Configuration des VLAN et sécurité réseau : un guide complet

Informatec Digital » Ressources » Configuration des VLAN et sécurité réseau : un guide complet

Si vous gérez un réseau d'entreprise, vous savez combien il est difficile de le faire fonctionner correctement. Tout fonctionne rapidement et en toute sécurité Parallèlement, la tâche n'est pas aisée. À mesure que les équipes, les services et les applications se développent, les diffusions, les goulots d'étranglement et les problèmes de sécurité commencent à apparaître de toutes parts.

L'un des outils les plus puissants pour mettre de l'ordre dans ce chaos est... VLAN (réseau local virtuel)Bien conçues et configurées, elles permettent de segmenter le réseau, de réduire le trafic inutile, d'isoler les départements et de protéger les services critiques… mais mal planifiées, elles peuvent devenir une faille de sécurité ou un cauchemar administratif.

Qu'est-ce qu'un VLAN exactement et pourquoi est-ce important pour la sécurité ?

Un VLAN est, essentiellement, un réseau logique indépendant Ces appareils partagent la même infrastructure physique : mêmes commutateurs, même câblage, mêmes points d’accès Wi-Fi. Logiquement, ils se comportent comme s’ils appartenaient à un réseau local distinct, même s’ils sont répartis sur différents étages ou bâtiments.

Cela permet à un groupe de PC, de serveurs, de téléphones IP, d'imprimantes ou de caméras IP de former un réseau. domaine de diffusion propreIsolés des autres groupes, les paquets de diffusion et de multidiffusion restent confinés à leur VLAN au lieu d'inonder le réseau, ce qui améliore les performances et facilite le contrôle des interactions.

Dans les environnements professionnels, il est courant de créer des VLAN pour départements (comptabilité, ingénierie, marketing)Pour séparer le trafic destiné à la gestion, à la voix, aux invités, à l'IoT, ou même à un VLAN de sauvegarde dédié. Chacun avec ses propres règles de routage, de sécurité et de qualité de service.

De plus, les VLAN constituent un élément clé des stratégies pour Segmentation et confiance zéroLes réseaux ne sont plus considérés comme « totalement fiables » et les surfaces d'attaque sont désormais définies. Une panne ou une infection dans un VLAN ne doit pas entraîner l'effondrement de toute l'organisation par effet domino.

Concepts de base : ports d’accès, liaisons trunk et VLAN natif

Pour bien comprendre la configuration et la sécurité des VLAN, trois idées clés doivent être parfaitement claires : ports d'accès, ports trunk et VLAN natifSi vous maîtrisez ces trois concepts, tout le reste se mettra en place beaucoup plus facilement.

Un port d'accès Il s'agit d'un port de commutateur qui achemine le trafic d'un seul VLAN vers un périphérique final : un PC, une imprimante, une caméra IP, un téléphone, etc. Le trafic circule du commutateur vers ce périphérique. Aucune étiquette 802.1Q (non étiqueté). En interne, le commutateur sait à quel VLAN il appartient, mais l'équipement ne voit pas l'étiquette.

Un port principal Il s'agit d'un lien entre des périphériques réseau (commutateur-commutateur, commutateur-routeur, commutateur-point d'accès) par lequel transitent les données. plusieurs VLAN simultanémentDans ce cas, les trames portent l'étiquette 802.1Q indiquant le VLAN auquel elles appartiennent. Cela permet d'étendre les VLAN à l'ensemble de la topologie et de faire transiter plusieurs réseaux logiques sur une même liaison physique.

La VLAN natif Il s'agit du VLAN utilisé pour le trafic non étiqueté sur une liaison 802.1Q. Chaque trame entrant dans un port trunk sans étiquette est affectée à ce VLAN natif. Par défaut, sur de nombreux équipements, il s'agit du VLAN 1, et c'est là que les problèmes de sécurité commencent si cette configuration n'est pas modifiée.

Architecture et conception de réseaux avec VLAN

Dans les réseaux de moyenne et grande taille, il est courant d'utiliser un topologie à trois couchesCouches cœur, distribution et accès. Chaque couche a un rôle, et leur combinaison avec les VLAN revêt une importance pratique considérable.

La couche d'accès est constituée des commutateurs qui Ils mettent directement les utilisateurs en relation. et les périphériques finaux. Ce sont eux qui possèdent le plus grand nombre de ports d'accès et où la plupart des VLAN (utilisateur, voix, IoT, etc.) sont définis. C'est là que l'allocation des ports et les bonnes pratiques de sécurité physique (empêcher tout branchement non autorisé de câbles) requièrent le plus d'attention.

La couche de distribution contient les commutateurs qui Ils agrègent le trafic provenant de plusieurs commutateurs d'accès.C'est généralement à ce stade que le routage entre les VLAN est effectué, que des ACL plus fines sont appliquées, que les liaisons fibre optique sont terminées, que des liaisons (EtherChannel) sont ajoutées et que des politiques plus avancées (QoS, contrôle des tempêtes, etc.) sont appliquées.

La couche centrale contient les liaisons de distribution et la passerelle vers Internet ou les réseaux externes. Dans les très grands réseaux, il est courant que… Le noyau est seul responsable de la commutation à haute vitesseavec très peu de fonctionnalités supplémentaires, afin de réduire la latence et la complexité.

Lors de la conception d'un réseau avec des VLAN, il est conseillé de commencer par définir quels groupes logiques sont nécessaires (par fonction, criticité, niveau de confiance, etc.) et ensuite l'intégrer dans un schéma IP bien planifié (sous-réseaux, masques, VLSM, plages dynamiques et statiques) et dans une allocation claire des ports sur chaque commutateur.

Types de VLAN et utilisations courantes

La norme la plus répandue pour l'étiquetage des cadres dans les liaisons principales est IEEE 802.1QIl ajoute 4 octets à l'en-tête Ethernet avec l'ID du VLAN et d'autres champs, afin que le commutateur sache exactement à quel VLAN chaque trame appartient sans encapsuler la trame entière.

Lorsque les VLAN sont configurés avec la norme 802.1Q sur les commutateurs, chaque port peut être marqué comme avec ou sans étiquette pour un VLAN spécifique. Un port peut être étiqueté dans plusieurs VLAN (cas typique d'un trunk) mais non étiqueté dans un seul d'entre eux (celui que le périphérique final verra s'il s'agit d'un port d'accès).

Outre les VLAN « normaux » basés sur la norme 802.1Q, il existe d’autres modalités largement utilisées dans les environnements d’entreprise : VLAN basés sur les ports, VLAN basés sur les adresses MAC, VLAN de gestion, VLAN de contrôle, VLAN natifs personnalisés, VLAN hybrides ou même VXLAN Dans les environnements de centres de données et de cloud où des millions de réseaux logiques sont nécessaires, il convient également d'envisager des technologies telles que : 802.1X et VLAN dynamiques pour l'allocation et la sécurité avancée.

La VLAN de gestion Il est exclusivement réservé à l'administration des commutateurs, routeurs, points d'accès, pare-feu et systèmes de surveillance. Il possède généralement son propre sous-réseau IP et des listes de contrôle d'accès (ACL) strictes qui encadrent les accès. Il est fortement déconseillé de gérer des périphériques appartenant aux mêmes VLAN que les utilisateurs.

L'appel VLAN de contrôle Il est dédié au trafic des protocoles réseau internes : STP, protocoles de routage, CDP, LLDP, VTP, etc. La séparation de ce trafic du trafic de données ou de gestion réduit le bruit, améliore la stabilité et permet l’application de mesures de sécurité spécifiques.

VLAN 1, VLAN natif et pourquoi ils constituent un problème de sécurité

Sur la plupart des commutateurs, le VLAN 1 est préconfiguré. VLAN par défaut et natif Sur tous les ports. Cela signifie que, si rien n'est modifié, tout le trafic non étiqueté entrant dans un trunk est placé dans le VLAN 1, et tous les ports en font partie.

Le problème, c'est que tout attaquant un tant soit peu compétent le sait. Le VLAN 1 est une cible privilégiée des attaques. Attaques par saut de VLAN, l'usurpation d'identité par commutateur et autres inventions qui tirent parti des configurations par défaut pour s'introduire dans d'autres VLAN.

Dans une attaque par usurpation de commutateur, par exemple, l'attaquant connecte son dispositif à un port où DTP est actif en mode dynamique et négocier une liaison principale grâce à ce commutateur, on obtient l'accès à plusieurs VLAN qui ne devraient jamais atteindre un hôte.

Dans une attaque par double étiquetage, deux étiquettes 802.1Q sont mélangées dans la même trame, profitant du fait que le VLAN natif ne transite pas par une étiquette, pour tenter de passer d'un VLAN à un autre via un trunk mal sécurisé.

Pour toutes ces raisons, les recommandations actuelles en matière de sécurité sont claires : N'utilisez pas le VLAN 1 pour les utilisateursNe le laissez pas comme VLAN natif sur les liaisons trunk, ne lui attribuez pas d'adresse IP de gestion et, si possible, isolez-le ou même filtrez-le afin qu'il ne transporte pas de trafic de production.

Meilleures pratiques pour la conception et l'allocation des ports

L'une des décisions clés lors de la configuration des VLAN est Comment les ports du commutateur sont-ils attribués ? Il faut définir la marche à suivre pour chaque VLAN et gérer les ports inutilisés. Cela peut paraître anodin, mais les performances et la sécurité en dépendent.

Il est toujours judicieux de laisser les ports d'accès ouverts. un seul VLAN non étiqueté (celui de l'utilisateur ou de l'appareil) et marquer les autres comme exclus. Cela empêche l'interface de « voir » les VLAN qui ne lui appartiennent pas, même si quelqu'un modifie accidentellement les paramètres.

Dans les liaisons principales, il est recommandé de configurer explicitement Quels VLAN sont autorisés ? (Par exemple, la configuration d'un trunk de commutateur autorise les VLAN 10, 20 et 99) au lieu de transmettre tous les VLAN du réseau. Chaque trunk ne doit transporter que les VLAN dont il a réellement besoin.

Pour les ports qui ne sont pas utilisés, la pratique la plus sûre consiste à les éteindre (mettre hors tension)Attribuez-les à un VLAN isolé (« trou noir ») sans passerelle ni DHCP, et assurez-vous qu'ils ne soient pas configurés en mode trunk ni que le protocole DTP ne soit activé. Cela empêche toute personne de connecter un périphérique et d'apparaître soudainement sur le réseau de production.

Dans les environnements où le nombre de ports est très élevé, il est conseillé de bien documenter. ce qui se branche sur chaque interfaceÉtiquetez le câblage et tenez vos schémas à jour. De nombreux problèmes de connectivité VLAN sont simplement dus à des déplacements de câbles sans documentation mise à jour ; guide de câblage Cela permet d'éviter les erreurs.

VLAN « non-sortie » et ports inutilisés

Une technique simple et très efficace pour protéger les ports libres consiste à créer un VLAN « sans sortie »Autrement dit, un VLAN sans DHCP, sans routage et sans services, dans lequel on place tous les ports d'accès non utilisés.

L'idée est que même si quelqu'un connecte un appareil à l'un de ces ports, cet hôte ne recevra pas d'adresse IP, n'aura pas de passerelle, ne pourra pas communiquer avec d'autres appareils et son trafic restera totalement isolé. C'est une sorte de limbes réseau.

Dans de nombreux environnements, un identifiant reconnaissable est utilisé, tel que : VLAN 777, 999 ou 4094À cette fin, le commutateur est configuré pour exclure le reste des VLAN de ces ports, aucune interface de couche 3 n'est définie pour ce VLAN et il n'est annoncé sur aucun routeur.

De plus, il est recommandé de désactiver le protocole DTP sur les ports d'accès de tous les commutateurs. port de commutation non négociéafin qu'ils ne tentent jamais de devenir automatiquement des lignes principales par le biais de négociations avec le voisin.

VLAN pour la voix, les données et les périphériques spéciaux

Dans les réseaux où il y a Téléphonie IP et trafic vocalLa pratique courante consiste à séparer le trafic voix dans un VLAN spécifique, distinct de celui des PC. Ceci pour deux raisons : les exigences de qualité de service et la sécurité.

Le trafic voix est extrêmement sensible à la latence, à la gigue et à la perte de paquets. S'il est mélangé de manière incontrôlée à des téléchargements importants, au streaming vidéo ou à des sauvegardes, la qualité des appels se dégrade rapidement. Isoler la voix dans un VLAN dédié permet justement d'éviter cela. priorisez-le avec la QoS et mettre en œuvre des politiques plus précises.

De plus, les téléphones IP possèdent généralement leurs propres capacités de marquage VLAN (802.1Q) : ils sont connectés en cascade au PC, le port connecté au réseau fait office de liaison (voix étiquetée, données non étiquetées) et le port connecté au PC fait office de port d'accès. Cela nécessite des configurations de ports légèrement plus fines pour éviter de créer des failles de sécurité.

Il est également judicieux de séparer les [incompréhensibles] en VLAN spécifiques. Objets connectés, domotique, caméras IP, téléviseurs, prises intelligentesetc. Ce sont des appareils qui présentent souvent un faible niveau de sécurité et un micrologiciel mal entretenu, et il est conseillé de ne pas les placer sur le même réseau logique que les PC de gestion ou les serveurs critiques.

Dans l'univers du Wi-Fi, la plupart des points d'accès professionnels permettent d'associer un SSID pour chaque VLANAinsi, la segmentation du réseau câblé s'étend au réseau sans fil : VLAN de gestion, VLAN d'entreprise, VLAN IoT, VLAN invité, chacun avec son SSID et ses règles.

Routage entre les VLAN, les ACL et les pare-feu

Par conception, les VLAN Ils ne se « voient » pas au niveau 2Pour que des périphériques situés sur des VLAN différents puissent communiquer, il est nécessaire d'utiliser le routage inter-VLAN de couche 3. Cette opération est généralement effectuée par un routeur, un pare-feu ou un commutateur de couche 3.

Il existe deux principaux modèles. Le premier consiste à utiliser un routeur ou pare-feu compatible 802.1Q Connecté à un bus trunk de commutateur, le routeur crée des sous-interfaces (une par VLAN), leur attribue des adresses IP et fait office de passerelle. pare-feuDe plus, elle applique des règles précises concernant qui peut parler à qui.

Le deuxième modèle consiste à utiliser un commutateur géré de couche 3 Au niveau de la couche de distribution ou cœur de réseau, des interfaces VLAN (SVI) sont créées, servant de passerelles pour chaque sous-réseau. Le commutateur gère le routage interne et les listes de contrôle d'accès (ACL) correspondantes, déchargeant ainsi le routeur de périphérie de cette tâche.

Dans les deux cas, il est essentiel d'accompagner ce routage de listes de contrôle d'accès (ACL) ou règles de pare-feu Strict. L'existence d'un chemin IP entre VLAN n'implique pas que tout le trafic doive être autorisé. Le filtrage doit être effectué en fonction de la source, de la destination, des ports, des protocoles et du sens des connexions.

Un exemple typique : le VLAN invité ne peut accéder qu’à Internet, le VLAN IoT ne peut communiquer qu’avec des serveurs spécifiques (tels que NTP, syslog ou un courtier MQTT), le VLAN étudiant ne peut pas accéder au VLAN de gestion, le VLAN de sauvegarde n’initie que des connexions au serveur de sauvegarde, etc.

Protocoles de gestion des VLAN : VTP et compagnie

Dans les grands réseaux comportant de nombreux commutateurs, la création manuelle de VLAN sur chaque périphérique est impraticable et source d'erreurs. C'est pourquoi des protocoles comme VTP (VLAN Trunking Protocol) dans l'univers Cisco, qui permettent une distribution centralisée de la liste des VLAN.

VTP définit trois modes de fonctionnement pour un commutateur : serveur, client et transparentLes serveurs peuvent créer, renommer ou supprimer des VLAN et transmettre ces informations aux clients du même domaine. Les clients reçoivent et appliquent les modifications, mais ne les modifient pas. Les serveurs transparents ne traitent pas la base de données VLAN ; ils se contentent de relayer l’information.

Ces types de protocoles simplifient grandement la vie, mais ils présentent des inconvénients : une erreur dans un commutateur serveur, un mot de passe VTP mal géré ou un ancien commutateur réintroduit dans le réseau avec une base de données obsolète peuvent causer des problèmes. détruire complètement la configuration VLAN dans toute l’organisation.

C'est pourquoi, dans de nombreuses conceptions actuelles, le mode VTP est privilégié. transparent ou tout simplement ne pas l'utiliser, en gérant les VLAN avec des outils de automation (Ansible, modèles, contrôleurs centralisés, etc.) ou avec une conception plus statique et contrôlée.

