le "Private Vlan" (PVLAN) ?
Depuis quelques années maintenant, j'ai régulièrement recours à l'utilisation de VLAN pour segmenter au Niveau 2 les réseaux d’entreprise. A chaque fois est attribué à ces VLAN un sous-réseau IP qui est routé via des équipements de Niveau 3 (Routeurs, Pare-feux).
Cependant, j'ai pu constater que, très souvent, il y a un abus de l'utilisation de cette segmentation, qui consiste à saucissonner en une multitude de sous-réseau afin d'apporter une sécurité suffisante entre les différentes machines.
Le Private VLAN est là pour palier à cet excès de découpage et amène une sécurité de Niveau 2 supplémentaire.
besoins auxquels le Private VLAN peut répondre
Le besoin qui me vient immédiatement à l'esprit, c'est l'utilisation pour des zones d'utilisateurs invités (où se connecte très souvent des PC de la bureautique...). Cela est d'ailleurs très souvent utilisé pour les accès WiFi invités. Les clients WiFi connectés avec ce mode activé sur la borne ne peuvent communiquer entre eux (sachant que c'est une communication en mode diffusion au même titre qu'un Hub sur un réseau WiFi, il faut se protéger contre la récupération de données par un p'tit malin).
L'objectif dans cet exemple est d'éviter le transfert de données ou d'attaque entre clients sur ce réseau "hostile". Si l’on voulait isoler ces clients, il faudrait utiliser un VLAN par client, ce qui est impensable… Heureusement que le Private VLAN est là...
Une autre utilisation possible concerne les DMZ, afin d'éviter la multiplication de ces zones sur les pare-feux. Nous avons souvent besoin d’une segmentation des serveurs des DMZ avec à chaque fois un réseau IP, et donc une interface sur le pare-feu (et plus nous avons d'interfaces sur un pare-feu, plus la matrice des flux explose).
solutions proposées avec le Private VLAN
Pour mon premier besoin, dans une zone de clients « invités », il est idéal d’un point de vue sécurité d’isoler les clients entre eux. Et c’est là que, bien souvent, l’aspect sécurité passe à la trappe, et tout le monde se retrouve dans le même VLAN avec un accès sans contrôle.La solution ici est d’utiliser la fonction de Private VLAN, avec un PVLAN invité en mode « Isolated ». De cette manière, nous avons un seul VLAN pour nos invités, mais ils peuvent uniquement contacter la passerelle par défaut, qui va permettre le filtrage et/ou l’authentification vers les ressources.
Pour notre second besoin en DMZ, on s’aperçoit que, très souvent, un serveur en D
MZ est utilisé en mode proxy, avec une communication du type LAN->DMZ->WAN ou WAN->DMZ->LAN, et rarement intra-DMZ. Dans le cas d’une DMZ contenant plusieurs types de service (relai Mail, Web, Portail SSL…) l'altération d'un serveur de la DMZ par un pirate mettra en péril les autres services de cette zone DMZ d’où, très souvent, un découpage fin en plusieurs DMZ.
Avec la fonction de Private VLAN en mode « Isolated », une seule DMZ pourrait contenir plusieurs serveurs avec pour chacun des services différents avec le même niveau de sécurité.
Dans le cas d'un ensemble de serveurs qui auraient besoin de communiquer ensemble, le mode « Community » serait plus adapté. En effet, cela permet aux serveurs de communiquer au sein d’une même communauté, et d'accéder à la passerelle (Pare-feu), mais être isolés des autres serveurs d’une autre communauté.
Pour résumer, au lieu d'avoir X DMZ avec à chaque fois un réseau IP, nous avons X Communauté PVLAN avec un même réseau IP et interface sur le Pare-feu, avec un niveau de sécurité équivalent.
conclusion
Le Private VLAN, bien que connu par de nombreux experts, reste encore trop souvent écarté alors qu'il permet bien souvent une simplification de l'architecture (cas d'isolations de serveurs en DMZ par exemple) ou un ajout de sécurité simple à mettre en place (cas des réseaux invités).
Maintenant que vous en savez plus, il n’y a plus qu’à se poser la bonne question au bon moment ! ;-)
Guillaume.
crédit photo : © David Mathieu et © Konstantin Li - Fotolia.com