Sujet Précédent Sujet Suivant

Partage de fichiers simple/avancé - Domaine

Résolu/Fermé
Yoan Messages postés 11795 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 10 décembre 2023 - 5 sept. 2006 à 22:12
Yoan Messages postés 11795 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 10 décembre 2023 - 6 sept. 2006 à 12:37
Hello,
J'ai un réseau consitué de 8 machines et un serveur sous W2K Server.
Je gère les autorisations avec Active Directory.
Régulièrement de nouvelles machines non-membres du domaine viennent se connecter au réseau pour bénéficier de la connexion à Internet et avoir accès aux fichiers partagés (autorisations NTFS). Le problème, c'est que sur ces machines, les utilisateurs ont déja des dossiers partagés sur leur réseau personnel en utilisant le partage simple. Du coup, n'importe qui a accès à leurs données partagées.

Après quelques recherches d'activité du réseau, il semblerait que le protocole ICMP (et éventuellement ARP) soit en activité à ce moment-là. Donc finalement, est-ce que bloquer ICMP pourrait :
- D'une machine "nomade" avoir accès aux stations membre du domaine ?
- D'une machine du domaine, interdire l'accès à une machine nomade ?

Peut-être qu'un filtrage aussi par port pourrait résoudre le problème ?

Ca me semble un peu idéaliste ce que je dis, bien que je suis sûr qu'il y ait une façon de le faire, ... mais d'une autre manière ;-))

Merci.

L'urgent est fait, l'impossible est en cours,
Pour les miracles, prévoir un délai ...
A voir également:

7 réponses

Réponse 1 / 7
CHALOUZEAU Messages postés 8 Date d'inscription vendredi 11 juin 2004 Statut Membre Dernière intervention 3 avril 2008 1
5 sept. 2006 à 22:34
Avoir peut etre du cote du firewall xp sp2 ,et de desactive le partage de fichiers windows ?
0
Réponse 2 / 7
Yoan Messages postés 11795 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 10 décembre 2023 2 329
6 sept. 2006 à 07:17
Mais il faudrait garder le partage de fichiers sur ces ordinateurs :)
Et sur le firewall oui, c'est ce que je compte faire, mais je ne sais pas quoi bloquer :)
0
Réponse 3 / 7
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
6 sept. 2006 à 08:36
Bonjour,

Bloquer les demandes entrantes en provenance des 8 ordis doit éviter que l'on voit les données des ordis nomades (et les sortantes doit protéger les données de ton réseau). Est ce que cela n'entraîne pas aussi la perte d'accès aux données partagées ?

Il faut certainement conserver l'accès au serveur.

Par contre, c'est certainement lourd à gérer pour l'ordi nomade.

Bonne suite.
0
Réponse 4 / 7
brupala Messages postés 109551 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 mai 2024 13 633
6 sept. 2006 à 10:37
salut,
si ils ne sont pas memebres du domaine, comment ont-ils accès aux partages ? les serveurs ne sont pas sur le domaine ?
tu pourrais déjà bloquer les ports 137 et 138 udp ainsi que 139 sur tcp, ça correspond à netbios sur tcpip et normalment un réseau AD ne les utilse pas, c'est plutôt sur le port 445 que ça se passe.
Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
il est ahurissant de laisser des PC extérieurs se connecter à un réseau windows.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Yoan Messages postés 11795 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 10 décembre 2023 2 329
6 sept. 2006 à 10:47
il est ahurissant de laisser des PC extérieurs se connecter à un réseau windows.
Oui, mais je n'ai pas les connaissances requises pour faire mieux. (Et dans l'immédiat il n'y a que moi pour m'en occuper bénévolement).

Les utilisateurs ont accès aux partages grâce à un login du domaine, leur donnant les autorisations pour accéder aux dossiers nécessaires.

Je pense que tu devrais déjà les placer dans un vlan particulier (visiteurs) par sécurité et ne laisser passer que le traffic web et ftp avec ce vlan.
Je suis prêt à le faire si tu m'expliques un peu pluche, avec quels moyens, et comment :)
vlan
Merci :)

Sachant que je n'ai des pare-feu que sur ces machines "nomades", le réseau Internet est filtré par le proxy.
0
Réponse 6 / 7
brupala Messages postés 109551 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 mai 2024 13 633
6 sept. 2006 à 10:54

Les utilisateurs ont accès aux partages grâce à un login du domaine, leur donnant les autorisations pour accéder aux dossiers nécessaires.

mais .... leurs machines ne sont pas membres du domaine ?
pour le vlan, il faut des switchs manageables, bien entendu, un routeur ou un firewall entre ce vlan et le reste du réseau, pour une étude complète, ça va prendre un peu de temps ;-)
0
Réponse 7 / 7
Yoan Messages postés 11795 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 10 décembre 2023 2 329
6 sept. 2006 à 11:00
mais .... leurs machines ne sont pas membres du domaine ?
Non.
Lorsqu'ils tentent d'accéder à un dossier partagé du serveur (qui est aussi le contrôleur du domaine), Windows leur demande un login et un mot de passe. De ce fait, ils entrent celui qu'on leur a attribué, leur donnant accès aux dossiers necéssaires.

Aucun des switchs que l'on a n'est manageable. Mais si c'est réalisable, ça doit se trouver :) ....
Si j'ai bien compris, le vlan, branché sur le switch principal devrait créer un sous-réseau auquel on appliquerait les règles de firewall nécessaires ?
0
Yoan Messages postés 11795 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 10 décembre 2023 2 329
6 sept. 2006 à 11:02
En fait ces machines "nomades", c'est relativement récent et c'est vrai que je n'ai pas immédiatement cherché plus loin.
0
brupala Messages postés 109551 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 12 mai 2024 13 633
6 sept. 2006 à 11:46
oui, c'est cela,
un sous réseau à part qui bloquerait déjà les broadcast udp d' annonce de leurs "services".
ces utilisateurs entrent leur login sous la forme domaine\login alors ?
tu les fais passer à la désinfection avant (karcher, micro ondes ) tu vois , les maladies hautement contagieuses quoi .
0
Yoan Messages postés 11795 Date d'inscription mardi 1 février 2005 Statut Modérateur Dernière intervention 10 décembre 2023 2 329
6 sept. 2006 à 12:37
ces utilisateurs entrent leur login sous la forme domaine\login alors ?
Oui.

J'ai vérifié qu'il avaient le système de protection minimum. Mais je ne peux pas non plus passer le karcher, ce ne sont pas mes machines :)

OK Merci. Je ne sais pas si acheter du matos vaut vraiment le coup, d'autant que c'est occasionnel. Mais enfin c'est vrai que ça risque de devenir une [mauvaise] habitude. Je vais déja essayer de configurer les pare-feu. Merci.
0

Discussions similaires

Comment identifier (ou situer) qui écrit des commentaires sur mon blog ?
profa84 -
dugenou -

1 réponse
comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses
nom de metier
E=MC² -
Raymond PENTIER -

2 réponses