Sécurité avancée : VACL, PVLAN et atténuation des attaques

À mesure que le réseau s'étend et que sa criticité augmente, les VLAN ne suffisent plus. Pour un contrôle plus précis du trafic au sein d'un VLAN, d'autres méthodes peuvent être utilisées. VACL (VLAN ACL ou cartes VLAN)qui permettent de filtrer ou de rediriger le trafic au niveau du VLAN, et non pas seulement sur des interfaces spécifiques.

Les VACL sont configurées en définissant cartes d'accès VLAN Ils utilisent des listes de contrôle d'accès IP ou MAC et spécifient ce qu'il faut faire avec le trafic correspondant : le laisser passer, le bloquer, l'envoyer vers un port de surveillance, le rediriger… Ensuite, ils sont appliqués globalement à un ou plusieurs VLAN sur le commutateur.

Dans les cas où vous souhaitez isoler des hôtes au sein du même sous-réseau, il existe les VLAN privés (PVLAN)Cela commence par un VLAN principal, qui est généralement l'emplacement de la passerelle, et crée des VLAN secondaires associés de deux types : isolés et communautaires.

VLAN secondaires de type isolé Ils permettent à chaque hôte de voir uniquement la passerelle, et non les autres hôtes, même s'ils se trouvent sur le même VLAN secondaire isolé. Ce sont des types Communautés Ils permettent à un groupe d'hôtes de se voir entre eux et de voir la passerelle, mais pas à d'autres groupes sur le même serveur principal.

Concernant les attaques spécifiques, outre ce qui a déjà été dit à propos du VLAN 1 et du DTP, il est essentiel d'atténuer les Saut de VLAN par double marquagePour ce faire, il est recommandé de modifier le VLAN natif en un VLAN qui n'est pas utilisé avec les hôtes, de supprimer ce VLAN natif des liaisons trunk si possible, de désactiver DTP, de définir explicitement les ports comme accès ou trunk et d'utiliser des commandes afin que le VLAN natif voyage toujours avec une étiquette, en ignorant le trafic non étiqueté.

Diagnostic et maintenance des réseaux avec VLAN

Configurer un réseau avec des VLAN ne représente que la moitié du travail ; l'autre moitié consiste à… assurer la maintenance et déboguer les incidents Sans paniquer, les problèmes de connectivité VLAN ont généralement des causes assez communes. Pour des guides et des procédures pratiques, consultez les ressources sur [lien manquant]. diagnostic des problèmes de réseau.

D'une part, il y a les erreurs physiques : des câbles déplacés d'un port à un autre sans mise à jour de la documentation, des ports configurés en accès là où il devrait s'agir d'un trunk, ou vice versa, des liaisons redondantes mal définies qui se terminent par des boucles si le protocole STP n'est pas correctement paramétré.

En revanche, il existe des défaillances logiques : des VLAN créés sur certains commutateurs mais pas sur d’autres, Listes de VLAN autorisées sur les liaisons trunk mal configuréesPlages DHCP qui ne correspondent pas aux masques ou passerelles mal configurées sur les périphériques finaux.

Les principaux outils de diagnostic sont les commandes habituelles : afficher les VLAN, afficher les interfaces trunk, afficher le protocole Spanning Tree, afficher un résumé des interfaces IP, ping, tracerouteetc. Les combiner avec des captures de trafic sur des ports spécifiques et un bon système de surveillance est très utile.

Il est également conseillé de revoir périodiquement le Configuration des ACL, des règles de pare-feu, des PVLAN, des VACL et de la gestion afin de garantir qu'aucune lacune n'ait été laissée ouverte après des modifications, des extensions ou des migrations de projet.

Une documentation claire (schémas VLAN, plages d'adresses IP, affectations de ports, description des politiques d'accès inter-VLAN) et une journalisation rigoureuse des modifications sont presque aussi importantes que les commandes de configuration elles-mêmes.

Grâce à une segmentation bien pensée, des VLAN correctement étiquetés, une gestion prudente des VLAN natifs, un routage inter-VLAN protégé par ACL et des pratiques de maintenance cohérentes, un réseau d'entreprise peut réaliser un bond de performance considérable. sécurité, performance et contrôle sans avoir besoin de reconstruire l'intégralité de l'infrastructure physique.