ce qui veut dire, au préalable, faire l'inventaire de toutes les address MAC de l'entreprise). Mais attends toi à avoir beaucoup de plaintes les jours qui suivent...
 
Il y a surtout une bonne discussion à avoir avec la direction: qui peut avoir accès, pour quoi, quand,...  On risque de te reprocher vouloir flicquer les employés, surtout quand la politique de l'entreprise n'est pas claire. Et non, ce n'est pas à l'IT à prendre ces décisions! :jap:

n°165998
HPIR40
Posté le 17-10-2019 à 14:17:52  profilanswer
 

Pour le probleme du wifi, il faut simplement mettre en place un portail captif (d'ailleurs c'est obligatoire dans le cadre d'une entreprise) comme cela tu peux savoir qui siphonne la BP et faire un rappel à l'ordre.
 
Et pour rappel un peu de lecture:
 
https://www.legifrance.gouv.fr/affi [...] rieLien=id
 
https://www.cnil.fr/fr/la-loi-informatique-et-libertes
 
En résumé, tu fourni un accés internet aux employés et autres personnes n'appartenant pas à l'entreprise, l'entreprise est dans ce cas responsable en cas de dérive concernant l'utilisation abusive de cet accès (terrorisme, piratage, partage de contenu illicite, etc....

n°165999
Erlum
Posté le 17-10-2019 à 14:20:42  profilanswer
 

Filtrage MAC et désactivation des fonctions de partage de connexion via GPO.

n°166000
Ivy gu
Posté le 17-10-2019 à 14:48:59  profilanswer
 

Le bricolage dans le DHCP ce n'est pas de la sécurité (il suffit de se mettre une IP fixe).
Le bricolage à base d'ACL d'adresses MAC ça ne passe pas à l'échelle.
 
La solution est 802.1X, c'est prévu exactement pour ce besoin.


---------------
Infused with cruelty, malice, and abstract jazz music.
n°166002
nebulios
Posté le 17-10-2019 à 15:08:00  profilanswer
 

Pour l'instant, techniquement, tu ne peux rien faire. Il faut te blinder juridiquement et avoir l'aval (et les budgets) de la direction et les communiquer/imposer au reste de l'entreprise avant de faire quoique ce soit.

n°166008
albator233
Lurker inside
Posté le 17-10-2019 à 17:34:45  profilanswer
 

Ivy gu a écrit :

Le bricolage dans le DHCP ce n'est pas de la sécurité (il suffit de se mettre une IP fixe).
Le bricolage à base d'ACL d'adresses MAC ça ne passe pas à l'échelle.
 
La solution est 802.1X, c'est prévu exactement pour ce besoin.


+1


---------------
Feed-back
n°166011
Lanstack
Posté le 17-10-2019 à 18:43:05  profilanswer
 

HPIR40 a écrit :

Pour le probleme du wifi, il faut simplement mettre en place un portail captif (d'ailleurs c'est obligatoire dans le cadre d'une entreprise) comme cela tu peux savoir qui siphonne la BP et faire un rappel à l'ordre.
 
Et pour rappel un peu de lecture:
 
https://www.legifrance.gouv.fr/affi [...] rieLien=id
 
https://www.cnil.fr/fr/la-loi-informatique-et-libertes
 
En résumé, tu fourni un accés internet aux employés et autres personnes n'appartenant pas à l'entreprise, l'entreprise est dans ce cas responsable en cas de dérive concernant l'utilisation abusive de cet accès (terrorisme, piratage, partage de contenu illicite, etc....


 
Un portail captif pour les employés, je n'ai jamais vu çà.


---------------
« Mais j'vous jure, y'a dix minutes, ça marchait très bien... »  
n°166021
clockover
That's the life
Posté le 18-10-2019 à 09:23:08  profilanswer
 

HPIR40 a écrit :

Pour le probleme du wifi, il faut simplement mettre en place un portail captif (d'ailleurs c'est obligatoire dans le cadre d'une entreprise) comme cela tu peux savoir qui siphonne la BP et faire un rappel à l'ordre.
 
Et pour rappel un peu de lecture:
 
https://www.legifrance.gouv.fr/affi [...] rieLien=id
 
https://www.cnil.fr/fr/la-loi-informatique-et-libertes
 
En résumé, tu fourni un accés internet aux employés et autres personnes n'appartenant pas à l'entreprise, l'entreprise est dans ce cas responsable en cas de dérive concernant l'utilisation abusive de cet accès (terrorisme, piratage, partage de contenu illicite, etc....


