(Courriels de diversion: <brasserions@volaient-exportons.com> <formuliez@louvoie-pactisait.com> <crepirons@presidez-galope.com> <vipere@altererez-sautilleraient.com> <fouinerait@accostes-jouirions.com> <firent@rigueur-estimons.com> <envahissants@reaccoutumes-decrisperions.com> <noterais@aspirateurs-dejaunisse.com> <polirent@apprivoisons-avantagee.com> <idealisez@figurerons-effrenes.com> )
salut
On Mon, 14 Jun 2004 17:59:39 +0200
Blue Boy Maxime <maxime.edrei@free.fr> wrote:
> Le 14/06/2004 17:42, :
>
> Oui, c'est pas mal, sauf que si untel prend le username de dupont, il
> outrepasse l'interdiction (ou la permission :) )
Par username:
- Si c'est des comptes unix, ça vas. A moins que les gens se pretent les comptes (et
mots de passe) mais là c'est le facteur humain et c'est plus de la technique :-)
- Si c'est un "username windows", bon on est d'accord la technique ne peut meme pas
lutter :-(
Par IP
- Si les gens se pretent les ordinateurs c'est cuit, sinon c'est bien ca ne depend
pas de l'OS du client
Par nom netbios ("nom windows")
heu c'est qui qui les fixe ceux la ? si c'est les gens qui donne eux-même le nom à
leur machine on peut pas lutter nom plus (oui n'importe qui peut se faire passer
pour quelqu'un d'autre et c'est trop facile :-(.
Propositions techniques:
Par addresse IP:
C'est faisable, il faut fixer les adresse IP des clients en fonction des addresse
mac(materielle) des cartes reseaux:
Il suffit de configurer le serveur dhcp pour que quand il recoie un requete dont il
connais l'adresse MAC il lui renvoie une IP determiné (Je crois meme que c'est
parametrable pour une machine qui se balade sous plusieurs sous reseau connus d'un
meme serveur dhcp):
Contrainte: il faut identifier les adresse materielles de toutes les machines
devant etre filtré, et c'est au niveau du serveur dhcp qu'il faut faire le boulot
(fichier de conf a tenir a jour).
Avantage: rien a faire de particuler sur les clients si les adresses sont deja
affecté dynamiquement.
Apres en fonction des IP, il faut les règles iptables qui vont bien.
Par username:
1 J'ai oui-dire que sous freebsd il etais possible de filtrer par utilisateurs
(j'imagine que le systeme de filtrage fait une requete ident pour savoir de qui
provient la conexion) mais le iptable de linux il n'aurais pas pas ça dans un coin ?
Avantage: si les utilisateurs ne se pretent pas leur compte c'est réglé on en parle
plus. Inconvienient majeur: Il faut que les machines clients soient des unix parce
que je ne crois pas que ident marche sous win (ici ca ne servirais pas a grand chose
d'ailleurs).
2 Si c'est juste pour le web, il est possible de fixer un username/motdepasse pour
acceder a squid.
Avantage: ca fonctionne quelque soit le navigateur et l'os
Gros inconvenient: il faut filer un autre username/mdp à tous les utilisateurs et
c'est une mesure qui peut etre lourde (le facteur humain) et faut leur faire
confiance pour que il n'y en ai pas un gus qui prete ses coordonées à tout le monde.
Enfin voila quelques idées mais le sujet est tres vaste. Les gens travaillent que sur
leur ordinateur ? Ils se prentent leur ordianteurs ? Les gentils sont copain avec
les mechants ? (si oui alors c'est humain c'est pas possible de lutter) Les gentils
ne prettent rien aux mechants ? Et de quelle marque est l'os du gigot ?
J'étais lancé et j'ai peut etre repondus a coté ! Mais j'aimerais bien des
commentaires pour voir si je ne dis pas trop de bétises :-)
X
--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>