Quelqu’un connaitrait-il un utilitaire, un script ou n’importe quoi pour détecter un conflit d’adresse IP, ou plus précisément, trouver quel poste responsable d’un conflit d’adresse IP dans un réseau ?
Par arp et compagnie, ok, mais c’est surtout pour une personne qui n’y connaît pas grand chose en nainfaurematike.
Dans un réseau d’entreprise, certaines personnes connectent en effet souvent leur poste avec un PC configuré avec une IP fixe, ce qui fout souvent une panique monstre…
Sinon la question subsidiaire : c’est comment peut-on éviter ces conflits, à part éduquer les utilisateurs ? Refuser l’accès au réseau aux IP fixes ? Un truc du genre…?
dans mon iut, y’avait un filtre d’adresse MAC, si ta MAC n’était pas dans la liste, impossible d’obtenir quoi que ce soit, même pas une IP du dhcp. Bon, après dans ma promo (la seule formation informatique de l’iut), on savait spoofer une adresse MAC donc ca nous gênait pas trop…
Voui, j’ai pensé à ça, mais ça me semble assez contraignant… simplement à cause du fait que pas mal de personnes apportent leur propre portable. Ce qui n’est finalement pas si rare contrairement à ce que j’ai dis précédemment.
Devoir enregistrer l’adresse mac à chaque fois que quelqu’un amène un nouveau portable… peut-être pas l’idéal.
Et pour contrer le “spoofing MAC” (s’il s’agit vraiment de spoofing et pas juste de changer sa mac) de ping.yang il suffit de faire du DAI. Et meme sans cela un bonne admin réseau le détectera sans trop de souci. Il est loin déjà le temps où il fallait un fer a souder pour modifié sa MAC ;).
Pour revenir au sujet le pire scénario possible est que tu es un conflit dans des sous réseaux différents rendu possible par le chevauchement de masque.
Si tu n’as qu’un seul sous réseau il faut que la personne est de la chance pour avoir en fixe si personne ne lui donne la bonne gateway et le bon masque.
Il y a de nombreuse solution plus ou moins complexe (Port Miroring + sniffer, analyse de la FIB, arp -a … )
Sur du sans fil c’est encore différent va plutot voir du coté du contrôleur et filtre par MAC.
Le plus simple pour éviter ce genre de problème changer le masque de sous réseau (/23 par exemple) ou l’adresse de gateway . Sinon lui donner une IP en dehors du pool DHCP.
Hein? “Ça nous nous gênait pas trop” ?.. Tu veux dire que vous le faisiez sans sanction ni rien pour brancher vos propres machines persos au réseau filaire? Tu parles bien de le faire dans les salles dans ton iut et pas juste dans les chambres étudiantes?
Parce que dans mon iut ça ne se passait pas comme ça : les techniques de contournement du port security et du DAI (pour peu qu’on débranche le poste “legit” et qu’on respecte le bon couple ip/mac ) marchaient bien, mais il fallait mieux pas essayer. La seule fois où j’ai vu quelqu’un essayer, dès que les admins ont découvert le pot au rose (c’est à dire pas longtemps) , ça c’est finit en conseil de discipline et exclusion définitive. :paf:
Tu m’étonnes. Dans mon cas le réseau devait très bien monitorés car les admins étaient étrangement… réactifs: je les ai vu débouler dans la salle info ~5 minutes après que le petit malin ait utilisé la technique.
Edité le 25/05/2013 à 20:35
Alors pour le mac spoofing, ou le changement d’adresse mac, car c’est vrai que c’était pas, au sens de l’art, du mac spoofing qu’on faisait, mais j’aime bien faire court. Bref, non nous n’avons jamais été inquiétés, car ce qu’il a fait lorsqu’il s’est rendu compte qu’on faisait ça les premiers jours, c’est nous engueuler gentiment… puis nous installer un routeur wifi ! En fait il nous a dit que plutôt que de foutre le bordel, il aurait été plus intelligent de demander ça - ce qui est vrai ma foi. Faut dire c’était un vieux monsieur, un dinosaure de l’informatique, très sympa et accessible. On a donc eu droit a un wifi avec un serveur radius dans notre salle d’étude (l’année suivante quand même). Bref, la répression, toujours la répression… alors qu’il suffit de donner aux gens ce qu’ils demandent. De plus, s’il fallait virer tous ceux ayant fait la petite manip, ils auraient alors dû virer la futur major promo
Tiens, d’ailleurs que penses tu de cette idée ? Le serveur radius derrière la borne wifi ?
Perso je préfére largement un TACACS+ qu’un RADIUS au niveau de la sécurité (meme si c’est propriétaire Cicso), le premier très peu sécurisé et très souvent mal mis en place ouvrant de nombreux angle d’attaque alors qu’un TACACS+ est déja bien plus robuste de base.
Pour le serveur RADIUS derriere la borne c’est pas top car le mieu c’est d’utilisé des vlan différent pour les 2.
Après tu peut compléter le duo avec l’ajout’dun proxy , de redirection coté FW et de PBR.
Edité le 27/05/2013 à 20:34
