Les VLAN
Vue d’ensemble des VLAN
En IPv4, les réseaux locaux sont sensibles aux diffusions, en effet lors d’une diffusion (broadcast) toutes les machines du réseau (ou du sous-réseau) reçoivent l’information diffusée, même si cette information ne les concerne pas ! Seuls les routeurs bloquent le trafic de diffusion.
Réduire la taille d’un domaine de diffusion en découpant celui-ci en sous-domaines permet de réduire le nombre de périphériques impactés par la diffusion et d’augmenter les performances du réseau.
Les routeurs sont des appareils spécialisés dans le routage et le transfert de données à longue distance (pour les réseaux WAN) et leurs circuits intégrés gérant la commutation ne sont pas aussi performants que ceux des commutateurs. De plus, les routeurs ne disposent pas de suffisamment de cartes réseau pour autoriser le nombre de subdivisions nécessaires dans un réseau moderne.
L’accès au LAN est généralement géré par un commutateur d’accès L2 (couche 2) qui placera le périphérique dans le réseau virtuel (VLAN) adéquat.
Même si les VLAN sont principalement utilisés dans des réseaux locaux commutés, ils sont de plus en plus employés dans les réseaux étendus (WAN).
1. Définition
Les VLAN sont des regroupements logiques de périphériques au sein d’un même réseau physique, ils sont identifiés par un numéro. Un groupe de périphériques dans un VLAN communiquent...
Implémentation de VLAN
Le nombre de VLAN pris en charge dépend du matériel et même, chez certains fabricants, de la licence choisie. Les anciens Cisco Catalyst 2960 prennent en charge 255 VLAN mais certains vont jusque 4096 (2 exposant 12) puisque l’ID de VLAN comporte 12 bits. Chez Cisco il existe deux plages de VLAN :
1) La plage normale (ID allant de 1 à 1005) ayant les caractéristiques suivantes :
-
Les VLAN ayant les ID 1 et 1002 à 1005 sont créés par l’IOS et ne peuvent être renommés ni supprimés.
-
Les ID allant de 1 à 1001 sont prévus pour une utilisation standard en entreprise, même si l’utilisation du VLAN 1 n’est plus recommandée.
-
Les ID allant de 1002 à 1005 sont réservés à Token Ring et FDDI (Fiber Distributed Data Interface). FDDI est une technologie de conception similaire à Token Ring utilisant un système à deux anneaux afin de garantir un chemin redondant. Cette technologie est généralement remplacée par STP (ou un protocole dérivé de STP) pour des raisons de simplicité de mise en œuvre et de coût.
-
Les configurations des VLAN sont stockées dans le fichier vlan.dat situé dans la mémoire flash. Le protocole VTP (VLAN Trunking Protocol) exploite le fichier vlan.dat pour gérer et propager les VLAN aux commutateurs d’un même domaine afin que l’administrateur ne doive pas intervenir sur tous les commutateurs de l’entreprise.
2) La plage étendue (ID compris entre 1006 et 4094) ayant les caractéristiques suivantes :
-
L’augmentation...
Sécurité des VLAN
1. Attaques de VLAN
La création de VLAN dans un réseau moderne permet de meilleures performances en réduisant la taille des domaines de collision et augmente la sécurité en isolant les trafics en couche 2 du modèle OSI. Il est toutefois possible dans certains cas de voir le trafic d’autres VLAN ou de changer de VLAN lorsque les configurations mises en place par les administrateurs réseau sont incomplètes.
a. Attaque par usurpation de commutateur
L’attaque par usurpation de commutateur consiste à créer une agrégation entre la machine de l’attaquant et un commutateur. Le protocole DTP, qui a été créé pour aider les administrateurs, joue ici un rôle important. En effet, par défaut sur des Catalyst Cisco, DTP est activé, et comme les ports sont par défaut en mode dynamic auto, il suffit de placer l’autre extrémité du lien en mode trunk pour activer une agrégation ! De plus, toujours chez Cisco, tous les VLAN sont autorisés par défaut dans un trunk. Donc le pirate va directement recevoir le trafic de tous les VLAN et va également pouvoir accéder à tous les VLAN !
Attaque par usurpation de commutateur
Le meilleur moyen d’éviter cette attaque consiste à :
-
Forcer toutes les interfaces du commutateur en mode accès par défaut dans un VLAN non utilisé (par exemple le VLAN 99) :
NAN-SW-01(config)# interface range F0/1-24
NAN-SW-01(config-if-range)# switchport mode access
NAN-SW-01(config-if-range)# switchport access vlan 99
-
Désactiver toutes les interfaces non utilisées :...