Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Le Private VLAN c'est quoi ?

Le Private VLAN c'est quoi ?
2012-05-292013-02-11sécurité des réseauxfr
Depuis quelques années maintenant, j'ai régulièrement recours à l'utilisation de VLAN pour segmenter au Niveau 2 les réseaux d'entreprise. A chaque fois est attribué à ces VLAN un sous-réseau IP qui est routé via des équipements de Niveau 3 (Routeurs, Pare-feux). Cependant, j'ai pu...
Publié le 29 Mai 2012 par Guillaume Bazire dans sécurité des réseaux
man scratching his head

le "Private Vlan" (PVLAN) ?

Depuis quelques années maintenant, j'ai régulièrement recours à l'utilisation de VLAN pour segmenter au Niveau 2 les réseaux d’entreprise. A chaque fois est attribué à ces VLAN un sous-réseau IP qui est routé via des équipements de Niveau 3 (Routeurs, Pare-feux).

Cependant, j'ai pu constater que, très souvent, il y a un abus de l'utilisation de cette segmentation, qui consiste à saucissonner en une multitude de sous-réseaux afin d'apporter une sécurité suffisante entre les différentes machines.

Le Private VLAN est là pour pallier cet excès de découpage et amène une sécurité de Niveau 2 supplémentaire.

besoins auxquels le Private VLAN peut répondre

Le besoin qui me vient immédiatement à l'esprit, c'est l'utilisation pour des zones d'utilisateurs invités (où se connectent très souvent des PC de la bureautique...). Cela est très souvent utilisé pour les accès WiFi invités. Une option interdisant les communications entre les clients est possible sur la borne, ce qui interdit les échanges directs entre eux (par défaut sur un réseau WiFi la communication est en mode diffusion au même titre que sur un Hub, il faut donc se protéger contre la récupération de données par un p'tit malin).

L'objectif dans cet exemple est d'éviter le transfert de données ou les attaques entre clients égalemement sur les réseaux cablés considérés comme "hostiles". Si l’on voulait isoler ces clients, il faudrait utiliser un VLAN par client, ce qui est impensable. Heureusement que le Private VLAN est là...

Une autre utilisation possible concerne les DMZ, afin d'éviter la multiplication de ces zones sur les pare-feux. Nous avons souvent besoin d’une segmentation des serveurs des DMZ avec à chaque fois un réseau IP, et donc une interface sur le pare-feu (et plus nous avons d'interfaces sur un pare-feu, plus la matrice des flux explose).

solutions proposées avec le Private VLAN

Pour mon premier besoin, dans une zone de clients « invités », il est idéal d’un point de vue sécurité d’isoler les clients entre eux. Et c’est là que, bien souvent, l’aspect sécurité passe à la trappe, et tout le monde se retrouve dans le même VLAN avec un accès sans contrôle.

La solution ici est d’utiliser la fonction de Private VLAN, avec un PVLAN invité en mode « Isolated ». De cette manière, nous avons un seul VLAN pour nos invités, mais ils peuvent uniquement contacter la passerelle par défaut, qui va permettre le filtrage et/ou l’authentification vers les ressources.

Pour notre second besoin en DMZ, on s’aperçoit que, très souvent, un serveur en DMZ est utilisé en mode proxy, avec une communication du type LAN->DMZ->WAN ou WAN->DMZ->LAN, et rarement intra-DMZ. Dans le cas d’une DMZ contenant plusieurs types de service (relai Mail, Web, Portail SSL…) l'altération d'un serveur de la DMZ par un pirate mettra en péril les autres services de cette zone DMZ d’où, très souvent, un découpage fin en plusieurs DMZ.

Avec la fonction de Private VLAN en mode « Isolated », une seule DMZ pourrait contenir plusieurs serveurs avec pour chacun des services différents avec le même niveau de sécurité.

Dans le cas d'un ensemble de serveurs qui auraient besoin de communiquer ensemble, le mode « Community » serait plus adapté. En effet, cela permet aux serveurs de communiquer au sein d’une même communauté, et d'accéder à la passerelle (Pare-feu) tout en étant isolés des autres serveurs d’une autre communauté.

Pour résumer, au lieu d'avoir X DMZ avec à chaque fois un réseau IP, nous avons X Communautés PVLAN avec un même réseau IP et une même interface sur le Pare-feu, pour un niveau de sécurité équivalent.

conclusion

Le Private VLAN, bien que connu par de nombreux experts, reste encore trop souvent écarté alors qu'il permet bien souvent une simplification de l'architecture (cas d'isolations de serveurs en DMZ par exemple) ou un ajout de sécurité simple à mettre en place (cas des réseaux invités).

Maintenant que vous en savez plus, il n’y a plus qu’à se poser la bonne question au bon moment ! ;-) 

Edit : pour celles et ceux qui souhaitent en savoir plus, il existe maintenant une suite à cet article. Par ici !

Guillaume.

crédit photo : © David Mathieu et © Konstantin Li - Fotolia.com

 

6 Commentaires

  • 3 Juillet 2012
    2012-07-03
    par
    En effet Ludal, les environnements VDI sont un autre cas d'usage.
    Cependant, je ne vois justement pas pourquoi nous allons arriver aux limites du nombre de VLANs dans le cas de l'utilisation d'Isolated VLAN pour les VDI.
    Nous avons dans ce cas un seul VLAN Isolated qui contiendra toutes les VMs, qui correspondra à un seul VLAN primaire pour communiquer avec le reste du réseau. C'est justement dans ce cas qu'il faut penser au Private VLAN. Mais attention, comme tu le fait remarquer, la commutation se fait au niveau du vSwitch dans les systèmes virtualisés, il faut que le vSwitch soit capable de supporter la fonctionnalité (cas du Nexus 1000v par exemple)

    Concernant tes propositions pour de nouveaux articles, elles sont toujours les bienvenues, à suivre donc ;-)
  • 2 Juillet 2012
    2012-07-03
    par
    Ludal
    Merci pour cet article très pédagogique. En effet, les private VLANs sont très utiles les contextes que tu cites, on pourrait d'ailleurs rajouter les petits environnements VDI où les desktops virtuels n'ont pas à communiquer entre eux. Je précise "petits" car si on met chaque VM dans un Isolated VLAN, on va rapidement toucher les limites de numérotation des VLANs, et c'est plutôt une ACL de niveau 2 à appliquer sur les ports du vSwitch (du genre Nexus 1000v) faisant face aux VM qui permettra de répondre à ce besoin particulier pour de grands environnements VDI.

    Cela dit, pour ces cas particuliers, il existe des solutions de filtrage intra-VLAN en environnement virtualisé (VMware vShield zones, Cisco Virtual Security Gateway, Juniper Virtual GateWay...) qui permettent de rendre des services en ce qui concerne le filtrage de trafic intra-VLAN. A quand un article couvrant ses technologies ?
  • 29 Mai 2012
    2012-07-03
    par
    Merci Jeff ;-)
  • 29 Mai 2012
    2012-07-03
    par
    Bienvenue sur le blog Guillaume et bravo pour ce 1er article !
    Jeff
  • 29 Mai 2012
    2012-07-03
    par
    Merci à toi Pascal. Je commence dès maintenant à préparer un article complémentaire pour en savoir encore un peu plus avec le Private Vlan ;-)

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage