j’ai deja travailler dans une société où lorqu’une personne arrivé avec un protable elle devais d’abord ce déclarer avant de pouvoir ce connecter sur le reseau de l’entreprise même en filaire sinon pas d’acces au réseau !
j’aimerai renouveler la même choses dans mon entreprise mais je ne sais pas comment faire…
j’ai chercher sur le net et on me parle de routeur etc nouveaux qui sont tres bien (j’etait en 2002 dans cette société)
donc connaisser vous une solution logciel ou matériel pour pouvoir faire ce genre de choses :
empeché la connexion filaire un ordinateur portable tant que l’adresse MAC n’est pas déclaré…
please Help Me !
merci d’avance ! :jap:
Edité le 08/01/2010 à 11:28
SUr les pages de ton routeur du doit pouvoir faire un filtrage mac positif (autorisés) ou négatif (interdits)
Positif tu dois déclarer tous les PC connus et autorisés (si il y en as 200 c’est dur) et aucun autre ne peut se connecter
Négatif, il te faut l’adresse mac du gars que tu ne veux pas connecter … en filaire ou wifi
Toi c’est plutôt tu dois tout déclarer toutes tes adresses mac de tous tesPC j’espère tu n’en as pas trop …
A+
tu veux dire qu’un pc non déclaré ne recoivent pas d’ip ?
tu reserve toutes les ip de ton pool dhcp avec des mac bidon style 000000000001, puis 2 etc…
et quand quelqu’un a besoin d’une ip sur ton réseau et bien tu change la mac d’une ip par la mac de l’ordi.
Ceci dit si le type s’y connais rien ne l’empechera d’entrer une ip valide sur ton réseau pour etre sur le réseau.
Si tu veux plus sécuriser, selon les switch en place tu peux limiter le nombre de mac-adresse par port ou meme spécifier une mac adresse par port.
Je crois que tu peux aussi mettre en place un serveur qui dira aux switchs quelles mac adresses sont acceptées, mais je ne saura pas t’en dire plus sur la facon de mettre ce type de serveur en place.
Si tu n’as pas la main sur ton router FT… le plus simple est de t’acheter un petit router netgear, Linksys, D-Link,… et configurer le filtrage des adresses MAC (prix… 50-100 euro)
ou tu peux faire les choses bien et tu t’achètes un Switch pro (Cisco, HP Pro Curve, Juniper) et tu le configures entièrement (prix 100 euro sur ebay à plusieurs milliers (toujours pour les plus petits et simples))
La solution que boss50 suggère avec un serrveur c’est du TACACS ou RADIUS mais ça ne marche qu’avec les switch, router et firewalls Pro
Tu as encore une possibilité en montant un serveur avec toutes les fonctions (controleur de domaine, autentification et autres) dans ce cas, tous les PCs viennent à lui pour s’autentifier et gagner l’accès au réseau (tant que l’utilisateur n’a pas été autentifié par le serveur il ne peut communiquer avec rien d’autre (prix quelques milliers d’euro)
tu aurai des pistes sachant que j’ai deja un serveur AD avec tous les rolles et derniere des switch HP procurve. par contre je voudrais que tout mes PC se connecter normalment (sans ralentissement reseau) et par contre juste les etranger serait bloqué et devrais s’authentifier…
Je pense que si tu utilises un domaine Windows et des HP Pro Curve la solution la plus simple soit d’activer le 802.1X sur les switch et de le relier à ton Serveur AD
c’est tres interessant tous cela… donc si j’active cela je serais obliger d’authentifier tout les PC et imprimante et activé se protocole. par contre je comprend pas comment se fait l’authentification… une machine connue peux se connecter automatique ? et avec une machine non connue l’user doit entree des identifiants ?
en gros tu identifies ta machine par login user (lorsque le PC est allumé il te demande ton username/password qui sont contrôlés sur ton AD via le serveur RADIUS (ou TACACS) qui fait de relais et te donne les droits de connection au PC et au réseau.
Les imprimantes ne s’autentifiant (normalement) pas il te faut soit les mettre dans un VLAN non protégé, soit leur attribuer un print server qui supporte le 802.1x.
Il se peut, mais je ne suis de loin pas certain, que, comme les imprimantes ne font que reçevoir des informations elles se comportent de façon passive et n’aient pas besoin de s’autentifier pour reçevoir des données (à vérifier)
pas forcément… tu peux tout faire avec 1 seul VLAN (celui pas défaut)
Mettre en place des VLAn n’est cependant jamais une mauvaise idée
Et comme ça tu peux mettre les imprimantes sur 1 VLAN non protégé par le 802.1x avec une ACL qui bloque la sortie sur le réseau externe de ce VLAN et mettre les PCs sur un autre VLAN protégé par 802.1x qui donne accès au net
