Je tente d'=E9laborer un exercice de gestion de projet : une PME
sp=E9cialis=E9e dans la fabrication de jouets =E9lectroniques d=E9m=E9nage
et r=E9installe son LAN dans les nouveaux locaux d'une zone
industrielle.
La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent acc=E9der =E0 Internet, et d'autres non.
Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'acc=E8s au
navigateur, soit faire une diff=E9renciation par num=E9ro de VLAN.
Quel principe utiliseriez-vous ?
Merci pour votre avis.
Michelot
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Sylvain Charron
Bonsoir
Bonsoir,
Je tente d'élaborer un exercice de gestion de projet : une PME spécialisée dans la fabrication de jouets électroniques déménage et réinstalle son LAN dans les nouveaux locaux d'une zone industrielle.
La partie usine comporte 50 stations de travail. Certains utilisateurs peuvent accéder à Internet, et d'autres non.
Je ne suis pas expert de ceci, mais il me semble que 2 solutions peuvent s'offrir pour cette fonction : soit interdire l'accès au navigateur, soit faire une différenciation par numéro de VLAN.
Le filtrage par VLAN peut apporter d'autre contrainte:
- acces aux applications commune - echange de fichier inter poste (bien que se soit bien de le bloquer ;-)
quelques pistes:
- adressage IP fixe avec filtrage par IP - DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre en oeuvre)
Bon courrage
Sylvain
Bonsoir
Bonsoir,
Je tente d'élaborer un exercice de gestion de projet : une PME
spécialisée dans la fabrication de jouets électroniques déménage
et réinstalle son LAN dans les nouveaux locaux d'une zone
industrielle.
La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent accéder à Internet, et d'autres non.
Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'accès au
navigateur, soit faire une différenciation par numéro de VLAN.
Le filtrage par VLAN peut apporter d'autre contrainte:
- acces aux applications commune
- echange de fichier inter poste (bien que se soit bien de le bloquer ;-)
quelques pistes:
- adressage IP fixe avec filtrage par IP
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre
en oeuvre)
Je tente d'élaborer un exercice de gestion de projet : une PME spécialisée dans la fabrication de jouets électroniques déménage et réinstalle son LAN dans les nouveaux locaux d'une zone industrielle.
La partie usine comporte 50 stations de travail. Certains utilisateurs peuvent accéder à Internet, et d'autres non.
Je ne suis pas expert de ceci, mais il me semble que 2 solutions peuvent s'offrir pour cette fonction : soit interdire l'accès au navigateur, soit faire une différenciation par numéro de VLAN.
Le filtrage par VLAN peut apporter d'autre contrainte:
- acces aux applications commune - echange de fichier inter poste (bien que se soit bien de le bloquer ;-)
quelques pistes:
- adressage IP fixe avec filtrage par IP - DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre en oeuvre)
Bon courrage
Sylvain
nwjb
Le Mon, 24 Jul 2006 23:41:06 +0200, Benoit Leraillez a écrit:
Sylvain Charron wrote:
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre en oeuvre)
À la place de l'adresse MAC on peut aussi mettre une string (donc le nom de l'utilisateur) et dans le client DHCP et dans le serveur. Cela a l'avantage de pouvoir changer la machine d'un utilisateur sans changer quoi que ce soit sur le serveur.
Proxy ou Parefeu sur routeur sur @IP
-- J.Bratières
Enlever paspub pour répondre Please remove paspub when answering
Le Mon, 24 Jul 2006 23:41:06 +0200, Benoit Leraillez
<benoit.sansspam@leraillez.sansspam.com> a écrit:
Sylvain Charron <sylvain.charron@mwsp.fr> wrote:
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre
en oeuvre)
À la place de l'adresse MAC on peut aussi mettre une string (donc le
nom de l'utilisateur) et dans le client DHCP et dans le serveur. Cela a
l'avantage de pouvoir changer la machine d'un utilisateur sans changer
quoi que ce soit sur le serveur.
Proxy
ou
Parefeu sur routeur sur @IP
--
J.Bratières
Enlever paspub pour répondre
Please remove paspub when answering
Le Mon, 24 Jul 2006 23:41:06 +0200, Benoit Leraillez a écrit:
Sylvain Charron wrote:
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre en oeuvre)
À la place de l'adresse MAC on peut aussi mettre une string (donc le nom de l'utilisateur) et dans le client DHCP et dans le serveur. Cela a l'avantage de pouvoir changer la machine d'un utilisateur sans changer quoi que ce soit sur le serveur.
Proxy ou Parefeu sur routeur sur @IP
-- J.Bratières
Enlever paspub pour répondre Please remove paspub when answering
Michelot
Bonjour Sylvain, Benoit et Jacques,
Merci pour vos indications et autres solutions. Mon cas est théorique, je cherchais à être proche des contraintes opérationnelles que vous connaissez ou rencontrez.
[Sylvain] Le filtrage par VLAN peut apporter d'autre contrainte:
- acces aux applications commune - echange de fichier inter poste (bien que se soit bien de le bloquer ;-)
Ces actions sont restreintes aux membres du groupe d'un même réseau VLAN. En lançant un FTP sur une machine d'un autre VLAN, on peut bloquer par le filtrage.
[Sylvain] - adressage IP fixe avec filtrage par IP - DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre en oeuvre)
Le 2ème point est donc un moyen d'avoir son IP fixe en utilisant DHCP et, comme le précise Benoit, on peut remplacer l'adresse MAC de l'utilisateur par un string de 6 caractères.
[Jacques] Proxy ou Parefeu sur routeur sur @IP
C'est une variante plus personnalisée de mon idée (toute théorique) de parefeu sur routeur sur VLAN id, bien que l'on pourrait attribuer un VLAN id unique à quelques utilisateurs ! Mais ce serait probablement compliquer bien inutilement.
Cordialement, Michelot
Bonjour Sylvain, Benoit et Jacques,
Merci pour vos indications et autres solutions. Mon cas est théorique,
je cherchais à être proche des contraintes opérationnelles que vous
connaissez ou rencontrez.
[Sylvain] Le filtrage par VLAN peut apporter d'autre contrainte:
- acces aux applications commune
- echange de fichier inter poste (bien que se soit bien de le bloquer ;-)
Ces actions sont restreintes aux membres du groupe d'un même réseau
VLAN. En lançant un FTP sur une machine d'un autre VLAN, on peut
bloquer par le filtrage.
[Sylvain] - adressage IP fixe avec filtrage par IP
- DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre
en oeuvre)
Le 2ème point est donc un moyen d'avoir son IP fixe en utilisant DHCP
et, comme le précise Benoit, on peut remplacer l'adresse MAC de
l'utilisateur par un string de 6 caractères.
[Jacques] Proxy ou Parefeu sur routeur sur @IP
C'est une variante plus personnalisée de mon idée (toute théorique)
de parefeu sur routeur sur VLAN id, bien que l'on pourrait attribuer un
VLAN id unique à quelques utilisateurs ! Mais ce serait probablement
compliquer bien inutilement.
Merci pour vos indications et autres solutions. Mon cas est théorique, je cherchais à être proche des contraintes opérationnelles que vous connaissez ou rencontrez.
[Sylvain] Le filtrage par VLAN peut apporter d'autre contrainte:
- acces aux applications commune - echange de fichier inter poste (bien que se soit bien de le bloquer ;-)
Ces actions sont restreintes aux membres du groupe d'un même réseau VLAN. En lançant un FTP sur une machine d'un autre VLAN, on peut bloquer par le filtrage.
[Sylvain] - adressage IP fixe avec filtrage par IP - DHCP basé sur adresse MAC (méthode assez efficace, longue a mettre en oeuvre)
Le 2ème point est donc un moyen d'avoir son IP fixe en utilisant DHCP et, comme le précise Benoit, on peut remplacer l'adresse MAC de l'utilisateur par un string de 6 caractères.
[Jacques] Proxy ou Parefeu sur routeur sur @IP
C'est une variante plus personnalisée de mon idée (toute théorique) de parefeu sur routeur sur VLAN id, bien que l'on pourrait attribuer un VLAN id unique à quelques utilisateurs ! Mais ce serait probablement compliquer bien inutilement.
Cordialement, Michelot
Pascal Hambourg
Salut,
La partie usine comporte 50 stations de travail. Certains utilisateurs peuvent accéder à Internet, et d'autres non.
Utilisateurs ou stations ? "Internet", ça recouvre quoi exactement ? Connectivité IP au sens large ou seulement accès à des types de services particuliers (web, FTP...) ?
Je ne suis pas expert de ceci, mais il me semble que 2 solutions peuvent s'offrir pour cette fonction : soit interdire l'accès au navigateur, soit faire une différenciation par numéro de VLAN.
Quel principe utiliseriez-vous ?
Je suppose que le LAN est en adressage privé. Si l'accès à internet est alloué par station : - VLAN si ça n'interfère pas trop avec les besoins de communication interne des stations. - Filtrage par adresse IP, à condition de pouvoir identifier chaque station par son adresse (adressage statique ou DHCP avec identifiant). - Filtrage par adresse MAC, pénible à mettre en place et à maintenir.
Si l'accès à internet est alloué par utilisateur : - A moins que les stations soient "verrouillées" (contrôle strict des applications qu'un utilisateur peut exécuter) interdire l'accès au seul navigateur n'empêchera pas l'accès à internet avec d'autres logiciels "communicants", voire un navigateur alternatif. - Accès par proxy HTTP ou SOCKS avec authentification de l'utilisateur, si les applications sont compatibles. - Pare-feu sur chaque station qui contrôle l'accès à internet des applications en fonction de l'utilisateur.
Salut,
La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent accéder à Internet, et d'autres non.
Utilisateurs ou stations ?
"Internet", ça recouvre quoi exactement ? Connectivité IP au sens large
ou seulement accès à des types de services particuliers (web, FTP...) ?
Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'accès au
navigateur, soit faire une différenciation par numéro de VLAN.
Quel principe utiliseriez-vous ?
Je suppose que le LAN est en adressage privé. Si l'accès à internet est
alloué par station :
- VLAN si ça n'interfère pas trop avec les besoins de communication
interne des stations.
- Filtrage par adresse IP, à condition de pouvoir identifier chaque
station par son adresse (adressage statique ou DHCP avec identifiant).
- Filtrage par adresse MAC, pénible à mettre en place et à maintenir.
Si l'accès à internet est alloué par utilisateur :
- A moins que les stations soient "verrouillées" (contrôle strict des
applications qu'un utilisateur peut exécuter) interdire l'accès au seul
navigateur n'empêchera pas l'accès à internet avec d'autres logiciels
"communicants", voire un navigateur alternatif.
- Accès par proxy HTTP ou SOCKS avec authentification de l'utilisateur,
si les applications sont compatibles.
- Pare-feu sur chaque station qui contrôle l'accès à internet des
applications en fonction de l'utilisateur.
La partie usine comporte 50 stations de travail. Certains utilisateurs peuvent accéder à Internet, et d'autres non.
Utilisateurs ou stations ? "Internet", ça recouvre quoi exactement ? Connectivité IP au sens large ou seulement accès à des types de services particuliers (web, FTP...) ?
Je ne suis pas expert de ceci, mais il me semble que 2 solutions peuvent s'offrir pour cette fonction : soit interdire l'accès au navigateur, soit faire une différenciation par numéro de VLAN.
Quel principe utiliseriez-vous ?
Je suppose que le LAN est en adressage privé. Si l'accès à internet est alloué par station : - VLAN si ça n'interfère pas trop avec les besoins de communication interne des stations. - Filtrage par adresse IP, à condition de pouvoir identifier chaque station par son adresse (adressage statique ou DHCP avec identifiant). - Filtrage par adresse MAC, pénible à mettre en place et à maintenir.
Si l'accès à internet est alloué par utilisateur : - A moins que les stations soient "verrouillées" (contrôle strict des applications qu'un utilisateur peut exécuter) interdire l'accès au seul navigateur n'empêchera pas l'accès à internet avec d'autres logiciels "communicants", voire un navigateur alternatif. - Accès par proxy HTTP ou SOCKS avec authentification de l'utilisateur, si les applications sont compatibles. - Pare-feu sur chaque station qui contrôle l'accès à internet des applications en fonction de l'utilisateur.
Michelot
Bonjour Pascal,
La partie usine comporte 50 stations de travail. Certains utilisateurs peuvent accéder à Internet, et d'autres non.
Utilisateurs ou stations ?
Merci pour la remarque subtile (qui n'est pas finalement). J'opterai pour station.
"Internet", ça recouvre quoi exactement ? Connectivité IP au sens lar ge ou seulement accès à des types de services particuliers (web, FTP...) ?
Dans votre liste de choix, ce sera connectivité IP au sens large, tout type de service.
Je suppose que le LAN est en adressage privé. Si l'accès à internet est alloué par station : - VLAN si ça n'interfère pas trop avec les besoins de communication interne des stations. - Filtrage par adresse IP, à condition de pouvoir identifier chaque station par son adresse (adressage statique ou DHCP avec identifiant). - Filtrage par adresse MAC, pénible à mettre en place et à mainteni r.
Merci pour l'argumentaire qui complète aussi les précédentes interventions. On comprend bien, finalement, la distinction entre les éléments du couple station-utilisateur.
Cordialement, Michelot
Bonjour Pascal,
La partie usine comporte 50 stations de travail. Certains utilisateurs
peuvent accéder à Internet, et d'autres non.
Utilisateurs ou stations ?
Merci pour la remarque subtile (qui n'est pas finalement). J'opterai
pour station.
"Internet", ça recouvre quoi exactement ? Connectivité IP au sens lar ge
ou seulement accès à des types de services particuliers (web, FTP...) ?
Dans votre liste de choix, ce sera connectivité IP au sens large, tout
type de service.
Je suppose que le LAN est en adressage privé. Si l'accès à internet est
alloué par station :
- VLAN si ça n'interfère pas trop avec les besoins de communication
interne des stations.
- Filtrage par adresse IP, à condition de pouvoir identifier chaque
station par son adresse (adressage statique ou DHCP avec identifiant).
- Filtrage par adresse MAC, pénible à mettre en place et à mainteni r.
Merci pour l'argumentaire qui complète aussi les précédentes
interventions. On comprend bien, finalement, la distinction entre les
éléments du couple station-utilisateur.
La partie usine comporte 50 stations de travail. Certains utilisateurs peuvent accéder à Internet, et d'autres non.
Utilisateurs ou stations ?
Merci pour la remarque subtile (qui n'est pas finalement). J'opterai pour station.
"Internet", ça recouvre quoi exactement ? Connectivité IP au sens lar ge ou seulement accès à des types de services particuliers (web, FTP...) ?
Dans votre liste de choix, ce sera connectivité IP au sens large, tout type de service.
Je suppose que le LAN est en adressage privé. Si l'accès à internet est alloué par station : - VLAN si ça n'interfère pas trop avec les besoins de communication interne des stations. - Filtrage par adresse IP, à condition de pouvoir identifier chaque station par son adresse (adressage statique ou DHCP avec identifiant). - Filtrage par adresse MAC, pénible à mettre en place et à mainteni r.
Merci pour l'argumentaire qui complète aussi les précédentes interventions. On comprend bien, finalement, la distinction entre les éléments du couple station-utilisateur.
Cordialement, Michelot
Michelot
Bonjour Benoit,
Autant que je sache la string n'est pas limitée à 6 caractères ASC II (61 si j'ai bien compris la RFS 2132) ce qui permet d'être plus simple quant au « nom » de la machine pour le DHCP (hostettler par exemple).
