Au cours de mes activités professionnelles j’ai eu à reprendre en main un réseau entièrement en IP fixe.
Dans une volonté de sécurisation de son réseau, l’administrateur avait décidé que chaque poste aurait son IP, des réglages en dur dans le fichier host, et des réglages DNS différents (serveurs DNS internes et externes à l’entreprise).
Aucun inventaire des ces configurations n’avait été fait. En bref, le réseau était fonctionnel mais extrêmement rigide en cas de changement de DNS, de passerelle, de serveur NTP etc ….
Nous allons voir ici les étapes parmi lesquelles nous sommes passés avec mon assistant Alex Bacher:
- Installation des outils nécessaires
- Acquisitions d’informations réseau: IP, adresses MAC, Nom DNS
- Installation d’un serveur DHCP avec basculement
- Intégration des machines scannées dans le DHCP avec réservation MAC
Etape 1: Inventaire IP
Afin de savoir à quel point notre réseau est occupé nous avons pris le parti de scanner le réseau. Or certains postes sont mobiles. PC Portables et Smartphones ne sont pas connectés en permanence.
Ainsi nous avons scripté un scan IP avec l’utilitaire FING, puis nous avons intégré notre script dans une tache planifiée.
1.1 Installation de FING
Vous pourrez télècharger FING via ce lien: https://www.fing.io/download-free-ip-scanner-desktop-linux-windows-osx/
Pour notre exemple nous utiliserons la version Windows de Overlook Fing.
Vous lancerez l’installeur, puis cliquerez sur « Suivant ».
Vous accepterez la licence, puis cliquerez sur « Suivant ».
Vous choisirez d’ajouter FING au PATH (variable d’environnement) afin d’avoir accès au CLI, Puis vous cliquerez sur « Suivant ».
Vous choisirez le dossier d’installation, puis cliquerez sur « Suivant ».
Vous choisirez le nom dans le menu Démarrer, puis cliquerez sur « Suivant ».
L’installation débutera.
En cas d’absence, Overlook FING installera WinPcap, nécessaire à ses fonctionnalités.
Vous accepterez la licence de WinPcap en cliquant sur « I Agree ».
Vous choisirez le dossier d’installation, puis cliquerez sur « Install ».
Une fois l’installation terminée, vous cliquerez sur « Next ».
Vous choisirez de démarrer le service WinPcap après l’installation et au démarrage de votre machine (voir capture ci dessous).
Puis vous cliquerez sur « Next ».
Enfin vous finirez l’installation en cliquant sur « Finish ».
Vous terminerez l’installation de FING, en cliquant sur « Fermer ».
1.2 Création d’un script de scan IP
Pour scanner le réseau de manière régulière nous mettrons en place le script suivant dans une tache planifiée qui s’exécutera toutes les heures.
Il nous faudra au préalable créer le dossier de destination c:\resultats_scans\
@echo off echo scan VLAN 1 fing -n 10.0.0.0/24 -r 1 -o log,csv,c:\resultats_scans\scan_ip.csv
Cette commande permettra de scanner le réseau (ici 10.0.0.0/24), une seule fois, loggera les informations dans un fichier CSV et complétera le fichier lors des itérations suivantes (option « log »).
De préférence, il vous faudra exécuter le script sur un serveur (ou toute autre machine allumée en permanence).
