Serveur DHCP non autorisé

Q : Notre LAN privé fonctionne sur le réseau 10.10.x.x et
nous exploitons un serveur DHCP primaire et de secours
pour attribuer aux utilisateurs des adresses IP dans la
plage 10.10.x.x. Mais nous avons découvert récemment
que certains de nos PC avaient une adresse 192.168.I.x
attribuée à  partir d’un serveur DHCP à  192.168.1.1 (qui
est aussi la valeur à  laquelle est réglée leur adresse de
passerelle IP), d’après la commande Windows ipconfig
/all. Mais aucun de nos serveurs DHCP n’a de domaines
192.168.1.x. L’étonnant est que les utilisateurs 192.168.I.
x n’ont aucun mal à  accéder à  notre réseau ou à  Internet.
Le seul symptôme insolite est l’adresse IP incorrecte
(mais qui sembler fonctionner). Devrais-je me préoccuper
de ces adresses 192.168.I.x ?

R : Quand vous voyez les adresses 192.168.1.x de façon inattendue
sur votre réseau, vous devriez éprouver la même impression
que si une équipe mobile de télévision vous attendait
devant votre bureau au petit matin. Il se passe quelque
chose de très grave dans votre réseau. Ce peut être accidentel
ou inoffensif, mais ce peut être aussi extrêmement dangereux.
Dans un cas comme dans l’autre, trouvez immédiatement
le problème et corrigez-le.
Vos utilisateurs obtiennent des attributions IP inattendues
parce que quelque part sur votre réseau, un serveur
DHCP non autorisé est en train de les utiliser et de les diffuser.
Quand l’un de vos utilisateurs démarre son ordinateur,
qui sollicite alors une nouvelle adresse IP via DHCP, tous les
serveurs DHCP disponibles entendent la diffusion et répondent.
Il n’est pas possible de savoir quel serveur a répondu le
premier au client. Le client accepte la première attribution
DHCP qu’il reçoit et ignore toutes les suivantes.
La seule vraie question est de savoir si votre serveur
DHCP délinquant est vraiment malveillant ou non. En effet,
ce peut être simplement dû à  un serveur mal configuré
ailleurs sur le réseau, ou à  un technicien installant un parefeu
ou un point d’accès Wi-Fi grand public sur lequel DHCP
est souvent activé par défaut. Dans ce cas, il suffit de rappeler
à  l’ordre le technicien en cause et d’arrêter l’appareil
concerné.
Cependant, le serveur DHCP voyou pourrait fort bien
être en train de rediriger le trafic utilisateur dans de mauvaises
intentions : comme pour espionner les paquets utilisateur
à  la recherche d’ID utilisateur, de mots de passe, de
numéros de cartes de crédit, et autres informations. Ce système
d’espionnage pourrait être établi délibérément par un
employé ou un consultant malhonnête, ou résulter d’une
infiltration de virus ou de cheval de Troie sur votre LAN.
Quoi qu’il en soit, il faut trouver le coupable. Pour cela,
commencez par collecter l’adresse MAC matérielle du serveur
DHCP via la commande « arp -a » de Windows, qui donnera
la liste des adresses MAC pour chaque adresse
IP connue. Munis de cette information, vous pourrez examiner
les tables MAC dans chacun des commutateurs Ethernet
gérés, pour dénicher et confondre le coupable. Si vous
n’avez pas de commutateurs Ethernet gérés dans votre réseau,
voilà  peut-être une excellente occasion de les installer.