Empêcher l'accès au réseau à tout nouveau PC non autorisé

[edal]

Bonjour,
Je suis actuellement en Afrique de l'ouest et gère un réseau de 8 PC (4 Seven, 1 Vista et le reste sous XP SP3)
- Il n'y a aucun serveur ou PC dédié à cette fonction.
- L'équipement est basique et composé d'un routeur TP-LINK TD-8810, de 4 switchs WT-3116P et une imprimante réseau HP4500
- 5 bureaux :
Bureau N°1 : Routeur + SWITCH1 + 1 PC Seven
Bureau N°2 : 1 PC XP relié directement à la prise murale RJ45
Bureau N°3 : 3 PC (1 Seven et 2 XP) + HP4500 via SWITCH2
Bureau N°4 : 1 PC XP relié directement à la prise murale RJ45
Bureau N°5 : 2 PC Seven via SWITCH4

Jusque là, aucune restriction sur l'accès internet mais il y a eu des virus, abus de download, de surf sur facebook, youtube, bande passante quasi inexistante lorsque le DG en avait besoin alors il a dit STOP. Bloquer l'accès internet aux bureaux 4 et 5 et empêcher tout nouvel accès non autorisé au réseau car j'ai lancé une requête arp qui m'a permis de me rendre compte que certains ramènent des laptop et se connectent au réseau avec tous les risques que cela comporte.

Je me pencherai plus tard sur le blocage de l'accès internet des bureaux 4 et 5. Pour le moment, comment limiter l'accès au réseau UNIQUEMENT aux ordinateurs de l'entreprise? (Plus important en terme de sécurité)
Comme indiqué en début de post, nous ne disposons pas d'un serveur donc les authentifications type 802.1X et compagnie ce n'est même pas la peine. En plus trop cher à mettre en place pour la petite structure que nous sommes.

La "solution" que j'envisageais est
1- réduire le nombre d'IP attribuable via le masque de sous-réseau (255.255.255.240) soit 14 IP si mes calculs sont bons.
2- assigner à chaque adresse MAC (9 au total donc gérable) une adresse IP qui sera attribué par le serveur DHCP du routeur.
Mais voilà, il restera encore 5 IP disponibles. Même en limitant la plage d'adresses réservée au serveur DHCP de 0.1 à 0.9, un petit malin pourra toujours ramener son pc, configurer une adresse IP fixe parmi les 5 disponible et se connecter sans aucun souci.

Mes recherches depuis quelques jours n'aboutissent à rien correspondant à une telle configuration de réseau alors je m'en remets à tout avis du forum. A moins qu'il ne soit possible de limiter le nombre de PC autorisé à se connecter à un petit réseau local . Dans ce cas, toute autre proposition au vu de la configuration sera la bienvenue.

Merci.

[compte-supprime666]

Salut,


Où est le problème? tu limites le nombre de PC dans DHCP, IP locale fixe soudée à l'adresse MAC, mot de passe fort d'accès à la configuration du routeur et c'est bon.

[edal]

Salut Justin,

Pour DHCP, Plage d'adresses IP comprise entre 192.168.0.1 et 192.168.0.8 associée aux adresses MAC donc pas de souci à ce niveau.
Mais quand je prend un portable et que je rentre en local une IP fixe 192.168.0.10 par exemple avec le masque et la passerelle (suffit de lancer un ipconfig /all depuis un pc qui dispose de l'accès au réseau pour obtenir ces infos), je me connecte au réseau sans problème. Voilà le problème

[compte-supprime666]

C'est bien étonnant, il y a un pare feu sur ton routeur? tu es sûr du bon fonctionnement de ton TP-LINK TD-8810? peut être pas possible avec ce modèle.

[edal]

Le net et la disponibilité de la connexion par ici c'est toute une histoire

il y a un pare feu sur ton routeur?

oui je peux autoriser-bloquer du trafic TCP/UDP/ICMP sortant et/ou entrant WAN<->LAN

tu es sûr du bon fonctionnement de ton TP-LINK TD-8810?

Je l'ai flashé (dernier firmware) ce weekend et actuellement aucun autre PC ne peut obtenir une adresse IP du serveur DHCP sans avoir son adresse MAC enregistrée au préalable donc le routeur est OK

peut être pas possible avec ce modèle.

Qu'est-ce qui ne serait pas possible?

[compte-supprime666]

"Je l'ai flashé (dernier firmware) ce weekend et actuellement aucun autre PC ne peut obtenir une adresse IP du serveur DHCP sans avoir son adresse MAC enregistrée au préalable donc le routeur est OK"

C'est bon donc?


"Qu'est-ce qui ne serait pas possible?"

Exclure de la plage DHCP, peut être que ton routeur réduit mais n'exclut pas.

[edal]

Je dois mal m'exprimer. Côté DHCP, c'est ok. Le routeur DHCP est limité à 9 adresses IP et il les attribue aux adresses MAC respectives : PAS DE SOUCI.
Si je viens avec un nouveau pc et que je vais dans "Centre réseau et partage - Connexion réseau local - Propriétés - TCPIP et que je rentre en dur une adresse IP (192.168.0.10+masque+passerelle) rien ne m'empêche d'accéder au réseau; ce qui dans un sens est normal puisque je n'ai agis que sur le serveur DHCP. Or ce dernier pc ne passe pas par DHCP.
Je précise qu'il n'est pas possible de bloquer les propriétés de la carte réseau car ce ne sont pas des postes de l'entreprise donc ces user sont admin de leurs pc.

[compte-supprime666]

"Je dois mal m'exprimer. "


Tout comme moi, sur un routeur digne de ce nom, on peut exclure de la plage DHCP toute nouvelle entrée, avec IP locale fixe et bail permanent, et non délimiter la plage DHCP, ce qui n'empêche pas de rentrer un PC en dehors de celle ci.

Avec Windows pro ça se fait, heureusement d'ailleurs. En fait pour ton problème, à part changer de routeur, je ne vois pour l'instant que créer une liste d'exclusion d'IP locales dans le pare feu du routeur, du genre bloquer tout - protocole TCP UDP - entrées - sorties de 192.168.1.15 à 192.168.1.50 vers 192.168.1.1 (routeur), si la plage maximum est 192.168.1.10 à 192.168.1.50, et les PC autorisés de 192.168.1.10 à 192.168.1.14, est ce possible chez toi je n'en sais rien, si oui à tester, ils pourront peut être se rentrer, mais pour surfer tintin.

[slick]

Bonjour,

le plus simple si tu maitrise un tant sois peu les unix ou linux:
-tu crées une machine virtuelle dans TA machine en mode bridge pour la partie réseau
-tu installe Squid et SquidGuard
-tu te sers de cette machine pour initialiser la connexion internet et non pas en tant que routeur
- tu mets cette machine virtuelle en tant que passerelle

et tu bloques tout ce que tu ne veux pas avec en plus le moyen de gérer les connexions celon les heures, les postes ou les protocoles.

Bon, le mieux serait de récupérer une machine physique hein, mais là, tu as une solution nickel.
Si tu veux gratter cette solution, je te file les liens adéquats.

Bye