Limiter l'accès internet au non membre du domaine

Limiter l'accès internet au non membre du domaine - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 25-01-2017 à 15:36:27    

Salut,
 
Je souhaiterais savoir s'il y a une solution simple pour bloquer l'accès internet aux personnes ne faisant pas partie de mon domaine.  
 
En ce moment, si une personne se connecte en filaire sur une prise brassée, le dhcp lui fourni une adresse, avec la passerelle qui va bien pour aller directement sur internet.  
 
Pour les postes de mon domaine, c'est la même chose sauf qu'un proxy est configuré sur leurs navigateurs.
 
Comment cela ce passe chez vous ?
 
merci
 
 :jap:

Reply

Marsh Posté le 25-01-2017 à 15:36:27   

Reply

Marsh Posté le 25-01-2017 à 15:45:24    

Salut,
Il vient avec son propre matériel ? Il a le droit d'accéder au ressources réseau mais pas d'aller sur Internet :??:


---------------
Pixel mort -> .
Reply

Marsh Posté le 25-01-2017 à 15:52:17    

En fait, je préfererais qu'ils n'aient accès à rien. et qu'ils nous contacte si besoin..
 

Reply

Marsh Posté le 25-01-2017 à 15:54:01    

Bloquer l'attribution d'un adresse IP via le DHCP en banissant son adresse MAC n'est pas envisageable ?
Sinon, y a moyen de jouer avec le firewall suivant le produit que vous utilisez.


---------------
Pixel mort -> .
Reply

Marsh Posté le 25-01-2017 à 15:59:07    


Dans ta solution il faut connaitre l'adresse MAC par avance pas évident.  
 
La solution que je vois c'est du 802.1X, si une personne se connecte sur ton réseau ils vont devoir s'identifier pour obtenir une adresse IP. Le seule soucis, il faut que tes switchs le proposent déjà :)

Reply

Marsh Posté le 25-01-2017 à 16:46:49    

Le dhcp distribue automatiquement la config proxy, ou bien est ce une GPO ? (ou les 2?)
 
Si tu ne laisse qu'une GPO pour définir les accès au proxy, un extérieur qui se branche devra connaitre l'adresse du proxy pour se connecter. C'est pas parfait mais c'est un début.
Pour vraiment filtrer, tu peux rajouter une authentification login/password sur ton proxy.
 
..et bloquer les accès de tous les postes sauf le proxy vers internet dans ton firewall. (obviously ;))

Reply

Marsh Posté le 25-01-2017 à 17:03:53    

npuel a écrit :

Le dhcp distribue automatiquement la config proxy, ou bien est ce une GPO ? (ou les 2?)
 
Si tu ne laisse qu'une GPO pour définir les accès au proxy, un extérieur qui se branche devra connaitre l'adresse du proxy pour se connecter. C'est pas parfait mais c'est un début.
Pour vraiment filtrer, tu peux rajouter une authentification login/password sur ton proxy.
 
..et bloquer les accès de tous les postes sauf le proxy vers internet dans ton firewall. (obviously ;))


 
humm oui idée très intéressante surtout la dernière, je n'y avais pas pensé.  :jap:

Reply

Marsh Posté le 26-01-2017 à 11:48:46    

Citation :

Bloquer l'attribution d'un adresse IP via le DHCP en banissant son adresse MAC n'est pas envisageable ?
Sinon, y a moyen de jouer avec le firewall suivant le produit que vous utilisez.


 
+1 mais en version whitelist
 
N’importe quel serveur DHCP même les plus simple sont capable de ne pas donner un adresse ip a un poste dont la mac ne fais pas partie d'une liste
du coup ton boulot c'est de lister tout les mac des periph qui font réellement partie de ton domaine et de les coller la ou il faut
et tu laisse le dhcp faire le tri
 
Nota : on fait ça chez nous.
 
 
Plus dinfo :
https://technet.microsoft.com/fr-fr [...] s.11).aspx
 
Autre gestion plus poussé :
Via NAC (Network Access Control). (logiciel sur les poste client du domaine)
Via Vlan filtrant par mac un vlan d'acceuil pour les inconnu (hotspot ), un vlan domaine pour les mac connu.


Message édité par exmachina le 26-01-2017 à 12:45:19
Reply

Marsh Posté le 26-01-2017 à 11:56:02    

Si sur le DHCP, tu met une passerelle à la noix mais que tes collègues gardent la configuration du proxy, c'est grave ?


Message édité par Omar Cheifrai le 26-01-2017 à 12:08:06

---------------
rien | http://www.radiomeuh.com
Reply

Marsh Posté le 26-01-2017 à 14:19:42    

autorise juste le proxy à se connecter à internet, pas les PC et du coup force l'utilisation du proxy sur les postes et utilise un proxy qui fait de l'authentification

Reply

Marsh Posté le 26-01-2017 à 14:19:42   

Reply

Marsh Posté le 26-01-2017 à 17:25:40    

Je@nb a écrit :

autorise juste le proxy à se connecter à internet, pas les PC et du coup force l'utilisation du proxy sur les postes et utilise un proxy qui fait de l'authentification


 
Oui je pense me diriger vers cette solution ..
 
 
Je vais quand même vérifier s'il n'y a rien qui accède au net sans proxy.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed