Empêcher l'accès aux smartphones



  • Bonjour,

    Sur notre réseau étudiant (au sein de notre école) nous aimerions empêcher l'accès aux plateformes mobiles (smartphones principalement).
    En effet nous disposons d'un réseau Wi-Fi qui est utilisé par certains étudiants dans le cadre des cours ainsi que par le corps enseignant mais aux vues des ralentissement nous aimerions empêcher les smartphones de se connecter au Wi-Fi.
    Le serveur DHCP propose seulement de filtrer les adresses MAC, idem pour notre controleur Wi-Fi CISCO.

    Sans rendre exhaustive la liste des appareils bloqués, pouvons-nous envisager via PFSense de bloquer les connexion provenant par exemple de "iphone_de_[…]", "android_[…]". Si oui, quelles solutions puis-je envisager ?
    Des règles de block que je n'ai pas imaginé, passer par un pare-feu, etc ?

    Bien cordialement,

    Lg750



  • Bonjour,

    Personnellement je n'aborderai pas le problème sous l'angle ''machine'' mais plutôt sous l'angle ''utilisateur''.

    Via un portail captif, vous pouvez limiter à une seule connexion/user.

    Cela est peut être une piste pour vous ?



  • Bonjour et merci de la réponse.

    Concernant le portail captif, nos conditions de connexion, les divers services et utilisateurs ne permettent pas de mettre en place un tel système.

    C'est pourquoi je cherche à exclure directement des noms de machine, type de machine, ou je ne sais quoi.



  • Bloquer sur des nom de machines ("iphone_de_x", …) : très difficile ! (gros challenge)
    Bloquer via un portail cpatif (avec utilisateur/mdp) : logique et ce qu'il faudrait faire
    Bloquer via l'adresse MAC : intéressant mais pas simple !

    Il faut savoir que l'adresse MAC est un code sur 6 octets dont les 3 premiers renseignent sur le fabricant du matériel (MAC address vendor).
    Il devrait être possible de

    • disposer d'un serveur DHCP (Linux ou BSD)
    • fournir une règle iptables (Linux) ou pf (BSD) qui refuse selon les 3 premier octets de l'adresse MAC.
      Filtrage = drop du paquet 'DHCP discover' = pas d'adresse ip fournie = pas de trafic !

    (iptables -m mac --mac-source 00:00:00:00:00:00)

    Exemple http://www.coffer.com/mac_find/?string=apple

    Un outil à considérer : arpwatch : récupère les adresses MAC qui passent -> action ajouter une règle firewall si la MAC est "apple" !



  • Bonjour JDH et merci.

    Concernant le fait de bloquer les noms de machine, ce serait évidemment le plus efficace dans mon cas, mais apparemment ça ne se fait pas comme ça.

    Le concept du portail captif est intéressant mais ne correspond pas à notre infrastructure et à l'utilisation de notre réseau (ni à la politique de la DSI).

    Bloquer les adresses MAC est simplissime, d'autant que je peux les récupérer facilement via ip_advanced_scanner, le DHCP, le contrôleur Wi-Fi, etc. Cependant, il est très simple de modifier son adresse MAC sur un PC alors je suppose que sur un iPhone jailbreaké ou sur un android ça ne doit pas être sorcier non plus (même si 75% des utilisateurs n'iraient pas jusque là).

    Ajouter des règles de block sur mon PFSense concernant les adresses MAC sera similaire au fait de bloquer les @Mac sur mon DHCP ou mon contrôleur Wi-Fi.

    Notre serveur DHCP est le rôle natif de notre serveur W2008 R2.

    A défaut d'être exhaustive, bloquer une liste d'adresse Mac pourra permettre de réduire un petit peu la liste des appareils mobiles se connectant sur mon DHCP.



  • salut salut

    Effectivement vous avez du pain sur la planche, bien que cela puisse paraitre un travail immense au début, commencer par mettre comme vous l'avez évoqué une partie des mac adresse de ces machines par lot sur une heure par jours au bout d'un certain temps vous n'aurez que peu de machine à rajouter dans la liste et cela ne restera plus qu'un routine de fin de semaine ou qui ne vous prendra que peu de temps.

    Personnellement au vu de vos explication j'aurais fait de cette manière pour ne plus me prendre la tête dans l'attente d'un changement de politique, cette liste pourra à un moment vous servir pour justifier ou faire justifier cette demande de changement de politique interne sur ce sujet, il vous revira d'argument entre autre. notez aussi le temps passé chaque jour/semaine/mois/année avec un ratio temps / cout homme, votre daf va avoir mal au pote feuille et se ranger de votre coté si la note en fin d'année lui dit ca à coté xxx k euro /ans, alors qu'une solution autre aurais coté yyy - k euro /ans pour un investissement de zz k euro.

    c'est un avis qui n'engage que moi.

    Cordialement.



  • Bonjour et merci Tatave pour votre commentaire.

    En effet, et c'est un avis que je partage partiellement aussi ;) .

    Le manque d’expérience de la majorité des utilisateurs devrait me faciliter la tâche et j'espère pouvoir réduire la fréquentation de mon réseau d'au moins 25%.

    Cordialement,


Log in to reply