Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Interdire la modification de l'adresse IP d'une carte réseau

ln2004seii

Par ln2004seii
dans Internet & Réseaux

 Partager

Messages recommandés

ln2004seii Junior Member

ln2004seii

Posté(e)
Posté(e)

salut, je travail au sein d'une entreprise, ma fonction est administrateur reseau, pour commencer, je vais donner des informations sur notre reseau: on a un lan, qui passe par un firewall, puis un routeur, puis le modem et enfin une ls.

On n'a pas de domaine, chaque employé a le droit d'un administtrateur sur son ordinateur. Mon probleme consiste à ce qui suit: apres une fraude d'un employé, on a décidé d'empecher ce dernier d'acceder à internet. Pour ce fait j'ai ajouter une regle dans le firewall pour empecher son adresse ip de sortirau wan, mais le probleme qui est survenu qu'il change son adresse ip et il se connecte a internet, la solution que je voit consiste à lui interdire de changer son adresse ip on modifiant quelque chose dans la base de registre si quelqu'un sait comment on le fait je le prie de me faire apprendre et merci d'avance.

Pang Godlike Member

Pang

Posté(e)
Posté(e)

Salut.

 

:P

 

Laisser les droits administrateurs à des utilisateur au sein d'un réseau qu'il soit en worgroup ou en domaine est la première chose évidente à ne pas faire et c'est par la que tu commences.

Tu es donc très mal barré pour la suite de ton exercise d'administrateur réseau, surtout s'il y a des petit malins dans l'entreprise (je peux t'assurer qu'il y en a toujours un !)

 

C'est pas du bon boulot ça... désolé.

 

Cordialement.

KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)

1) Partant du principe qu'il a le contrôle de son poste, il est vain de tenter quoi que ce soit dessus puisqu'il pourra afcilement faire l'inverse !!

 

2) La seule chose qu'on ne puisse pas changer, c'est l'adresse MAC (bon, ok, on peut mais avec quelques efforts supplémentaires...) donc il faudrait filtrer par adresse MAC et non par adresse IP dans le firewall et/ou le routeur.

 

3) Je suis d'accord avec ceux qui précisent que, lorsqu'on a la charge d'un parc informatique, soit on a une confiance aveugle en ses utilisateurs, soit on les considère comme ce qu'ils sont : des utilisateurs (donc on se met en 4 pour leur fournir un outil de travail qui contient tout ce qu'il faut pour être productif, mais on leur retire les droits administrateur !). Sachant que c'est TOI qui as la responsabilité du parc, sachant que tes utilisateurs sont de potentiels filous, je comprends mal comment tu as pu laisser passer ça...

ln2004seii Junior Member

ln2004seii

Posté(e)
  • Auteur
Posté(e)
1) Partant du principe qu'il a le contrôle de son poste, il est vain de tenter quoi que ce soit dessus puisqu'il pourra afcilement faire l'inverse !!

 

2) La seule chose qu'on ne puisse pas changer, c'est l'adresse MAC (bon, ok, on peut mais avec quelques efforts supplémentaires...) donc il faudrait filtrer par adresse MAC et non par adresse IP dans le firewall et/ou le routeur.

 

3) Je suis d'accord avec ceux qui précisent que, lorsqu'on a la charge d'un parc informatique, soit on a une confiance aveugle en ses utilisateurs, soit on les considère comme ce qu'ils sont : des utilisateurs (donc on se met en 4 pour leur fournir un outil de travail qui contient tout ce qu'il faut pour être productif, mais on leur retire les droits administrateur !). Sachant que c'est TOI qui as la responsabilité du parc, sachant que tes utilisateurs sont de potentiels filous, je comprends mal comment tu as pu laisser passer ça...

je suis totalement d'accord avec vous, en ce sui conserne le droit administrateur, c'est impossible de le retirer. Pour le filtre par adresse mac il n'est pas aussi valide car on peut changer l'adresse mac, et ausi la manipulation du firewall n'est pas aussi evidente que ça surtout qu'il est un pix cisco, c'est pour cela et pour empecher toute modification des adresses soit ip ou mac il faut desactiver l'eelemnt propriété de la carte réseau via la base de registre.

Berfizan Godlike Member

Berfizan

Posté(e)
Posté(e) (modifié)

Si tu es admin réseau et que tu ne peux pas gérer les droits sur les postes de travail ( ce qui me semble un comble à) c'est au boss de ta boite de filer un pain bien costaud à l'employé qui fraude ??

 

 

Sinon, ne te donnant pas les droits et ne sanctionnant pas il ouvre la porte au bordel.

 

Ps : Pourquoi est-ce impossible de retirer les droits admin ?

Modifié par Berfizan
janus2fr Godlike Member

janus2fr

Posté(e)
Posté(e)
Ps : Pourquoi est-ce impossible de retirer les droits admin ?

 

Certaines applications ne fonctionnent qu'avec les droits d'administrateur locaux. C'est peut-être pour ça ? J'ai ce problème dans ma boite, notre CAO ne peut fonctionner qu'en administrateur local de la machine (heureusement pas du domaine !). Je suis donc obligé de laisser des droits d'administrateur sur les postes CAO (et uniquement ceux là).

Amitiés

Janus

KewlCat Devil Member !

KewlCat

Posté(e)
Posté(e)
c'est pour cela et pour empecher toute modification des adresses soit ip ou mac il faut desactiver l'eelemnt propriété de la carte réseau via la base de registre.
Quel interêt, puisque la manip, l'employé en question peut la défaire aussi facilement que toi tu peux la faire ?

A partir de là, y'a plus trop le choix, il faut prendre des sanctions envers l'employé en question (avertissement, mise à pied, ce que vous voulez en fonction des conneries qu'il a faites avec l'outil de travail que la boite a mis à sa disposition - pour travailler !).

Techniquement, ça se complique : s'il est possible de modifier facilement l'adresse MAC de son matos sous Windows, alors il faut forcer le mode DHCP, n'autoriser qu'une liste restreinte d'adresses MAC auxquelles sont attribuées une et une seule adresse IP, et filtrer tout ce qui tombe en-dehors (adresse MAC absente de la liste et adresse IP absente de la liste). S'il parvient encore à emprunter l'adresse MAC d'un autre poste non utilisé pour obtenir une IP qui a accès au Net, là, je ne vois pas trop ce qu'il est possible de mettre en place...

Tu as déjà un proxy qui filtre tout ce qui n'est pas "boulot" ? Ou mieux : un proxy authentifiant ? :-D

D'ailleurs... à ce propos... Il existe des firewalls authentifiants, non ? Ca pourrait être la solution (avec comme consigne : si jamais vous fournissez votre identifiant à qqu'un, vous serez également tenu pour responsable de ses actions)...

http://www.nufw.org/-Francais-.html

 

Au passage...

la manipulation du firewall n'est pas aussi evidente que ça surtout qu'il est un pix cisco,
Je vais te sembler vache, mais c'est ton boulot, ça... Compliqué ou pas... Tu ferais bien de demander à ton boss une formation sur ce matériel si tu n'es pas en mesure de le manipuler correctement (c'est con de débourser des centaines de milliers d'euros dans du matos haut-de-gamme si c'est pour ne l'utiliser qu'à 1% de ses capacités faute de connaissances... à ce compte-là, autant se contenter d'avoir un bête hub et de configurer le firewall de la livebox pro !!)
  • Tonton a modifié le titre en Interdire la modification de l'adresse IP d'une carte réseau

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...