le « VLAN hopping » qui marche très bien

Partager

Attention : si vous pensez qu’un VLAN, c’est la sécurité, ce post peut vous déprimer gravement ! La sécurité d’un VLAN est inférieure à celle d’un LAN et cette dernière diminue avec :

  • la longueur des câbles
  • la présence de Gaston
  • le nombre de ports

un simple câble ethernet pour relier deux VLAN

Tous les spécialistes vous le diront : un switch pur ne peut pas faire communiquer deux VLAN. Pour cela, il faut un switch routeur et passer par le niveau 3. Grave erreur !

En réalité, un switch « pur » peut faire communiquer deux VLAN, il suffit d’un bout de câble. On passera par le niveau 1, tout simplement. Même un enfant de 5 ans sait faire cela (Comme dirait Groucho Marx : "qu'on m'amène un enfant de 5 ans").

Imaginons un switch avec deux VLAN utilisateurs, disons les VLAN 2 et 3. Les 12 premiers ports sont dans le VLAN 2, les 12 suivants dans le VLAN 3. Le PC de Gaston est sur le port 1, celui de Moiselle Jeanne sur le port 20. Gaston branche un câble ethernet entre le port 12 et le port 24. Du coup, les VLAN 2 et 3 sont reliés entre eux. Si en plus les adresses IP ne sont pas dupliquées… Voilà que Gaston peut échanger des jolis smiley avec Moiselle Jeanne !

Pour 2012, je vous offre un hack « vlan hopping » qui marche.

gag : la boucle Ethernet pour les nuls

Il est parfois nécessaire de prévoir des « boucles » pour faire marcher correctement un réseau, par exemple pour régler certains problèmes de plan d’adressage IP. Mes collègues appellent cette boucle « hairpin », c’est à dire « épingle à cheveux » en bon français.

Alors, pour raccorder deux VLAN, pour Noël, j’ai eu une merveilleuse « Etherpin », voyez plutôt :

vlan hopping etherpin

la boucle Ethernet, version CPL

Pour se servir de son Etherpin, il faut que Gaston ait accès au switch, parfois bien caché derrière une pile de courrier des lecteurs. Comme c’est bien ennuyeux de bouger les piles de courrier, Gaston utilise la version électrique de l’Etherpin. On n’arrête pas le progrès...

Il lui suffit de trouver les prises RJ45 murales libres dans les bureaux des services, pas trop loin d’une prise de courant. Et là, on ne rit plus, c’est beaucoup plus sérieux.

liveplug orange

Je vous avait bien prévenu, dans mon premier post, que personne ne pouvait déterminer de manière fiable et durable les contours d’un LAN. Cela a pu vous paraître trivial sur le moment, vous savez maintenant que c’est une question qui mérite un peu d’attention.

mais alors, que faire ?

Se jeter par la fenêtre n'est pas une bonne solution. Bien relire le post. Au début, je fais référence à la sécurité du LAN. En fait, si Gaston vient brancher son PC sur une prise murale dans le service de Moiselle Jeanne, le résultat est presque le même. Si les ressources du LAN sont convenablement protégées, l'utilisation d'une Etherpin ne crée pas une situation radicalement nouvelle.

A mon avis, cela ne vaut pas la peine de chercher à se protéger de l'Etherpin. Il est bien plus efficace de protéger le LAN. Un moyen simple pour cela, c'est de mettre en oeuvre des contrôles d'accès sur les protocoles de niveau 3 et les adresses IP utilisées (ACL).

Les bonnes résolutions pour 2012 : contrôler les protections niveau 3,  les ACL dans les switches et les routeurs du réseau. Revisiter le firewall. Vérifier l'efficacité de l'IDS...

Pascal

Pascal Bonnard

Depuis 2004, je m’occupe d'ingénierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, j'ai voulu savoir ce qu'il y avait sous le capot ... et c'est là que j'ai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent d'inévitables questions de sécurité. Sont-ils fiables ? Peuvent-ils être trompés ? Il me semble que ce domaine est peu documenté, et que les informations disponibles sont souvent incomplètes, parfois erronées. Je désire vous faire partager mes connaissances qui s'appuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines opérationnelles.