Sécuriser un réseau éthernet avec neufbox

Sécuriser un réseau éthernet avec neufbox - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 06-11-2012 à 00:26:48    

Bonjour,
 
Je suis étudiant et dans ma résidence on dispose d'un réseau éthernet avec prise éthernet dans chaque chambre. On peut ainsi avoir l'accès à un internet commun en rentrant des apramètres de proxy dans le navigateur (pour le flicage de ce qu'on y fait).
J'ai voulu m'affranchir des limitations de débit (10Mbits/s pour 200 personnes) et de flicage de ce réseau. J'ai donc installé une box sur la prise téléphonique de ma chambre.  
Tout fonctionne parfaitement, j'ai 20Mbits/s pour moi tout seul
Maintenant viennent les problèmes.
 
 
Je veux partager cette connexion avec un ami dans la résidence qui est trop loin pour capter mon wifi.
J'ai donc branché un câble éthernet entre un des ports éthernet libres de ma box et le port dans le mur de ma chambre. Cela pour relier ma box au réseau de la résidence.
 
J'ai désactivé le DHCP et j'ai défini comme adresse réseau LAN sur ma box :
@réseau : 10.200.97.9
Masque : 255.255.255.248 (= /29)
 
Cela limite donc les IP qui peuvent utiliser ma connexion internet de 10.200.97.9 à 10.200.97.15 sachant que la 1ere et la dernière IP sont les adresses réseau et broadcast.
Sur ma box, j'utilise 10.200.97.10
Sur mon PC j'utilise 10.200.97.11
Sur le PC de mon ami, j'utilise 10.200.97.12
Jusqu'ici tout fonctionne et mon ami a l'accès à internet.
 
Seulement voila, je m'aperçois ce matin qu'il y a un conflit d'IP et qu'un ordinateur de ma résidence se connecte avec la même IP que moi 10.200.97.11. Ma connexion est donc instable sur mon PC et l'intrus pompe le débit.
 
Ma question à laquelle je n'ai trouvé aucune réponse claire est la suivante :
N'y-a-t-il aucun moyen fiable de sécuriser l'authentification éthernet sur ma box pour le partage de la connexion à la manière du WPA pour le WIfi ?
 
PS: Je précise que ma box est une Neufbox 4 de SFR version NB4-MAIN-R3.1.10
 
Merci beaucoup à ceux qui prendront le temps de m'aider pour ce problème  
 
Valentin
 
 
(je précise que j'ai aussi posté ce message sur un autre forum dans le seul but de toucher plus de monde car ce pb doit en intéresser plus d'un, et non parce que je préfère l'un ou l'autre forum)


Message édité par singe3 le 06-11-2012 à 22:02:39
Reply

Marsh Posté le 06-11-2012 à 00:26:48   

Reply

Marsh Posté le 06-11-2012 à 08:19:32    

Plusieurs choses :
1. le proxy ne sert probablement pas qu'à faire du "flicage". Il permet à l'établissement qui gère le réseau de :
   - se prémunir contre une utilisation frauduleuse de l'accès internet (site pédophile, téléchargement illégal, etc...)
   - restreindre les protocoles via internet afin qu'il reste utilisable par un plus grand nombre
   - ...
2. visiblement, ils se soucient un minimum de la sécurité, brancher un routeur directement comme tu le fais... je doute que cela soit autorisé... D'un pont de vue sécurité tu introduis un accès non maitrisé par les admins du réseau... En entreprise, les conséquences peuvent être particulièrement importantes...
 
3. le plan d'adressage que tu utilises, tu le tires d'où ? Il y a conflit d'adresse IP c'est cela qui fait que ton débit est fortement impacté, pas que l'autre pompe le débit.

Reply

Marsh Posté le 06-11-2012 à 11:33:45    

Salut
 
Tu es là pour m'aider ? Je n'en ai pas l'impression.
J'ai le droit de brancher ma box, on a fait un TP réseau avec l'école en rapport avec cela.
Je veux juste savoir s'il existe une méthode d'authentification sécurisée sur un réseau éthernet. Peu importe que ce soit dans un réseau d'un batiment, c'est juste que c'est mon cas ici.

Message cité 1 fois
Message édité par singe3 le 06-11-2012 à 12:14:45
Reply

Marsh Posté le 06-11-2012 à 11:57:48    

singe3 a écrit :

Salut

 

Tu es là pour m'aider ? Je n'en ai pas l'impression.


Prends le comme tu veux, je t'informe des problèmes que tu crées à faire cela et le point 3 est là pour t'aider.

 

Au passage, je te pose une question pertinente à laquelle tu ne réponds pas.
3. le plan d'adressage que tu utilises, tu le tires d'où ? Il y a conflit d'adresse IP c'est cela qui fait que ton débit est fortement impacté, pas que l'autre pompe le débit.

 

Il y a 90% de chance que tous tes problèmes et que les problèmes de 2/3 autres personnes sur ce réseau viennent de là ... (et oui, tu n'es pas le seul impacter probablement).

 
singe3 a écrit :

J'ai le droit de brancher ma box, on a fait un TP réseau avec l'école en rapport avec cela.


Je doute que le branchement de routeur qualifié de rogue sur un réseau dont tu n'es pas l'admin soit au programme, et qu'un TP fait à l'école te donne le droit le faire. Ce n'est pas parce que tu as suivi un cours/TP que tu as droit de faire tout et n'importe quoi sur un réseau dont tu ne fais pas partie de l'équipe d'admin ! Imagine toi une fois en charge d'un réseau, souhaiterais tu que quelqu'un pète ton réseau ? On ne s'improvise pas admin d'un réseau opérationnel sous prétexte que l'on a fait un TP [:spamafote]

 

Bref, actuellement, tu pourries la connexion de plusieurs personnes sur le réseau. Tu vois les effets de bord de ta configuration par une diminution de débit...

