En plus des informations sur Pourquoi les gens me disent-ils de ne pas utiliser les VLAN pour la sécurité ? Voici quelques éléments plus spécifiques et généraux à prendre en compte :
Réflexions générales sur la sécurité
Le système le plus sûr est celui où les hôtes de chaque sous-réseau sont connectés à un commutateur ayant exactement le nombre de ports qui seront utilisés par les appareils connectés. Dans une telle configuration, vous ne pouvez pas brancher des machines aléatoires sur vos réseaux sécurisés, car cela nécessiterait de débrancher quelque chose (et théoriquement, votre système de surveillance le remarquerait).
Les réseaux locaux virtuels (VLAN) offrent une solution similaire en termes de sécurité, en divisant votre commutateur en petits commutateurs virtuels (réseaux locaux virtuels : VLAN) isolés les uns des autres d'un point de vue logique.
Réflexions générales sur les configurations de VLAN relativement sécurisées
Ma pratique pour les commutateurs compatibles VLAN est que tout le trafic doit être assigné à un VLAN, avec la configuration de base suivante :
Attribuez tous les ports inutilisés à un VLAN "inutilisé".
Tous les ports se connectant à un ordinateur spécifique doivent être assignés nativement au VLAN dans lequel cet ordinateur doit se trouver. Ces ports doivent être dans le seul et unique VLAN (sauf certaines exceptions que nous ignorerons pour l'instant).
Sur ces ports, tous les entrant les paquets (vers le commutateur) sont étiquetés avec le VLAN natif, et sortant (du commutateur) (a) proviendront uniquement du vlan attribué, et (b) ne seront pas balisés et apparaîtront comme n'importe quel paquet Ethernet ordinaire.
Les seuls ports qui devraient être des "VLAN trunks" (ports dans plus d'un VLAN) sont les ports trunk - ceux qui transportent le trafic entre les commutateurs, ou qui se connectent à un pare-feu qui divisera le trafic VLAN par lui-même.
Sur les ports trunk, les balises vlan entrant dans le commutateur seront respectées, et les balises vlan seront no sont retirés des paquets qui quittent le commutateur.
La configuration décrite ci-dessus signifie que le seul endroit où vous pouvez facilement injecter du trafic "VLAN hopping" est sur un port trunk (sauf problème logiciel dans l'implémentation VLAN de vos commutateurs), et comme dans le scénario "le plus sûr", cela signifie débrancher quelque chose d'important et provoquer une alarme de surveillance. De même, si vous débranchez un hôte pour vous connecter au VLAN dans lequel il vit, votre système de surveillance devrait remarquer la disparition mystérieuse de cet hôte et vous alerter.
Dans ces deux cas nous parlons d'une attaque impliquant un accès physique aux serveurs Bien que ce ne soit pas forcément complètement impossible pour rompre l'isolation du VLAN, il faut au moins très difficile dans un environnement configuré comme décrit ci-dessus.
Réflexions spécifiques sur VMWare et la sécurité VLAN
Les commutateurs virtuels VMWare peuvent être assignés à un VLAN -- Lorsque ces commutateurs virtuels sont connectés à une interface physique sur l'hôte VMWare, tout trafic émis aura le tag VLAN approprié.
L'interface physique de votre machine VMWare devra être connectée à un port VLAN trunk (transportant les VLAN auxquels elle devra accéder).
Dans ce cas, il est doublement important de prêter attention aux meilleures pratiques de VMWare pour séparer la carte réseau de gestion de la carte réseau de la machine virtuelle : votre carte réseau de gestion doit être connectée à un port natif dans un VLAN approprié, et votre carte réseau de machine virtuelle doit être connectée à un tronc qui a les VLAN dont les machines virtuelles ont besoin (qui, idéalement, ne devrait pas porter le VLAN de gestion VMWare).
Dans la pratique, l'application de cette séparation, de concert avec les éléments que j'ai mentionnés et ce que d'autres proposeront, j'en suis sûr, permettra de créer un environnement raisonnablement sûr.