Sgoink ! mes 6 caractères se trouvaient en lieu et place de l'adresse MAC mais ce n'est pas du tout cela.
La RFC 2132 que vous mentionnez spécifie le code 61 pour l'option d'identification du client, option dans la queue des paquets DHCP échangés. Apparemment le format des options est presque TLV (étiquette 61, longueur sur 1 octet, variable précédée d'un champ type).
Donc, a priori, la longueur max de l'identificateur serait 254 caractères, en retirant l'octet type.
Cordialement, Michelot
Bonjour Benoit,
Autant que je sache la string n'est pas limitée à 6 caractères ASC II
(61 si j'ai bien compris la RFS 2132) ce qui permet d'être plus simple
quant au « nom » de la machine pour le DHCP (hostettler par exemple).
Sgoink ! mes 6 caractères se trouvaient en lieu et place de l'adresse
MAC mais ce n'est pas du tout cela.
La RFC 2132 que vous mentionnez spécifie le code 61 pour l'option
d'identification du client, option dans la queue des paquets DHCP
échangés. Apparemment le format des options est presque TLV
(étiquette 61, longueur sur 1 octet, variable précédée d'un champ
type).
Donc, a priori, la longueur max de l'identificateur serait 254
caractères, en retirant l'octet type.
Autant que je sache la string n'est pas limitée à 6 caractères ASC II (61 si j'ai bien compris la RFS 2132) ce qui permet d'être plus simple quant au « nom » de la machine pour le DHCP (hostettler par exemple).
Sgoink ! mes 6 caractères se trouvaient en lieu et place de l'adresse MAC mais ce n'est pas du tout cela.
La RFC 2132 que vous mentionnez spécifie le code 61 pour l'option d'identification du client, option dans la queue des paquets DHCP échangés. Apparemment le format des options est presque TLV (étiquette 61, longueur sur 1 octet, variable précédée d'un champ type).
Donc, a priori, la longueur max de l'identificateur serait 254 caractères, en retirant l'octet type.
Cordialement, Michelot
John Deuf
Michelot :
Je ne suis pas expert de ceci, mais il me semble que 2 solutions peuvent s'offrir pour cette fonction : soit interdire l'accès au navigateur, soit faire une différenciation par numéro de VLAN.
Quel principe utiliseriez-vous ?
Firewall matériel situé avant la connexion Internet. Configuré pour bloquer tout sauf certaines machines selon leur nom. Les noms de machines sont résolues par le firewall en consultant le DNS du réseau.
Pratique et facile : dès que tu veux donner accès à Internet à une machine, tu rajoutes son nom dans la liste. Gestion centralisée, pas besoin d'IP fixe ou d'adresse MAC.
-- John Deuf
Michelot :
Je ne suis pas expert de ceci, mais il me semble que 2 solutions
peuvent s'offrir pour cette fonction : soit interdire l'accès au
navigateur, soit faire une différenciation par numéro de VLAN.
Quel principe utiliseriez-vous ?
Firewall matériel situé avant la connexion Internet. Configuré pour
bloquer tout sauf certaines machines selon leur nom. Les noms de machines
sont résolues par le firewall en consultant le DNS du réseau.
Pratique et facile : dès que tu veux donner accès à Internet à une
machine, tu rajoutes son nom dans la liste. Gestion centralisée, pas
besoin d'IP fixe ou d'adresse MAC.
Je ne suis pas expert de ceci, mais il me semble que 2 solutions peuvent s'offrir pour cette fonction : soit interdire l'accès au navigateur, soit faire une différenciation par numéro de VLAN.
Quel principe utiliseriez-vous ?
Firewall matériel situé avant la connexion Internet. Configuré pour bloquer tout sauf certaines machines selon leur nom. Les noms de machines sont résolues par le firewall en consultant le DNS du réseau.
Pratique et facile : dès que tu veux donner accès à Internet à une machine, tu rajoutes son nom dans la liste. Gestion centralisée, pas besoin d'IP fixe ou d'adresse MAC.