Pour créer votre tache vous pourrez suivre la documentation suivante: https://jpcheck.developpez.com/tutoriels/windows/creer-tache-planifiee-sous-windows-7/
Après quelques jours vous obtiendrez un fichier contenant ce type d’enregistrement:
2018/03/06 16:23:30;up;10.0.0.5;;SRV05;90:1B:0A:28:65:22;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.1;;SRV01.dom.local;03:0C:29:0A:79:7A;VMware 2018/03/06 16:23:30;up;10.0.0.2;;SRV03.dom.local;03:50:56:86:78:F5;VMware 2018/03/06 16:23:30;up;10.0.0.3;;NAS01;00:11:32:35:B6:18;Synology 2018/03/06 16:23:30;up;10.0.0.4;;SRV04.dom.local;00:4C:29:C0:5C:90;VMware 2018/03/06 16:23:30;up;10.0.0.6;;SRV06.dom.local;00:54:56:86:28:97;VMware 2018/03/06 16:23:30;up;10.0.0.7;;SRV07.dom.local;00:9C:29:FB:92:B5;VMware 2018/03/06 16:23:30;up;10.0.0.8;;SRV08.dom.local;E4:2F:13:EC:78:C2;IBM 2018/03/06 16:23:30;up;10.0.0.9;;SRV09.dom.local;00:4C:29:B3:24:25;VMware 2018/03/06 16:23:30;up;10.0.0.11;;SRV05;00:50:56:86:79:83;VMware 2018/03/06 16:23:30;up;10.0.0.10;;SRV10.dom.local;90:5B:0E:B6:BB:63;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.12;;SRV12;00:11:25:3E:72:BD;IBM 2018/03/06 16:23:30;up;10.0.0.13;;SRV13;00:19:99:9F:40:78;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.15;;SRV15.dom.local;00:40:56:86:0F:59;VMware 2018/03/06 16:23:30;up;10.0.0.16;;;E4:1F:13:EC:78:C1;IBM 2018/03/06 16:23:30;up;10.0.0.17;;SRV17.dom.local;00:04:29:B5:C9:16;VMware 2018/03/06 16:23:30;up;10.0.0.18;;;E4:1F:13:EC:78:6E;IBM 2018/03/06 16:23:30;up;10.0.0.20;;SRV20.dom.local;03:0C:29:9F:9D:9B;VMware 2018/03/06 16:23:30;up;10.0.0.21;;SRV21.dom.local;A3:36:9F:E5:D2:BC;PCtel 2018/03/06 16:23:30;up;10.0.0.22;;SRV22.dom.local;27:6E:96:5A:5D:58; 2018/03/06 16:23:30;up;10.0.0.23;;SRV23.dom.local;54:9A:4C:5B:90:20; 2018/03/06 16:23:30;up;10.0.0.26;;SRV26.dom.local;86:7B:EB:F8:BE:CC; 2018/03/06 16:23:30;up;10.0.0.27;;SRV27.dom.local;87:7B:EB:F8:BE:FC; 2018/03/06 16:23:30;up;10.0.0.28;;SRV28.dom.local;54:9A:4C:5B:90:22; 2018/03/06 16:23:30;up;10.0.0.14;;SRV14.dom.local;09:50:56:86:39:33;VMware 2018/03/06 16:23:30;up;10.0.0.32;;PC42.dom.local;97:1B:0E:06:18:60;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.31;;PC41.dom.local;96:1B:0E:03:B3:AB;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.33;;PC159.dom.local;94:1B:0E:06:72:A5;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.35;;PC45.dom.local;94:1B:0E:5D:E6:AE;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.36;;PC160.dom.local;99:1B:0E:5D:B0:2D;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.37;;PC47.dom.local;04:19:99:F5:C4:ED;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.34;;PC173.dom.local;04:0A:CD:2F:E9:09;Sunrich Technology 2018/03/06 16:23:30;up;10.0.0.38;;PC48.dom.local;04:19:99:86:43:BC;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.39;;PC49.dom.local;04:19:99:86:45:29;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.40;;PC149.dom.local;40:1B:0E:5D:8C:8A;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.41;;PC93.dom.local;96:1B:0E:5D:B0:6D;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.42;;PC72.dom.local;05:19:99:E4:B7:53;Fujitsu Technology Solutions 2018/03/06 16:23:30;up;10.0.0.43;;PC70.dom.local;05:07:32:45:5B:F0;AAEON Technology 2018/03/06 16:23:30;up;10.0.0.45;;PC73.dom.local;02:19:99:E4:B7:56;Fujitsu Technology Solutions
Etape 2 : DHCP et réservation MAC
2.1 Installation et configuration DHCP
Une fois l’acquisition d’information effectuée, il vous faudra installer deux serveurs DHCP et configurer le basculement.
En effet afin de ne rien perdre en sécurité et en tolérance de panne, il est préférable d’avoir 2 serveurs.
Je vous renverrai pour ces parties sur mes précédents articles:
Configurer un serveur DHCP: https://remiflandrois.fr/2018/03/30/install-config-serveur-dhcp/
Sécuriser un serveur DHCP avec le basculement: https://remiflandrois.fr/2018/04/30/cluster-dhcp-windows-2016/
2.2 Intégration des réservations MAC en Powershell
Dans un premier temps nous allons devoir manipuler les données colléctées afin d’épurer les informations inutiles (dates de scan, heures etc …)
Vous ouvrirez votre fichier csv dans le tableur de votre choix, vous ne garderez que les colonnes avec les adresses IP, les noms FQDN, et les adresses MAC.
Rajoutez une colonne et devant chaque champs donnez le ScopeId (identifiant de la plage DHCP).
Les serveurs seront bien évidement supprimés de la liste des machines à mettre en DHCP.
Pour terminer, refermez votre tableur et re-ouvrez le fichier avec un éditeur de texte type Notepad.
Vous rajouterez les éléments suivants ScopeId,IPAddress,Name,ClientId , votre fichier devrait avoir la forme suivante:
ScopeId,IPAddress,Name,ClientId 10.0.0.0,10.0.0.32,PC42.dom.local,97:1B:0E:06:18:60 10.0.0.0,10.0.0.31,PC41.dom.local,96:1B:0E:03:B3:AB 10.0.0.0,10.0.0.33,PC159.dom.local,94:1B:0E:06:72:A5 10.0.0.0,10.0.0.35,PC45.dom.local,94:1B:0E:5D:E6:AE 10.0.0.0,10.0.0.36,PC160.dom.local,99:1B:0E:5D:B0:2D 10.0.0.0,10.0.0.37,PC47.dom.local,04:19:99:F5:C4:ED 10.0.0.0,10.0.0.34,PC173.dom.local,04:0A:CD:2F:E9:09 10.0.0.0,10.0.0.38,PC48.dom.local,04:19:99:86:43:BC 10.0.0.0,10.0.0.39,PC49.dom.local,04:19:99:86:45:29 10.0.0.0,10.0.0.40,PC149.dom.local,40:1B:0E:5D:8C:8A 10.0.0.0,10.0.0.41,PC93.dom.local,96:1B:0E:5D:B0:6D 10.0.0.0,10.0.0.42,PC72.dom.local,05:19:99:E4:B7:53 10.0.0.0,10.0.0.43,PC70.dom.local,05:07:32:45:5B:F0 10.0.0.0,10.0.0.45,PC73.dom.local,02:19:99:E4:B7:56
Une fois ces opérations réalisées, copier le fichier CSV sur votre serveur DHCP et importez les réservations via la commande Powershell:
Import-Csv –Path C:\scan_ip.csv | Add-DhcpServerv4Reservation -ComputerName SRV01.dom.local
Etape 3: Basculement des cartes réseaux clientes en DHCP
Malheureusement pour cette partie, peu de solutions fiables existent. La plus simple consiste à repasser sur chaque machine, et basculer la carte en DHCP. Cela aura moins l’avantage de vérifier que la solution est fonctionnelle et que tout se reconnecte bien. Dans notre cas nous en avons aussi profité pour nettoyer les fichiers hosts et autres configurations résiduelles.
Pour les plus confiants d’entre nous, un script existe, cependant son utilisation implique que les cartes réseaux aient toutes le même nom. Vous pourrez le déployer par GPO.
REM Start Script netsh interface ip set address "NOM_DE_LA_CARTE_RESEAU" dhcp netsh interface ip set DNS "NOM_DE_LA_CARTE_RESEAU" dhcp :end REM End script
Comments are closed