Autentification machine pour accès réseauRésolu/Fermé

Question

Bonjour,

Alors voilà, comme je suis limitée dans le titre du message, je ne sais pas si ma demande est claire. 

Je suis en stage dans une entreprise qui utilise aussi bien du Linux (Red Hat), que du Windows (2000, 2003). Elle possède un centre principal, qui est basé sur un environnement Active Directory, et des succusalles qui sont en environnement workgroup, adresses en DHCP pour tous les clients.

Mon maître de stage m'a demandé de trouver un utilitaire ou une solution pour interdire l'accès du réseau à des machines spécifiques. A l'heure actuelle, n'importe quel employé qui arrive avec son ordinateur personnel peut se connecter au réseau et avoir accès au net.

Mon maître de stage voudrait que toute machine qui n'appartienne pas au réseau ne puisse tout bonnement rien faire, pas même récupérer une configuration ip (donc si l'utilisateur est malin et qu'il se connecte au réseau en IP fixe, il ne doit pas avoir accès aux ressources du réseau).

Nul besoin de me parler de proxy, de serveur d'autentification qui agissent sur les utilisateurs. Je ne peux pas non plus agir sur le Pare-feux.

L'entreprise travaille  avec des switchs nortel 470-24T-PWR/

val92160 · Answer

Bonjour : 
une solution simple,efficace, mais laborieuse :

configurer le DHCP pour qu'il attribue une ip à chaque adresse mac des machines du réseau, c'est ce qu'on appelle un bail permanent.
il faut penser à y inclure les adresse ip non utilisées (dans l'ensemble des adresses disponibles sur le réseau) en les faisant correspondre avec une adresse mac bidon et les modifier lors du branchement d'une nouvelle machine. 
=> s'il y a peu de machine, modifie le masque de sous réseau pour limiter la plage d'adresses disponibles, dans le cas contraire.... j'espère que ton stage est assez long ;-)

val92160 · Answer

well... m'en doutais un peu ;-)

c'est dommage car c'est LA solution (hormis les pare-feux, dont je vos pas l'intérêt dans le réseau interne), 
d'autant plus que mettre les adresses mac dans les switchs, autant le faire directment dans le serveur dhcp.

Mais ça m'amène une question : le maître de stage il a déjà son idée (pour te faire chercher un peu) ou il est dans l'attente d'une solution sans la connaître ?

Mega-therion · Answer

Dans l'attente d'une solution sans vraiment la connaître lui même. :-)

Comme dirait un des collègue : "Quand le chef te dit : tu as carte blanche, c'est mauvais signe..."

Et un serveur qui fonctionnerait comme Kerberos ou Radius, mais en agissant directement sur les machines ? Parce qu'ils y avaient pensé à Kerberos, mais la solution n'a pas été retenue...

En tout les cas, merci beaucoup de te pencher sur mon problème ;-)

Edit : J'ai trouvé sur le net un module à IPCop, qui s'appelle BOT (BlockOutTraffic) : 

https://www.google.com/?gws_rd=ssl

Ce serait une solution comme celle ci qu'il me faudrait. Mais bien évidement, l'entreprise utilise un arkoon comme solution pare-feux.  

Désolée de donner les infos au compte goutte, je demande en fonction de ce que je trouve sur le net :$

Mega-therion · Answer

J'ai finalement trouvé la réponse à mon problème.

Il me faut bien un serveur radius (sous linux, il existe freeradius), qui fonctionnera avec une base mysql et EAP/TLS. L'authentification se fera à l'aide de certificats, aussi bien côté machine que client.

Excellent tuto (à faire en entier, pas comme moi, j'avais pris un peu de ce tuto là, un peu d'un autre !!): http://christian.caleca.free.fr/lansecure.html

Par contre, comme indiqué, il faut bien faire attention aux droits sur les répertoires, je me suis faite avoir.

Si ça peut aider quelqu'un d'autre... ;)

val92160 · Answer

En effet, RADIUS... mais comme tu avais dit "Nul besoin de me parler (...)de serveur d'autentification" 
;-)

Pense à marquer le fil comme résolu et courage pour la suite
-- 
S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Mega-therion · Answer

yep, mais quand j'en avais parlé à mes collègues, ils m'avaient dit "Radius n'est que pour les utilisateurs, pas pour les machines...". 

En fait il s'agit du protocole 802.1x

Merci à Eric Lalitte de Frame IP :P

'Fin bon, meme si j'ai trouvé la solution à mon problème, il me faut maintenant faire communiquer les switchs avec le serveur, ce qui est plus dur finalement^^.

Mega-therion · Answer

Bonjour,

C'est encore moi.

Cette fois ci j'ai un problème lorsque je veux mettre plusieurs machines sur un seul port du switch.

Je m'epxlique : 

Le switch nortel 470-24T PWR permet d'autoriser l'authentification de plusieurs machines sur un seul port. Pour cela, il suffit de cocher une option (MultiHost enabled) et de lui indiquer le nombre de machines qu'il y aura derrière ce port.

Cela est utilse lorsque l'on veut brancher un autre switch sur ledit port. 

Voici un extrait de la doc : 

For an EAP-Enabled port with Multiple Host (MAC) Multiple Authentication (MHMA), a finite number of users (that is, devices), each with a different MAC address, is allowed on a port. Each user must complete EAP Authentication for the port to allow traffic with the corresponding MAC address. 

As a result, when an EAP-enabled port has the MHMA feature enabled, you must use a hub to connect stations to the port.

Note: Users running Windows XP* can experience problems
attempting to log in to the network if EAP MHMA is enabled (for
example, if multiple computers are connected through a hub to the
switch). Windows XP does not respond to EAP Request-Identity packets
if it receives too many requests from the switch in a short period of time
(which happens on multihost-enabled ports). The Windows XP client
ignores further Request-Identity packets if the authentication fails two or
more times for any reason. When this occurs, you must disable and
re-enable the network connection on the Windows XP client.

Quand je branche le pc directement sur un des ports du switch nortel, tout fonctionne parfaitement.

Mais lorsque je branche un switch d'essai sur un des ports du nortel, et une machine sur ce switch d'essai, mon client ne répond pas aux demandes du serveur radius.

J'ai également le même problème avec des téléphones ip : ils ont deux ports, l'un pour se connecter au LAN, l'autre pour connecter un pc; ils servent donc de miniswitch. Seulement, j'ai le même problème que s'il s'agissait d'un switch, et je ne peux pas non plus affecter le VLAN qui correspond aux téléphones.

Je voudrais savoir si quelqu'un a déjà eu le problème avec n'importe quel switch, et s'il existe une solution, car je n'arrive pas à en trouver, même sur le net...

Mega-therion · Answer

up

Mega-therion · Answer

Personne n'a eu un problème similaire ?

nighoa · Answer

j'ai le même matériel, et j'ai le même problème...

Si tu as avancé depuis le mois d'Avril... tiens moi au courant !

Autentification machine pour accès réseau

10 réponses

Discussions similaires

Newsletters