 
Oui enfin globalement la loi est inapplicable.
Tu connais une solution technique qui enregistre et garde l'intégralité des connexions par utilisateurs, par protocole et par action sur X années ?


---------------
-----
n°166023
ledge01
Posté le 18-10-2019 à 10:36:05  profilanswer
 

Des solutions techniques pour enregistrer les connexions il en existe pas mal (ucopia, pare-feu matériels, proxy..)
 
Ce que je me pose comme question c'est plutôt: où en est-on concernant cette obligation de conservation des données de connexion par l'employeur ?  
 
https://www.laquadrature.net/2018/1 [...] francaise/
 
Cela fait un moment que je ne me suis pas penché sur la question, les loi ont probablement évolués.  
 
J'ai un peu de mal à trouver des informations fiables qui précisent si oui ou non l'employeur à l'obligation de conserver les données de navigation internet de ses employés et pour combien de temps.  
 
 
 
 

mood
Publicité
Posté le 18-10-2019 à 10:36:05  profilanswer
 

n°166024
clockover
That's the life
Posté le 18-10-2019 à 10:52:26  profilanswer
 

ledge01 a écrit :

Des solutions techniques pour enregistrer les connexions il en existe pas mal (ucopia, pare-feu matériels, proxy..)
 
Ce que je me pose comme question c'est plutôt: où en est-on concernant cette obligation de conservation des données de connexion par l'employeur ?  
 
https://www.laquadrature.net/2018/1 [...] francaise/
 
Cela fait un moment que je ne me suis pas penché sur la question, les loi ont probablement évolués.  
 
J'ai un peu de mal à trouver des informations fiables qui précisent si oui ou non l'employeur à l'obligation de conserver les données de navigation internet de ses employés et pour combien de temps.  
 
 
 
 


Des équipements qui génèrent du logs oui il y en a pleins.
Mais au niveau que le demande la loi ? Je ne crois pas.


---------------
-----
n°166027
HPIR40
Posté le 18-10-2019 à 11:31:54  profilanswer
 

clockover a écrit :


 
Oui enfin globalement la loi est inapplicable.
Tu connais une solution technique qui enregistre et garde l'intégralité des connexions par utilisateurs, par protocole et par action sur X années ?


 
Ben mes UTM watchguard garde ces traces sur 1 an (paramétré comme tel mais peut être sur une plus longue durée). C'est consultable via leur plateforme dimension installée sur un serveur local.
 
Si tu me demande qui s'est connecté sur telle ip ou telle url a telle heure et tel jour et avec quel protocole, oui je te sors l'info complète (utilisateur et identifiant machine inclus)
Si tu veux en plus savoir ce qu'il y a fait, là non je n'ai pas l'info.
 
Après, est ce que cela suffit en cas de commission rogatoire, ça je n'en sait rien car je n'ai jamais eu ce type de demande.


Message édité par HPIR40 le 18-10-2019 à 11:33:51
n°166088
tuxbleu
renie ses origines
Posté le 22-10-2019 à 11:49:51  profilanswer
 

:hello:
Merci pour tous vos retours.
Un peu trop de users pour le filtrage MAC, sinon j'aurais commencé par ça. Ce n'est certes que de la sécurité par l'obscure, mais de là à ce que les users paramètrent une IP fixe, qui plus est sur leur smartphone, ya de la marge de manœuvre et ça ferait un premier gros tri.
 
Je cherche quelque chose d'applicable à un peu plus grande échelle. 802.1x alors... je sens que j'ai un peu de lecture.
:jap: :hello:


---------------
Mon topic de vente - Mon feed-back
n°166321
Roude Leiw
Mir wëlle bleiwe wat mir sinn
Posté le 05-11-2019 à 00:06:57  profilanswer
 

Autant le filtrage MAC c'est mauvais comme solution, autant j'avais encore jamais vu quelqu'un penser que ne pas attribuer d'IP était une feature de sécurité  :o  
Go 802.1x, c'est la seule solution acceptable oui. Perds pas de temps à bricoler ...


---------------
' OR 1=1;--

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Limiter la fourniture DHCP aux PC de l'AD

 

Sujets relatifs
Question DHCPBloqué par BitLocker au boot du PC
2 serveurs DHCP sur siteserveur DHCP qui donnent de mauvais DNS
[Nextcloud] Synchronisation Client et ADTransfert adresse IP serveur AD
Transférer 1 application sur un autre PCAjout utilisateurs AD via fichier CSV
Mise a jour dns des clients en DHCPbackup AD
Plus de sujets relatifs à : Limiter la fourniture DHCP aux PC de l'AD


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR