VLAN - Segmentation and Security

Un réseau local virtuel (VLAN) est un réseau isolé, sans qu'il soit nécessaire qu'un appareil de réseau soit situé à proximité. Cette liberté physique permet d'assigner des groupes d'appareils à des VLAN spécifiques, ce qui permet aux ingénieurs réseau de construire une topologie segmentée plus sûre.

Avec la segmentation VLAN, les acteurs malveillants ne sont limités qu'aux ressources et privilèges associés au sous-réseau correspondant d'un appareil compromis. La segmentation des VLAN exige ses propres considérations en matière de sécurité, et les opérations inter-sous-réseaux doivent faire l'objet d'une attention et d'une protection adéquates.

OBTENIR UNE DÉMO Lire le rapport Frost & Sullivan

Segmentation du réseau VLAN et segmentation du réseau SDN

Le VLAN a été l'un des premiers moyens d'isoler des segments de réseau, et c'est l'un des plus simples.

Pour mieux comprendre le fonctionnement du VLAN, comparons-le à une forme plus moderne d'approche de la segmentation du réseau : le Software Defined Networking (SDN).

Segmentation du réseau local virtuel (VLAN)

Voici comment fonctionne la segmentation VLAN.

Connexion à un VLAN

Lorsqu'un hôte souhaite se connecter à son sous-réseau VLAN, la demande de l'appareil transite par l'internet jusqu'à un routeur, qui trie ensuite la demande et l'envoie au commutateur approprié.

Ports & Commutateurs

Ce commutateur achemine les données vers et depuis le segment de réseau correspondant.

Contrôler quels utilisateurs ont accès à quel VLAN est la clé d'une segmentation sécurisée du réseau. Dans de nombreuses organisations, l'accès est géré en attribuant des VLAN spécifiques à des ports ou à des adresses MAC. Ces commutateurs n'autorisent alors l'envoi et la réception de données que vers les ports appropriés, ce qui permet aux administrateurs de réseau d'imposer l'accès au VLAN dans l'ensemble de l'organisation.

Balisage VLAN

Les ports ne sont pas la seule solution, et les connexions à un seul VLAN peuvent également être réalisées grâce à l'étiquetage VLAN.

Cela ajoute un petit en-tête aux trames Ethernet envoyées ; lors du transfert de ces paquets, le commutateur vérifie deux fois l'étiquette, ce qui empêche toute fuite de données vers d'autres sous-réseaux VLAN. Mieux encore, les balises VLAN sont des balises de couche 2, distinctes de l'adresse IP. Les appareils peuvent donc être connectés à la même structure VLAN, même s'ils se trouvent dans des plages d'adresses IP différentes.

Bien qu'ils soient évolutifs et très flexibles, les commutateurs font partie intégrante de la mise en œuvre des VLAN. Mais cette forme physique de stratégie de segmentation du réseau n'est plus la seule option.

Segmentation des réseaux définis par logiciel (SDN)

Le SDN fait totalement abstraction du plan de contrôle par rapport au matériel physique. Cela signifie que, plutôt que de s'appuyer sur une segmentation physique, les réseaux SDN peuvent utiliser une segmentation logique pour obtenir un effet similaire.

La distinction

En ce qui concerne la segmentation du réseau, cependant, la distinction importante réside dans la façon dont le VLAN divise les groupes statiques d'appareils en sous-réseaux physiques, alors que le SDN est une approche plus large qui peut gérer les groupes de réseaux, les appareils et l'accès au réseau des charges de travail à partir d'un panneau de contrôle central.

Avantages de la segmentation VLAN

La segmentation de l'ensemble du réseau a pour principal avantage de limiter les mouvements latéraux, c'est-à-dire d'est en ouest.

Cela limite explicitement les mouvements que les acteurs malveillants et les logiciels malveillants peuvent utiliser pour attaquer votre organisation. En outre, la segmentation VLAN offre quelques autres avantages, propres à sa simplicité.

Amélioration des performances du réseau

Au sein d'un réseau local, tous les appareils envoient constamment de fréquentes émissions, communiquant et localisant les ressources du réseau. Lorsque les réseaux locaux prennent de l'ampleur, ce trafic de fond peut rapidement devenir problématique.

Les VLAN réduisent l'encombrement du réseau en divisant simplement un grand réseau en plusieurs parties pertinentes.

Ce faisant, les VLAN réduisent les demandes de réponse de chaque appareil à ces interminables requêtes en arrière-plan, et leur permettent donc de consacrer leurs ressources uniquement au trafic concerné. Enfin, du point de vue de l'administrateur, il est possible de restreindre ou de fixer des limites à l'utilisation de la bande passante de chaque sous-réseau, ce qui permet de modérer l'utilisation des ressources payantes.

Mise à l'échelle facile

Au fur et à mesure qu'une organisation se développe au-delà d'un simple réseau local vers le territoire VLAN, il est important de choisir une architecture capable de s'adapter à l'avenir. Le VLAN est bien adapté à une croissance ultérieure, car de nouveaux sous-réseaux peuvent être rapidement mis en place sans avoir à revoir la structure générale.

Administration simplifiée du réseau

En regroupant les appareils de manière plus stratégique, l'administration du réseau peut bénéficier d'une rationalisation importante. Pour ce faire, l'infrastructure VLAN prend en charge la gestion pratique avec le VLAN de gestion. Il s'agit du VLAN 1 par défaut, qui surveille à distance l'appareil dans chaque sous-réseau via SSH, Telnet et syslog.

Avec une myriade d'avantages par rapport à l'architecture LAN classique, le VLAN est un premier pas très accessible vers une architecture plus sûre.

Inconvénients du VLAN

Son accessibilité s'accompagne toutefois d'un certain nombre de problèmes de sécurité et de performance.

La confiance n'est pas intrinsèquement nulle

Chaque appareil et chaque utilisateur disposant d'un VLAN de groupe, le risque qu'un pirate s'introduise et accède à tous les secrets de l'entreprise est réduit. Cependant, le risque n'est pas définitivement écarté - chaque appareil au sein du VLAN est toujours supposé être digne de confiance.

Cela signifie que, pour les attaquants, certains rôles deviennent intrinsèquement plus intéressants à cibler - DevOps méritant une mention honorable pour l'attention malveillante dont il fait l'objet.

Par rapport à des approches de micro-segmentation plus étroites, la conception relativement basique du VLAN signifie qu'il n'est pas en mesure de réagir à l'évolution des conditions du réseau segmenté et du comportement des appareils sans outil supplémentaire.

Segmentation non universelle

Si les réseaux locaux virtuels permettent de segmenter un réseau, leur pertinence pour les grandes entreprises commence à se dégrader si l'on considère qu'ils ne segmentent qu'un seul réseau physique.

Ainsi, si vous avez deux bureaux, chacun avec sa propre équipe informatique et son propre réseau, la segmentation VLAN n'est pas en mesure de gérer les sous-réseaux auxquels les deux équipes informatiques ont besoin d'accéder conjointement. Les VLAN sont conçus pour séparer le trafic réseau, après tout - si vous vouliez autoriser l'accès entre deux VLAN, vous auriez besoin d'un routage inter-VLAN, qui est intrinsèquement plus risqué et nécessite des révisions régulières des listes de contrôle d'accès inter-VLAN.

Peut introduire la vulnérabilité

Le fait que l'infrastructure VLAN soit si bien établie signifie que les attaquants ont des dizaines d'années d'expérience dans la mise en œuvre d'attaques contre cette infrastructure. Il existe donc un risque que la moindre erreur de gestion conduise à un saut de VLAN.

Un trafic usurpé du VLAN 1 permet un accès malveillant aux ports de jonction, et donc au reste des segments du réseau.

Créez une topologie à l'épreuve du temps avec Check Point

La confiance zéro est plus qu'un mot à la mode dans les entreprises : il s'agit d'une philosophie de sécurité qui limite chaque appareil aux systèmes et ressources individuels dont il a besoin. La macro-segmentation, telle que les sous-réseaux VLAN, constitue une première étape importante dans la mise en œuvre de cette approche, mais il est vital d'introduire une protection supplémentaire autour de chaque sous-réseau.

Pour un déploiement sur site, les Pare-feu de nouvelle génération (NGFW) de Check Pointoffrent une visibilité et un contrôle complets sur le trafic et les requêtes circulant dans et entre les sous-réseaux. Avec des options de débit à large bande, l'inspection approfondie des paquets du NGFW permet d'attraper et d'arrêter à temps les requêtes malveillantes. Découvrez comment avec une démo ici.

Les installations basées sur le cloud, en revanche, ont besoin de la virtualisation et de la sécurité du réseau offertes par CloudGuard Infrastructure as a Service (IaaS). Découvrez comment la sécurité automatisée peut être mise en œuvre sur les sites publics, privés et hybrides cloud, et commencez dès aujourd'hui à mettre en place une topologie de réseau de confiance zéro.

Commencez

Quantum network security

Solution de sécurité "Zero Trust" en bref

Solutions de sécurité "Zero Trust

Sujets connexes

Qu’est-ce que le Zero-trust ?

Qu’est-ce que le SASE ?

Segmentation du réseau

Qu’est-ce qu’un pare-feu de nouvelle génération (NGFW) ?

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK