La sécurité des VLANs
Il est courant dans les réseaux d’entreprise d’avoir plusieurs VLANs définis pour séparer différents types de trafic réseau, comme le trafic de données, le trafic vocal ou le trafic de gestion. Cependant, sans restrictions appropriées, les communications entre les VLANs sont possibles, ce qui peut conduire à des problèmes de sécurité. La restriction des communications entre les VLANs permet de minimiser l’impact potentiel d’une violation de sécurité dans un VLAN spécifique. Par exemple, si un attaquant parvient à compromettre un appareil dans un VLAN, la restriction des communications entre les VLANs peut aider à empêcher l’attaque de se propager à d’autres parties du réseau.
La principale méthode pour restreindre les communications entre les VLANs consiste à utiliser des listes de contrôle d’accès (ACLs). Une ACL est une liste de règles qui détermine quels types de trafic sont autorisés ou refusés sur un réseau. En configurant des ACLs sur un routeur, il est possible de contrôler le trafic entre les VLANs. De même, il est possible de créer une ACL qui bloque tout le trafic provenant d’une adresse IP spécifique ou d’un ensemble d’adresses IP.
Les ACL standards opèrent principalement en se basant sur l’adresse IP source du paquet de données. Pour chaque paquet reçu, l’ACL vérifie l’adresse IP source et prend une décision basée sur les règles préétablies. Une règle dans une ACL standard définit une permission, soit autoriser (permit) ou bloquer (deny). Une politique est appliquée lorsque la règle ne correspond pas. C’est à dire que si un paquet provient d’une adresse IP qui n’est pas spécifiquement couverte par une règle existante, la politique de l’ACL décide de ce qu’il doit se passer
Les règles dans une ACL sont vérifiées dans l’ordre, du haut vers le bas. Chaque paquet est comparé à chaque règle dans l’ACL jusqu’à ce qu’il trouve une correspondance. Si aucune règle ne correspond, la politique par défaut est appliquée. Chez Cisco, la politique par défaut est “deny”, ce qui signifie que si un paquet ne correspond à aucune règle, il est bloqué. Les ACL peuvent être appliquées à certaines interfaces réseau.
Pour créer une ACL
Router(config)# access-list <numero-acl> [deny|permit] <ip.ip.ip.ip> <ip.wild.card.ip>
Router(config)# access-list <numero-acl> [deny|permit] any
Pour utiliser ces commandes
- Entrez dans le mode configuration globale.
- Déterminez un numéro de chaine de 1 à 99 et réutiliser ce même numéro pour votre chaine.
- Tapez la commande
access-list <numero-acl> [deny|permit] <ip.ip.ip.ip> <ip.wild.card.ip>
en remplaçant<numero-acl>
par le numéro de la chaine,[deny|permit]
par l’action à réaliser et remplacer<ip.ip.ip.ip>
<ip.wild.card.ip>
par le réseau source à filtrer. - Vous pouvez compléter votre chaine avec la même commande afin de viser un autre réseau.
- Une fois la chaine terminée, tapez la commande
access-list <numero-acl> [deny|permit] any
en remplaçant<numero-acl>
par le même numéro de la chaine, et[deny|permit]
par la politique par défaut à adopter, si aucune règle de la chaine ne correspond.
Exemple d’utilisation
Router> enable
Router# configure terminal
Router(config)# access-list 10 deny 192.168.10.0 0.0.0.255
Router(config)# access-list 10 permit any
Router(config)# end
Pour appliquer une ACL
Router(config-if)# ip access-group <numero-acl> out
Pour utiliser cette commande
- Entrez dans le mode de configuration de l’interface réseau
- Tapez la commande
Router(config-if)# ip access-group <numero-acl> out
en remplaçant<numero-acl>
par le numéro de chaine à appliquer sur l’interface réseau.
Exemple d’utilisation
Router> enable
Router# configure terminal
Router(config)# interface GigabitEthernet 0/0/0.20
Router(config-if)# ip access-group 10 out
En règle général, les ACL standards sont appliqués sur l’interface réseau qui est la plus proche de la destination du trafic réseau que vous cherchez à contrôler. En d’autres termes, l’ACL standard doit être placée sur l’interface du réseau de destination, et non sur l’interface du réseau source. Ainsi, si l’objectif est de bloquer le trafic entre le VLAN-10 et VLAN-20: l’ACL standard bloquant le VLAN-10 doit être appliquée sur l’interface connectée au VLAN-20, et inversement.