Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le « VLAN hopping » qui marche très bien

Le « VLAN hopping » qui marche très bien
2012-01-092013-02-28bonnes pratiquesfr
Tous les spécialistes vous le diront, un switch pur ne peut pas faire communiquer deux VLAN. Pour cela, il faut un switch routeur et passer par le niveau 3. GRAVE ERREUR !! En réalité, un switch « pur » peut faire communiquer 2 VLAN, il suffit d'un bout de câble. On passera par le niveau...
Publié le 9 Janvier 2012 par Pascal Bonnard dans bonnes pratiques
le « VLAN hopping » qui marche très bien

Attention : si vous pensez qu’un VLAN, c’est la sécurité, ce post peut vous déprimer gravement ! La sécurité d’un VLAN est inférieure à celle d’un LAN et cette dernière diminue avec :

  • la longueur des câbles
  • la présence de Gaston
  • le nombre de ports

un simple câble ethernet pour relier deux VLAN

Tous les spécialistes vous le diront : un switch pur ne peut pas faire communiquer deux VLAN. Pour cela, il faut un switch routeur et passer par le niveau 3. Grave erreur !

En réalité, un switch « pur » peut faire communiquer deux VLAN, il suffit d’un bout de câble. On passera par le niveau 1, tout simplement. Même un enfant de 5 ans sait faire cela (Comme dirait Groucho Marx : "qu'on m'amène un enfant de 5 ans").

Imaginons un switch avec deux VLAN utilisateurs, disons les VLAN 2 et 3. Les 12 premiers ports sont dans le VLAN 2, les 12 suivants dans le VLAN 3. Le PC de Gaston est sur le port 1, celui de Moiselle Jeanne sur le port 20. Gaston branche un câble ethernet entre le port 12 et le port 24. Du coup, les VLAN 2 et 3 sont reliés entre eux. Si en plus les adresses IP ne sont pas dupliquées… Voilà que Gaston peut échanger des jolis smiley avec Moiselle Jeanne !

Pour 2012, je vous offre un hack « vlan hopping » qui marche.

gag : la boucle Ethernet pour les nuls

Il est parfois nécessaire de prévoir des « boucles » pour faire marcher correctement un réseau, par exemple pour régler certains problèmes de plan d’adressage IP. Mes collègues appellent cette boucle « hairpin », c’est à dire « épingle à cheveux » en bon français.

Alors, pour raccorder deux VLAN, pour Noël, j’ai eu une merveilleuse « Etherpin », voyez plutôt :


vlan hopping etherpin

la boucle Ethernet, version CPL

Pour se servir de son Etherpin, il faut que Gaston ait accès au switch, parfois bien caché derrière une pile de courrier des lecteurs. Comme c’est bien ennuyeux de bouger les piles de courrier, Gaston utilise la version électrique de l’Etherpin. On n’arrête pas le progrès...

Il lui suffit de trouver les prises RJ45 murales libres dans les bureaux des services, pas trop loin d’une prise de courant. Et là, on ne rit plus, c’est beaucoup plus sérieux.

liveplug orange

Je vous avait bien prévenu, dans mon premier post, que personne ne pouvait déterminer de manière fiable et durable les contours d’un LAN. Cela a pu vous paraître trivial sur le moment, vous savez maintenant que c’est une question qui mérite un peu d’attention.

mais alors, que faire ?

Se jeter par la fenêtre n'est pas une bonne solution. Bien relire le post. Au début, je fais référence à la sécurité du LAN. En fait, si Gaston vient brancher son PC sur une prise murale dans le service de Moiselle Jeanne, le résultat est presque le même. Si les ressources du LAN sont convenablement protégées, l'utilisation d'une Etherpin ne crée pas une situation radicalement nouvelle.

A mon avis, cela ne vaut pas la peine de chercher à se protéger de l'Etherpin. Il est bien plus efficace de protéger le LAN. Un moyen simple pour cela, c'est de mettre en oeuvre des contrôles d'accès sur les protocoles de niveau 3 et les adresses IP utilisées (ACL).

Les bonnes résolutions pour 2012 : contrôler les protections niveau 3,  les ACL dans les switches et les routeurs du réseau. Revisiter le firewall. Vérifier l'efficacité de l'IDS...

Pascal

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage