Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

dimanche 25 septembre 2016

Sécurisation au niveau couche de transport réseau: VLAN

Les VLAN Ethernet (réseau local virtuel) offrent de nouvelles solutions et opportunités en matière de gestion des réseaux informatiques des entreprises
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Le paysage des attaques de sécurité au niveau de la couche de transport du réseau du modèle ISO est vaste. Celui-ci offre différentes opportunités d'effraction sur les communications. Pour rappel, ce niveau est le second du modèle. Il décrit la technologie utilisée pour le transport et l'acheminement des datagrammes IP (paquets). C'est à ce niveau qu'interviennent les technologies ethernet. Face à ces dangers, plusieurs techniques de protection et de prévention sont à la disposition des administrateurs réseau. Le VLAN fait partie de ces outils.

Voici quelques exemples de failles de sécurité au niveau des communications Ethernet:

  • MAC attack: chaque carte réseau ethernet possède une adresse MAC (Medium Access Control) qui l'identifie univoquement. Néanmoins, un hacker peut usurper (spoof) cette adresse MAC. Il peut dès lors lancer des opérations comme le "man in the middle". Cette technique consiste à se placer au milieu d'une communication pour intercepter ou même modifier le trafic de données. Une autre technique consiste pour le hacker à faire passer son ordinateur pour celui du service légitime auquel l'utilisateur tente d'accéder (par exemple sa banque). On parle alors de "services spoofing";
  • ARP attack: le protocole ARP (Adress Resolution Protocol) sert à réaliser la table de correspondance entre une adresse MAC et une adresse IP. Ce type d'attaque permet au hacker d'usurper l'identité d'une ou plusieurs autre(s) station(s) afin de capturer le trafic (session hijacking) qui lui est associé grâce à la fonctionnalité "gratuitus arp" du protocole ethernet. Cette attaque peut aussi servir à des fins de déni de services (DoS) (on parle de CAM Overflow). Elle exploite alors une contrainte technique sur la taille maximale de la table des correspondances. Si le hacker envoit de nombreux messages, la table finit par être pleine, esentiellement avec des informations erronées. Les stations de travail ayant réellement besoin de communiquer en sont alors incapables;
  • Spanning Tree Attack: ce protocole, utilisé par un commutateur, sert à éviter qu'une boucle de communication ne soit créée. Une telle boucle impliquerait qu'un message (trame ethernet) ne parvienne jamais à son destinataire et soit transmis à l'infini. Une autre attaque sur ce protocole consiste pour le hacker à envoyer des messages particuliers (BPDU) pour devenir le commutateur "maître". De la sorte, tout le trafic passe par le hacker qui a donc accès à toutes les données transmises. Cette attaque peut avoir comme impact supplémentaire de dégrader les performances d'un réseau;
  • DHCP spoofing: le hacker fait en sorte de jouer le rôle du serveur d'adressage réseau.

L'évolution rapide de la connectivité Internet a poussé de nombreuses organisations à étendre leur installation informatique. La technologie LAN Ethernet (qui ne s'applique pas uniquement aux environnements ethernet) apporte des solutions nouvelles dans la segmentation et la sécurisation des réseaux locaux, tout en augmentant leurs performances.

Définition

Un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel utilisant la technologie Ethernet (IEEE 802.1q) pour regrouper les éléments du réseau (utilisateurs, périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à un département, etc.), sans se heurter à des contraintes physiques (dispersion des ordinateurs, câblage informatique inapproprié, etc.).

Le VLAN:

  • supprime les contraintes physiques relatives aux communications d'un groupe de travail,
  • peut couvrir tout un bâtiment, relier plusieurs bâtiments ou encore s'étendre au niveau d'un réseau plus large,
  • apporte des outils suplémentaires pour le renforcement de la sécurité.

Applications

La création de deux VLAN regroupant, d'une part, les périphériques et, d'autre part, les utilisateurs permet de gérer individuellement les droits et priorités d'accès des utilisateurs. Par exemple, l'utilisateur 3 est prioritaire dans l'utilisation de la bande passante et il est le seul à avoir accès à l'imprimante couleurs.

VLAN pour le partage et le contrôle des ressources

La création de VLAN au sein d'un bâtiment complexe (nombreux étages, architecture compliquée, etc.) permet de regrouper les utilisateurs par centres d'intérêts, alors qu'ils sont situés à des endroits différents. Le VLAN 1 regroupe tous les informaticiens répartis entre deux étages, ainsi qu'un travailleur à distance.

VLAN par département

Bien que situés dans des bâtiments différents, les membres du personnel travaillent dans des VLAN "horizontaux" qui regroupent virtuellement les pôles de compétences.

VLAN dans le cas de bâtiments distants

Grâce à la technologie VLAN, le commutateur fait suivre les règles indiquées par le standard et fait en sorte de distribuer les messages aux portes réseaux adéquates. Cela reste valable même si des stations sont connectées sur des portes réseaux situées dans un autre commutateur. C'est grâce à une étiquette apposée sur les messages Ethernet ainsi qu'à l'ensemble des règles que l'administrateur a défini que le commutateur est capable de déterminer où le message doit être envoyé, diffusé ou bien encore si le message doit être filtré. Pour réaliser un VLAN, il faut que les commutateurs et les cartes réseaux supportent cette extension de la technologie Ethernet.

La technologie VLAN renforce la sécurité en apposant au niveau le plus bas de la communication un certain nombre de contraintes communément appelées "Layer 2 Security". Les frontières virtuelles créées par les VLAN ne peuvent être franchies que via un router (IP par exemple). Tous les mécanismes de sécurité (ex: pare-feu) disponibles sur un router peuvent alors définir les règles qui régissent le passage de ces frontières.

Commutateur avancé

Il existe désormais des commutateurs ethernet possédant certaines fonctionnalités présentes sur un router. Dans certaines situations, ce type de commutateur permet de se passer d'un router car les fonctions de routage nécessaires (IP par exemple) sont disponibles, en plus des fonctions propres à la commutation ethernet proprement dite.

Portail de la Région wallonne