Les Allergies
Alimentaires
Posez votre question Signaler

Spoofing d'IP

Narowen 123Messages postés 12 novembre 2008Date d'inscription 12 janvier 2012Dernière intervention - Dernière réponse le 7 févr. 2011 à 11:13
Bonjour,
J'ai un réseau d'environ 200 utilisateurs membre d'un domaine et client DHCP. Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable. Ils doivent avoir les mêmes accès que les postes de l'entreprise. le problème est apparu très rarement et sans mauvais intention mais je préfère prendre les devants pour éviter des ennuis futures.
Imaginons que je sois un petit bidouilleur et que je souhaite tester un truc. Je ping le serveur (d'annuaire, DHCP, DNS,...) et je chope son adresse IP. Je me connecte ensuite au réseau (soit en branchant le câble réseau d'un post fixe soit via le WiFi de l'entreprise ) en utilisant l'adresse du serveur. Il y aura ensuite un conflit d'adresse et sauf erreur mon serveur ne pourra plus répondre au client. Mon réseau n'est composé que d'un seul sous-réseau. Il peut aussi prend simplement une adresse aléatoire du pool et lorsque l'utilisateur client DHCP se connectera et obtiendra la même adresse il y aura un conflit d'adresse et cette personne ne pourra pas accéder aux ressources réseaux le bidouilleur non plus d'ailleurs.
Ma question est la suivante : Comment empêcher un des utilisateurs ayant un portable lui appartenant de se connecter à mon réseau en ayant une adresse IP manuel qu'il a configuré lui-même ?
Lire la suite 

Spoofing d'IP »

19 réponses
Réponse
+0
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 3 févr. 2011 à 13:17
Salut,

Sur ces 200 utilisateurs il y en a une cinquantaine qui travaille avec LEUR ordinateur portable

C'est mal.

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Narowen 123Messages postés 12 novembre 2008Date d'inscription 12 janvier 2012Dernière intervention 3 févr. 2011 à 14:17
C'est ce que je me tue à expliquer à la direction mais ils veulent pas comprendre... J'essaye de faire au mieux dans ces circonstances.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Malekal_morte- 14781Messages postés 17 mai 2006Date d'inscription 22 mai 2012Dernière intervention 3 févr. 2011 à 14:24
bha faut des swichs qui gèrent le filtrage MAC
ou faire des vlan avec du filtrage MAC.

Comme ça les PC dont tu as pas accepté les adresses MAC se font jeter.

Mais ça règle pas le prb de ceux qui viennent avec des portables persos et qui sont autorisés.... et qui ont des PC pourris au final...
Parce que dans ces cas là, les merdes sont pas forcément intentionnelles....
Si le mec branche son portable et qu'il y a un rbot/sdbot dessus, tu pourries tout le réseau....

Remember when you were young, you shone like the sun.
Shine on you crazy diamond.
Now there's a look in your eyes, like black holes in the sky.
Shine on you crazy diamond.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
holybeer 311Messages postés 3 février 2011Date d'inscription 27 mai 2012Dernière intervention 3 févr. 2011 à 14:26
Réserve leur adresse grâce aux adresses mac ( c'est chiant ouai. Je sais )

bloque la plage qui n'est pas utilisée. M'enfin c'est bancal comme solution.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
brupala 36106Messages postés 16 juillet 2001Date d'inscription ModérateurStatut 30 mai 2012Dernière intervention 3 févr. 2011 à 15:18
Salut,
tu ne peux pas empêcher qu'ils se connectent avec des adresses fixes valides sur le réseau à partir du moment où ils ont le droit de se connecter avec une adresse dhcp.
la seule possibilité, serait de les empêcher de configurer leur carte réseau par une GPO, mais comme ils sont admins de leur poste et que de toute façon il n'est pas membre du domaine ...
Il faudrait expliquer aux responsables que cette façon de gérer un réseau est en dessous de tout au niveau sécurité et que tu t'en laves les mains en cas de problème.
PS,
heureusement que windows désactive l'interface réseau tout seul en cas de duplicate adresse, sinon ne te dis pas le bazar si l'un d'eux décide de configurer l'adresse d'un serveur sur son poste.

Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Narowen 123Messages postés 12 novembre 2008Date d'inscription 12 janvier 2012Dernière intervention 4 févr. 2011 à 09:58
Merci pour vos réponses. J'ai une GPO qui désactive la configuration de la carte réseau mais comme il ne se connecte pas sur le domaine, ça ne sert à rien.

D'après ce que vous me dites, la seul solution que je vois c'est d'autoriser uniquement la connexion aux personnes connecté sur le domaine et donc sous l'effet de mes GPO. Est-ce qu'un tel solution est possible ? Je sais qu'à présent avec NAP on peut interdira l'accès réseau si certaines conditions ne sont pas remplis comme antivirus à jour etc... pourrait-on tester si l'utilisateur est connecté au domaine et refuser la connexion si cette condition n'est pas remplis ?

Ajouter un commentaire
Afficher les 5 commentaires
Malekal_morte-- 4 févr. 2011 à 16:14
bha c'est super limité la GPO dans son cas de figure....

si c'est des portables, s'il a une IP fixe déjà utilisée, c'est dans le cas où il a branché son portable chez un pote qui a la mm plage d'IP.... il branche ça va merder.
Au pire la GPO va plus le faire chier pour remettre comme il faut qu'autre chose (enfin il ouvre une session local et voila).
Si le gars est bidouilleur comme il le dit, il va pas s'embéter, il va se foutre en DHCP....

