Detection d'une nouvelle adresse IPRésolu/Fermé

Question

Bonjour,

Je vous sollicite car on me demande de mettre en place un outil permettant la détection "d'intrusion" c'est à dire de renvoyer une alerte (e-mail ou autres) à l'administrateur lorsqu'il y a un conflit d'adresses sur le réseau; j'ai déjà mis en place "Snort" mais je pense qu'il n'est pas approprié, et "Nagios" ne fait pas la remontée automatique de nouveaux hôtes... à moins que vous y soyez arrivés :D.
Le cœur du problème est qu'enfaite des personnes ce branche au réseau via leur ordinateur portable personnel avec une IP pré-configurée d'où les conflits d'adresses...

Sur le réseau il y a une plage d'adresse IP statique qui est déjà attribuée et une autre plage qui est distribuée via un DHCP.

Donc connaissez-vous un outil WIndows ou Linux permettant cela ?

Merci par avance,

Le.parrain

aiglenoirdu29 · Answer

Bonjour, c'est un grand réseau?

Sinon il y a le système des adresse MAC, comme ça pas d'intrus possible. Il faudra que l'adresse Mac de la machine soit enregistré auprès de serveur DHCP.

Vous pouvez choisir une IP par adresse Mac. Comme ça si un nouvel ordinateur se connecte, son adresse Mac sera refusé non?

Je n'ai mis en place que de petit réseaux donc je sais pas si c'est applicable pour vous.

Utilisateur anonyme · Answer

Hello,

Tu pourrais trouver un début de solution ici :

https://ipwatchd.sourceforge.io/

Le.parrain · Answer

C'est un réseau composé de 60machines.

J'ai pensé aussi à l'attribution d'une IP par adresse mac, mais le problème est que le réseau tend à évoluer assez rapidement et donc le suivi risque d'être assez compliqué... c'est pour sa que je souhaiterais avoir un outil "automatique"

Le.parrain · Answer

Merci bien BugCrusher je crois que tu as bien cerné mon problème mais est-ce que je vais pouvoir installer cette outil sur une distribution centOS ?

Utilisateur anonyme · Answer

En effet, l'attribution d'une IP par MAC constitue à mon sens la meilleure solution. Ca demande effectivement un certain suivi, mais tu ne le regretteras pas au final !

Le plus dur est de constituer la liste initiale, ensuite, ce n'est que dui suivi au day to day, et à moins que les effectifs n'explosent, c'est franchement gérable.

Le.parrain · Answer

Oui je suis d'accord, puis j'ai mis ne place un Nagios donc je peut bien tout refaire une 2nde fois...

Penses-tu que "IPwatchD" intègre la remonter d'alerte par mail ?

Le.parrain

Utilisateur anonyme · Answer

D'après ce que je vois dans les man pages, non :o(

Je continue à regarder s'il n'y  aurait pas un équivalent un peu plus poussé.

Cela dit, en fonction du contenu des logs, tu peux scripter l'envoi d'un mail, mais je regarde si y'a pas moyen de faire mieux.

Le.parrain · Answer

D'accord merci, moi je cherche depuis une semaine...

Sinon comment t'y prendrais-tu pour attribuer une adresse IP à chaque adresse MAC ? directement sur mon firewall ?

Utilisateur anonyme · Answer

Ca se fait plutôt dans le DHCP, tu fais des réservations et c'est tout bon.

L'intérêt d'une réservation par rapport au fait de le programmer directement sur le switch est que l'utilisateur nomade peut se connecter depuis n'importe quelle prise de la société.

Si tu implémentes sur le switch, c'est un port=une MAC, et là c'est moins flexible, même si c'est beaucoup plus secure.

Le.parrain · Answer

Le probléme avec les switch qui sont mis en place est que ce sont des switch de couche 2 et donc ne prennent pas en compte les adresses IP... 

Le top serait que "ipwatchD" puisse renvoyer les alertes par mail... je suis entrain de chercher sa sur le net.
Si de ton côté tu arrives à trouver plus rapidement merci de me tenir au courant.

Merci par avance,

Le.parrain

Utilisateur anonyme · Answer

Je viens de penser à un truc...

Les conflits d'adresse c'est, je suppose, avec du 192.168.x.x ?

Le.parrain · Answer

Désole de répondre que maintenant mais oui les adresses sont du type 192.168.1.0/24

Utilisateur anonyme · Answer

Pas forcément simple, mais comme tu n'as pas trop de machines, voilà ce que tu pourrais faire :

- Redéfinis ta place DHCP dans une gamme d'adresses qu'ils ont peu de chances d'avoir chez eux, genre 10.61.52.x /24
- Evidemment, faut aussi revoir le routage, mais au vu de ton infra, ça devrait pas être furieux ;o)

Ainsi, le gazier qui arrive avec son PC perso au bureau ne pourra plus se connecter au réseau autrement qu'en se mettant client client DHCP.

Bye bye les conflits !

Qu'en penses-tu ?

Le.parrain · Answer

C'est bon j'ai trouvé la solution, je vais utilisé Nagios et contourner le problème.

Je vais intégrer les adresses IP qui sont "vacantes" à Nagios de façon à ce que dés qu'un PC va utiliser une de ces adresses, Nagios va m'envoyer un mail en me disant que l'hôte est "UP et donc logiquement sa voudra dire que l'adresse IP est utiliser...

Merci pour votre aide en tout cas.

Le.parrain

Utilisateur anonyme · Answer

Ah oui, bien vu, ça !

Et pour l'aide, il n'y a pas de quoi, je n'ai au final pas fait grand-chose :o)

Le.parrain · Answer

Tu as perdu du temp pour moi, sa vaut bien des remerciements quand même ;)

Utilisateur anonyme · Answer

Dans ce genre d'affaire, ce n'est jamais du temps perdu, la preuve, j'ai appris de toi :o)

Merci de m'avoir remercié, c'est vrai que c'est notre seul salaire ici :o)

Bonne continuation !

Le.parrain · Answer

De même.

Detection d'une nouvelle adresse IP

18 réponses

Discussions similaires

Newsletters