 

Prenons l'exemple de l'adresse IP en .11 qui est dite en conflit :
1. un usager du réseau a reçu cette adresse IP via DHCP par le serveur officiel de votre réseau
2. tu configures manuellement cette adresse IP sur l'interface de ton PC

 

Normalement, durant tes TP ou tes cours, tu as dû voir ce qu'est ARP et comment cela fonctionne.
A chaque requête ARP, ton PC et le PC de l'autre vont répondre. Les gateway (ton routeur et le routeur officiel du réseau) vont prendre une des réponses seulement. Cela s'ensuit une perte de trafic pour les deux PC. Un coup c'est l'un qui va prendre le trafic, un autre coup c'est l'autre, etc... [:bien]

 

Cela n'est que pour une des adresses IP, en l'occurence celle que tu as pu voir. Mais si ton pote est aussi en adressage statique en prenant l'adresse d'une autre personne...

 
singe3 a écrit :

Je veux juste savoir s'il existe une méthode d'authentification sur un réseau éthernet. Peu importe que ce soit dans un réseau d'un batiment, c'est juste que c'est mon cas ici.


Oui 802.1X.
Mais cela ne te sauvera pas. La chose propre dans ce type d'archi est de ne pas pourrir le réseau par les effets de bords en choppant un espace d'adressage au petit bonheur la chance. Tu fous un routeur en coupure des deux réseaux, tu fais en sorte qu'il chope une vraie adresse du réseau de la résidence d'un côté (en l'occurence via dhcp) et une adresse de ton propre réseau de l'autre côté. Tu configures le PC de ton pote avec une vraie  adresse IP du réseau de la résidence et tu modifie sa gateway pour qu'il utilise le routeur de coupure. Tu rajoutes une ACL pour que seule son adresse IP soit autorisée sur le routeur de coupure.


Message édité par o'gure le 06-11-2012 à 11:58:21
Reply

Marsh Posté le 06-11-2012 à 12:25:02    

J'ai suivi un TP sur simulateur réseau avec l'école expressément dans le but de savoir comment partager une connexion box personnelle sur le réseau du bâtiment, ce bâtiment appartenant à l'école.
Les adresses Ip dans mon batiment sont en statique, le serveur DHCP lan est désactivé. Pour passer par le proxy mis à disposition, il faut utiliser une IP attribuée à chaque chambre, on n'a pas le choix.
Donc pour ma box j'ai tout simplement utilisé une plage IP qui n'était pas utilisée. C'est seulement ensuite que quelqu'un est venu s'infiltrer sur mon sous réseau.


Message édité par singe3 le 06-11-2012 à 21:59:58
Reply

Marsh Posté le 06-11-2012 à 21:59:15    

quelqu'un peut m'aider car je n'ai pas compris le passage sur 802.1X
N'y a t-il aucun moyen simple à mettre en oeuvre pour autoriser seulement les PC que je veux à utiliser ma connexion internet ? C'est quand même dingue qu'un réseau éthernet ne soit pas sécurisable du tout !


Message édité par singe3 le 06-11-2012 à 22:01:11
Reply

Marsh Posté le 12-12-2012 à 17:19:47    

j'ai pas lu les message precedent mais seulement en lisant le titre voila ce que  je peux te repondre :  
 
moi aussi j'ai une neufbox et  je l'ai securisé de la facon suivante :  
 
réduction de la page ip pour le nombre de pc  , iphone de dispo et pas plus !
 
jouer avec le masque
activer le filtrage par adresse mac ( ca n'empeche pas que tu puisse te faire spoofer   )  
modification du nom de la box  
modication du wpa en wpa2 + modification du code par defaut avec  
variable, chiffre,lettre,etc  ( ù%:;,£+hfu476°)
 
montage d'un routeur firewall comme alcasar ou pfsense avec authentification RADIUS  pour gerer l'authentification des pc sur ton reseau par certificat ou bien le protocol NAC de cisco mais tu doit te procurer le matos.
 
 
par default ta box t'offre la securité masique mais pas avancé et pour cela  il faudra maitre les main dans le camboui et remonter les manche  dont monté  un pc firewall routeur ! va sur le site d'alcasar et  lie , ca devrai couvrir tes besoin et c'est tres facil a installer , pas besoin d'etre ingenieur pour ca .
 
ou
 
tu met sur google : securiser box par authentification
 
voila


Message édité par cyrus16 le 12-12-2012 à 17:24:18
Reply

Marsh Posté le 12-12-2012 à 17:24:50    

oui ben voila le pb en fait je voulais une sécurisation sans acheter de nouveau matos, j'ai pas les moyens de me payer un routeur juste pour faire ça

Reply

Marsh Posté le 12-12-2012 à 17:26:21    

merci bien pour ces rensignements ca me sera très utile plus tard mais là je vais laisser tomber j'ai pas les moyens d'acheter un pc juste pour faire un serveur pour 2 personnes


Message édité par singe3 le 12-12-2012 à 17:35:39
Reply

Marsh Posté le 12-12-2012 à 17:53:09    

tu sais pas besoin d'acheter  un pc a  600 euro pour  le role  routeur /firewall , un  pc a 300 euro ou mois suffit !  
 
mon routeur pfsen c'est  un pc qui etait sous windows 98 javais 15 ans  et sa tourne bien ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed