Bonjour !
 Je suis stagiaire dans une entreprise, et on me demande de trouver une solution pour empêcher des personnes de brancher leurs propres ordinateurs sur le réseau (en débranchant et rebranchant les cables RJ45 ), dans certaines salles, en procédant par filtrage des adresses mac.
 J'ai d'abord pensé à filtrer les adresses mac au niveau des switchs (CISCO séries 2900 XL et 3500 XL) en question, au niveau de la "mac adress table secure". (j'y songe toujours).
 Cette solution est relativement souple, car elle permet d'autoriser les adresses mac des ordinateurs de dépannage, mais je recherche d'autres solutions s'il en existe de plus simples.
 
 Je possède la liste des ~350 adresses mac du parc informatique.
 
 Les adresses IP sont données automatiquement par un serveur DHCP dynamique Microsoft.
Est-ce que vous savez si on peut filtrer les adresses mac directement sur le serveur DHCP, par exemple lors la demande d'attribution d'adresse IP ?
ça me permettrait de ne pas avoir à remettre à jour les "Mac-Adress Table Secure" des switchs, et de sécuriser tout le réseau.  
 
Si vous avez des avis constructifs, ils sont les bienvenus.

Sur le routeur BeWan de la boite, en mode serveur DHCP, on peut n'attribuer les IP qu'en fonction d'une liste d'adresses MAC.. ( bien que l'on s'en sert pas ici)
sur le DHCP MS, faut que je regarde..

pour info, on peut changer la MAC d'une carter reseau

Oui, c'est vrai pour la carte réseau, mais les "pirates" en question n'ont généralement peu de connaissances en informatique.
Je pense que le filtrage des adresses mac est un premier pas vers la sécurisation de ces salles.
Kevin

oui, c'est vrai , et il existe des outils de spoofing d'adresses MAC..mais bon, deux adresses MAC ne peuvent être sur le même réseau.. cela veut dire que celui qui veut rentrer sur ton réseau doit déjà reperer une adresse MAC (qui est autorisé) d'un collègue, et attendre que celui-ci ne soit plus sur le réseau..  
 
mais faut qu'il ait eu aussi le mot de passe.. donc gérer aussi les mots de passe correctement..

c'est un de mes soucis... il n'y a pas de mot de passe...
Je ne cache pas que je trouve ça assez absurde, mais c'est comme ça.
  Je ne suis que stagiaire et on m'a fait comprendre que c'était trop compliqué de changer leur système dans l'immédiat, administrativement techniquement aussi.
  C'est pourquoi, si je peux ralentir la fraude par filtrage des adresses mac, ça arrange ma boite.
  Merci

on peut via le serveur dhcp ne distribuer des adresses ip qu'au adresse mac voulu (a propos du dhcp MS ça serait cool de préciser son OS  nt4 ? 2000 ? 2003 ?)  regarde la doc voir si il le fait  (j'ai le souvenir que oui)
 
 
 
sinon il y a plus simple : faire une charte informatique : les portables/pc personnels sont interdit...  après si un employés brave l'interdit ---> sanction.
 

Merci pour l'info, je cherche toujours sur la doc, mais je n'ais pas encore trouvé : c'est une serveur Windows 2000.
Si tu as un lien vers une page web ce serait sympa
 La charte informatique est déjà faite, mais les intéressés se connectent en dehors des heures de permanence du service informatique.
  Le soucis est plus au niveau sécurité du réseau (virus surtout) et responsabilité des admin (vis-à-vis du contenu de l'oridinateur intrus).
  Donc si quelqu'un peut m'aider au niveau de la config de d'un serveur DHCP dynamique (+DNS) Windows 2000 pour le filtrage des adresses mac (lors de l'attribution de l'adresse IP par exmple)...
Je vous remercie.
Kevin

http://forum.laboratoire-microsoft [...] light=dhcp
 
ça te dis pas comment faire, mais ça dis que c'est possible et la manip à l'air relativement simple

Le mieux est à mon avis de filtrer au niveau de switchs... tu as la chance de posséder de switchs adminsitrables sous-la main qui proposent une telle fonctionnalité.
 
Sinon peut-être prendre une approche moins technique :
- dans un premier temps pourquoi se connectent-ils ?
- quel services de l'entreprise utilisent-ils ?
- quels sont les risques / coûts pour l'entreprise ?
 
Car bon si c'est juste pour surfer / pomper 2-3 trucs hors heures de boulot, une solution simple (et qui va te rendre populaire) est de mettre un hot-spot ou quelques prises RJ45 à la caf' situées idéalement sur une DMZ dédiées à ce genre de connexions.

J'oubliais : et c'est moins chiant que de saisir 350 adresses MAC

 à propos du hot-spot, je vais m'y intéresser.  
   Le but des squatteurs est évidemment d'utiliser leurs machines pour télécharger des trucs sur le net. étant "root" sur leurs bécannes, ils peuvent utiliser tous les logiciels qu'ils souhaitent.
 La solution de leur proposer une connexion internet s'est posé, car ça aurait pu être une solution. Mais en supposant qu'il y ait qqch d'illégal (caractère pornographique ou pédophile par exemple) sur leur ordinateur, et qu'ils le partagent/telechargent, nous serions tenus pour seuls responsables, même en livrant la personne concernée.
 
Merci beaucoup pour vos réponses.
  Je pense effectivement, après réflexion, que la meilleure solution est le filtrage au niveau des switchs, quitte à faire une petite manip de temps en temps lors du remplacement d'une machine.
  Mais n'étant pas maitre de la décision, je suis content de pouvoir proposer une alternative à mes supérieurs.
Merci beaucoup.
Kevin

Bonjour à tous,
 
Déterrage de topic   (la preuve que je cherche avant d'ouvrir un sujet)
 
Je voudrais faire la même chose que l'auteur mais sous SBS 2008?  
 
Car les différent tuto que je trouve ne me mène pas aux réglage sous SBS 2008    
 
Merci d'avance  

Ca semble logique que tu ne trouves pas de tuto car le SBS n'est pas fait pour ca.

Jai tout sauf la fonction! Merde alors! Sinon on peut ajouter la fonction via un ad-on?
Merci

que veux tu dire exactement par "j'ai tout sauf la fonction" ?

Quand je vais dans la console HDCP, je sais faire des réservations d'iIP en fonction de la MAC, mais je n'ai pas la partie liste autorisée ou liste refusée de MAC.
 
Dommage car où je bosse pas de switch manageable pour ce faire, et on aimerait que les gens ne sachent plus connecter leur portable à notre réseau, et par la même occasion dépasser la limitation des 48 mac encodable dans notre routeur Wifi Linksys.
 
Pas de budget pour l'instant pour acheter une solution pro de wifi, mais qui ne solutionnerais pas le problème des PC étranger en filaire.
 
Du coup agir sur le serveur me semble la meilleure solution.

Un DHCP n'est pas fait pour ca.
Il va falloir que tu attendes le budget pour du nouveau matériel.