Interdire des accès à Internet

Le
Michelot
Bonsoir,

Je tente d'laborer un exercice de gestion de projet : une PME
spcialise dans la fabrication de jouets lectroniques dmnage
et rinstalle son LAN dans les nouveaux locaux d'une zone
industrielle.

La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent accder Internet, et d'autres non.

Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'accs au
navigateur, soit faire une diffrenciation par numro de VLAN.

Quel principe utiliseriez-vous ?
Merci pour votre avis.
Michelot
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Sylvain Charron
Le #807808
Bonsoir

Bonsoir,

Je tente d'élaborer un exercice de gestion de projet : une PME
spécialisée dans la fabrication de jouets électroniques déménage
et réinstalle son LAN dans les nouveaux locaux d'une zone
industrielle.

La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent accéder à Internet, et d'autres non.

Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'accès au
navigateur, soit faire une différenciation par numéro de VLAN.


Le filtrage par VLAN peut apporter d'autre contrainte:

- acces aux applications commune
- echange de fichier inter poste (bien que se soit bien de le bloquer ;-)


quelques pistes:

- adressage IP fixe avec filtrage par IP
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre
en oeuvre)


Bon courrage

Sylvain

nwjb
Le #810207
Le Mon, 24 Jul 2006 23:41:06 +0200, Benoit Leraillez

Sylvain Charron
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre
en oeuvre)


À la place de l'adresse MAC on peut aussi mettre une string (donc le
nom de l'utilisateur) et dans le client DHCP et dans le serveur. Cela a
l'avantage de pouvoir changer la machine d'un utilisateur sans changer
quoi que ce soit sur le serveur.




Proxy
ou
Parefeu sur routeur sur @IP

--
J.Bratières

Enlever paspub pour répondre
Please remove paspub when answering


Michelot
Le #810206
Bonjour Sylvain, Benoit et Jacques,

Merci pour vos indications et autres solutions. Mon cas est théorique,
je cherchais à être proche des contraintes opérationnelles que vous
connaissez ou rencontrez.

[Sylvain] Le filtrage par VLAN peut apporter d'autre contrainte:

- acces aux applications commune
- echange de fichier inter poste (bien que se soit bien de le bloquer ;-)


Ces actions sont restreintes aux membres du groupe d'un même réseau
VLAN. En lançant un FTP sur une machine d'un autre VLAN, on peut
bloquer par le filtrage.

[Sylvain] - adressage IP fixe avec filtrage par IP
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre
en oeuvre)


Le 2ème point est donc un moyen d'avoir son IP fixe en utilisant DHCP
et, comme le précise Benoit, on peut remplacer l'adresse MAC de
l'utilisateur par un string de 6 caractères.

[Jacques] Proxy ou Parefeu sur routeur sur @IP


C'est une variante plus personnalisée de mon idée (toute théorique)
de parefeu sur routeur sur VLAN id, bien que l'on pourrait attribuer un
VLAN id unique à quelques utilisateurs ! Mais ce serait probablement
compliquer bien inutilement.

Cordialement,
Michelot

Pascal Hambourg
Le #810205
Salut,


La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent accéder à Internet, et d'autres non.


Utilisateurs ou stations ?
"Internet", ça recouvre quoi exactement ? Connectivité IP au sens large
ou seulement accès à des types de services particuliers (web, FTP...) ?

Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'accès au
navigateur, soit faire une différenciation par numéro de VLAN.

Quel principe utiliseriez-vous ?


Je suppose que le LAN est en adressage privé. Si l'accès à internet est
alloué par station :
- VLAN si ça n'interfère pas trop avec les besoins de communication
interne des stations.
- Filtrage par adresse IP, à condition de pouvoir identifier chaque
station par son adresse (adressage statique ou DHCP avec identifiant).
- Filtrage par adresse MAC, pénible à mettre en place et à maintenir.

Si l'accès à internet est alloué par utilisateur :
- A moins que les stations soient "verrouillées" (contrôle strict des
applications qu'un utilisateur peut exécuter) interdire l'accès au seul
navigateur n'empêchera pas l'accès à internet avec d'autres logiciels
"communicants", voire un navigateur alternatif.
- Accès par proxy HTTP ou SOCKS avec authentification de l'utilisateur,
si les applications sont compatibles.
- Pare-feu sur chaque station qui contrôle l'accès à internet des
applications en fonction de l'utilisateur.

Michelot
Le #810204
Bonjour Pascal,

La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent accéder à Internet, et d'autres non.


Utilisateurs ou stations ?


Merci pour la remarque subtile (qui n'est pas finalement). J'opterai
pour station.

"Internet", ça recouvre quoi exactement ? Connectivité IP au sens lar ge
ou seulement accès à des types de services particuliers (web, FTP...) ?


Dans votre liste de choix, ce sera connectivité IP au sens large, tout
type de service.

Je suppose que le LAN est en adressage privé. Si l'accès à internet est
alloué par station :
- VLAN si ça n'interfère pas trop avec les besoins de communication
interne des stations.
- Filtrage par adresse IP, à condition de pouvoir identifier chaque
station par son adresse (adressage statique ou DHCP avec identifiant).
- Filtrage par adresse MAC, pénible à mettre en place et à mainteni r.


Merci pour l'argumentaire qui complète aussi les précédentes
interventions. On comprend bien, finalement, la distinction entre les
éléments du couple station-utilisateur.

Cordialement,
Michelot


Michelot
Le #810202
Bonjour Benoit,

Autant que je sache la string n'est pas limitée à 6 caractères ASC II
(61 si j'ai bien compris la RFS 2132) ce qui permet d'être plus simple
quant au « nom » de la machine pour le DHCP (hostettler par exemple).


Sgoink ! mes 6 caractères se trouvaient en lieu et place de l'adresse
MAC mais ce n'est pas du tout cela.

La RFC 2132 que vous mentionnez spécifie le code 61 pour l'option
d'identification du client, option dans la queue des paquets DHCP
échangés. Apparemment le format des options est presque TLV
(étiquette 61, longueur sur 1 octet, variable précédée d'un champ
type).

Donc, a priori, la longueur max de l'identificateur serait 254
caractères, en retirant l'octet type.

Cordialement,
Michelot

John Deuf
Le #810200
Michelot :

Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'accès au
navigateur, soit faire une différenciation par numéro de VLAN.

Quel principe utiliseriez-vous ?


Firewall matériel situé avant la connexion Internet. Configuré pour
bloquer tout sauf certaines machines selon leur nom. Les noms de machines
sont résolues par le firewall en consultant le DNS du réseau.

Pratique et facile : dès que tu veux donner accès à Internet à une
machine, tu rajoutes son nom dans la liste. Gestion centralisée, pas
besoin d'IP fixe ou d'adresse MAC.

--
John Deuf

Poster une réponse
Anonyme