Et dans le cas d'un bidouilleur qui veux "nuir" bha la GPO ça servira à rien.

Ca reste de la bidouille qui va servir à rien, à mon avis.
brupala- 4 févr. 2011 à 16:43
Dans tous les cas, si c'est un PC perso qui n'est pas memebre du domaine comme dit plus haut, la GPO de ne s'appliquera pas, elle n'est utile que sur des PC appartenant au domaine.
Ce qu'il faut faire là, c'est mettre les PC "invités" dans un réseau IP à part de préférence derrière un firewall bien configuré, pour que s'ils bidouillent leur adresse pour y mettre des adresses sensibles du réseau au moins, le routeur ne puisse pas les router.
Narowen- 4 févr. 2011 à 17:02
Salut Malekal en effet pour les portables les GPO ne sont pas une solution elles sont présente pour sécuriser les postes fixes qui appartiennent à l'entreprise.
Ajouter un commentaire
Réponse
+0
moins plus
Mstr 5227Messages postés 11 janvier 2010Date d'inscription 30 mai 2012Dernière intervention 4 févr. 2011 à 10:05
Salut,

Ça doit être la fête aux merdes sur le réseau, woohoo !

Dans ma boite, tu branche pas ton PC sur le réseau.

Aucun PC perso n'est autorisé, pas de DHCP (uniquement sur les 2 3 bornes wifi qu'on a).

C'est peut être chiant, de faire à la main les paramètres réseaux, mais au moins, ya rien qui traine dessus..

Aucun droits sur les PC (si ils veulent installer, ou changer un truc, faut en faire la demande).

Enfin le gars qui fait ce genre de chose, il se fait chier pour pas grand chose, et faut s'y connaitre un minimum quand même..

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Narowen 123Messages postés 12 novembre 2008Date d'inscription 12 janvier 2012Dernière intervention 4 févr. 2011 à 11:18
Hmm ce sont des étudiants donc il y en a pas mal qui s'y connaissent un peu et faire un ping puis changer sa configuration IP c'est pas une manip. très compliqué.

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Molette4 550Messages postés 18 décembre 2009Date d'inscription 10 novembre 2011Dernière intervention 4 févr. 2011 à 18:21
Pourquoi ne pas créer une étendue supplémentaire pour éviter les conflits ?

 Ajouter un commentaire
Narowen- 7 févr. 2011 à 10:33
Pourrais-tu être plus précis dans ta réponse stp. Je vois à peu près où tu veux en venir corrige moi si je me trompe. Je créé un nouveau sous-réseau exemple 10.210.23.0 /24 et 10.210.24.0 /24 je met tout les ordinateurs de l'entreprise dans un segment et les bornes wifi (portables des employers) dans un autre segment.

Disons que l'adresse du serveur est 10.210.23.3 Je suis un employer malintentionné et je me connecte au sous-réseau 10.210.24.0 /24 je modifie ensuite mes paramètres IP ma nouvelle adresse fixe est la même que le serveur c'est à dire 10.210.23.3 /24 Je suis d'accord que les postes de mon premier sous-réseau c'est à dire ceux de l'entreprise n'auront aucun problème mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
brupala- 7 févr. 2011 à 10:47
Salut,
mais les postes qui sont dans le sous-réseau de l'usurpateur eux ne pourront plus accéder au service de mon serveur. Est-ce exacte ?
non ils ne devraient pas être gênés plus que les autres, car pour eux le serveur est sur un autre réseau, donc ils vont faire l'arp avec le routeur vers l'autre réseau, pas en local: ils ne pourront donc pas communiquer avec la machine qui a usurpé l'adresse car elle n'est pas dans le réseau IP qui convient: cette adresse ip hors réseau sera inaccessible de tout le monde (même depuis le routeur).
Narowen- 7 févr. 2011 à 11:13
Ah oui je comprend ! Merci beaucoup pour ces réponses je vais donc mettre ça en place.
Ajouter un commentaire
Réponse
+0
moins plus
aymeric.moulin 251Messages postés 28 août 2008Date d'inscription 4 décembre 2011Dernière intervention 4 févr. 2011 à 18:51
Une manière simple mais que je sais pas comment l'appliquer, tu prend tes 200 pc et tu prend leur adresse mac. Tu fais de sorte à ce que le serveur n'accepte que les adresse mac. A partir de la je ne sais pas dutout comment on fait ça mais à titre de comparaison les anciennes générations de livebox ne pouvaient pas établir de connection tant que tu n'avait pas appuyé sur un bouton pour lui faire accepter les adresses mac qui vont tenter de se connecter dans les 10 min suivantes.


Ajouter un commentaire
Narowen- 7 févr. 2011 à 10:23
ça ne règle aucun problème. Si je prend toutes les MAC des portables ce qui est déjà très compliqué car ils n'appartiennent pas à l'entrepris je serais forcé de les ajouter dans ce filtre par MAC car ces portables sont autorisé dans le réseau et ils pourront ensuite changer à leur guise la configuration IP ce que je ne souhaite pas.
Ajouter un commentaire
Posez votre question
Ce document intitulé « Spoofing d'IP » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?