le "Private Vlan" (PVLAN) ?
Depuis quelques années maintenant, j'ai régulièrement recours à l'utilisation de VLAN pour segmenter au Niveau 2 les réseaux d’entreprise. A chaque fois est attribué à ces VLAN un sous-réseau IP qui est routé via des équipements de Niveau 3 (Routeurs, Pare-feux).
Cependant, j'ai pu constater que, très souvent, il y a un abus de l'utilisation de cette segmentation, qui consiste à saucissonner en une multitude de sous-réseaux afin d'apporter une sécurité suffisante entre les différentes machines.
Le Private VLAN est là pour pallier cet excès de découpage et amène une sécurité de Niveau 2 supplémentaire.
besoins auxquels le Private VLAN peut répondre
Le besoin qui me vient immédiatement à l'esprit, c'est l'utilisation pour des zones d'utilisateurs invités (où se connectent très souvent des PC de la bureautique...). Cela est très souvent utilisé pour les accès WiFi invités. Une option interdisant les communications entre les clients est possible sur la borne, ce qui interdit les échanges directs entre eux (par défaut sur un réseau WiFi la communication est en mode diffusion au même titre que sur un Hub, il faut donc se protéger contre la récupération de données par un p'tit malin).
L'objectif dans cet exemple est d'éviter le transfert de données ou les attaques entre clients égalemement sur les réseaux cablés considérés comme "hostiles". Si l’on voulait isoler ces clients, il faudrait utiliser un VLAN par client, ce qui est impensable. Heureusement que le Private VLAN est là...
Une autre utilisation possible concerne les DMZ, afin d'éviter la multiplication de ces zones sur les pare-feux. Nous avons souvent besoin d’une segmentation des serveurs des DMZ avec à chaque fois un réseau IP, et donc une interface sur le pare-feu (et plus nous avons d'interfaces sur un pare-feu, plus la matrice des flux explose).
solutions proposées avec le Private VLAN
La solution ici est d’utiliser la fonction de Private VLAN, avec un PVLAN invité en mode « Isolated ». De cette manière, nous avons un seul VLAN pour nos invités, mais ils peuvent uniquement contacter la passerelle par défaut, qui va permettre le filtrage et/ou l’authentification vers les ressources.
Pour notre second besoin en DMZ, on s’aperçoit que, très souvent, un serveur en DMZ est utilisé en mode proxy, avec une communication du type LAN->DMZ->WAN ou WAN->DMZ->LAN, et rarement intra-DMZ. Dans le cas d’une DMZ contenant plusieurs types de service (relai Mail, Web, Portail SSL…) l'altération d'un serveur de la DMZ par un pirate mettra en péril les autres services de cette zone DMZ d’où, très souvent, un découpage fin en plusieurs DMZ.
Avec la fonction de Private VLAN en mode « Isolated », une seule DMZ pourrait contenir plusieurs serveurs avec pour chacun des services différents avec le même niveau de sécurité.
Dans le cas d'un ensemble de serveurs qui auraient besoin de communiquer ensemble, le mode « Community » serait plus adapté. En effet, cela permet aux serveurs de communiquer au sein d’une même communauté, et d'accéder à la passerelle (Pare-feu) tout en étant isolés des autres serveurs d’une autre communauté.
Pour résumer, au lieu d'avoir X DMZ avec à chaque fois un réseau IP, nous avons X Communautés PVLAN avec un même réseau IP et une même interface sur le Pare-feu, pour un niveau de sécurité équivalent.
conclusion
Le Private VLAN, bien que connu par de nombreux experts, reste encore trop souvent écarté alors qu'il permet bien souvent une simplification de l'architecture (cas d'isolations de serveurs en DMZ par exemple) ou un ajout de sécurité simple à mettre en place (cas des réseaux invités).
Maintenant que vous en savez plus, il n’y a plus qu’à se poser la bonne question au bon moment ! ;-)
Edit : pour celles et ceux qui souhaitent en savoir plus, il existe maintenant une suite à cet article. Par ici !
Guillaume.
crédit photo : © David Mathieu et © Konstantin Li - Fotolia.com
Salarié d’Econocom, je suis actuellement en mission en tant qu’architecte sécurité des offres Cloud France et leurs services transverses pour Orange Business. Arrivé depuis peu sur le blog, Je viens du monde du réseau, et je me suis spécialisé dans la sécurité depuis 2008. Passionné avant tout de technologie, et fort de mon expérience en tant qu’ancien intégrateur en solution de sécurité, c’est avec plaisir que je viens apporter ma contribution.
Edit de l'équipe Orange Business : Guillaume a quitté le groupe Orange depuis ses derniers articles.