Travaillez avec nous dès maintenant - contact@leguideinfo.com
Retour sur leguideinfo.com
Isolation des sous-réseaux en VLANs et sécurité d'accès.
Ce sont deux concepts différents mais complémentaires en matière de segmentation du réseau. Les Isolation VLANs permettent de créer des groupes de ports qui ne peuvent pas communiquer entre eux, garantissant ainsi un niveau élevé de sécurité. D'autre part, les sous-réseaux permettent de diviser une adresse IP en plusieurs sous-réseaux plus petits, ce qui facilite la gestion et l'optimisation du réseau.

by Antoine Driget

Introduction à l'isolation sous réseaux et VLANs
Qu'est-ce que l'isolation sous réseaux ?
La séparation des différents services dans des sous-réseaux distincts ou des VLANs pour contrôler et sécuriser les flux de données.
Pourquoi est-elle cruciale ?
  • Minimise les risques de propagation des attaques.
  • Améliore la gestion et l'architecture réseau.
  • Optimise le trafic réseau.
Schéma exemple d'infrastructure réseau
L'isolation des sous réseaux ci-dessous permet d'augmenter la sécurité en réduisant les risques de propagation d'attaques et en fournissant un contrôle plus granulaire sur les flux de données. Les VLANs sont une technique couramment utilisée pour diviser les réseaux en sous-réseaux logiques. En utilisant des VLANs, les services peuvent être séparés en groupes individuels et isolés pour une sécurité accrue.
Le VLAN DMZ et son isolation réseau
Définition de la DMZ (Demilitarized Zone)
Une zone intermédiaire entre le réseau interne sécurisé et le réseau externe (Internet).
Importance de l'isolation pour la sécurité
Les services exposés au public (serveurs web, ssh) sont isolés des réseaux internes pour réduire les risques d'intrusion.
Utilisation des VLANs
Segmentation de la DMZ en utilisant des VLANs pour isoler les serveurs publics et limiter l'accès aux ressources critiques internes.
Le VLAN DB pour les bases de données
1
Pourquoi isoler les bases de données ?
Permet la protection des données sensibles contre les attaques et les accès non autorisés.
2
VLAN pour la sécurité des bases de données
Création d'un VLAN DB dédié pour les serveurs de base de données.
3
Contrôle des flux
Utilisation de pare-feux pour filtrer les connexions à la base de données (uniquement via les serveurs applicatifs autorisés).
4
Restreindre les communications
Avec les autres sous-réseaux (ex. : Protocole SQL avec la DMZ ou SSH avec le réseau utilisateur).
Le VLAN ADMIN pour l'administration
Pourquoi un VLAN dédié pour l'administration ?
Séparation des accès administratifs critiques des autres réseaux pour limiter les points de vulnérabilité.
Sécurisation de l'accès admin
Utilisation de VLANs pour isoler les accès admin (SSH, RDP) des réseaux utilisateurs et des services ouverts au public.
Best practices
Utiliser des VPN et restreindre les accès à distance uniquement aux VLANs administratifs.
Connexion WAN/NAT et VLANs
1
Isolation du WAN/NAT
Utiliser des VLANs permet de séparer les connexions WAN (Internet) du réseau interne.
2
Séparation des passerelles
Séparer les VLANs internes en attribuant les passerelles pour éviter les attaques venant de l'extérieur.
3
Règles de trafic
Appliquer des politiques de sécurité strictes pour les VLANs exposés à Internet (filtrage IP, NAT, pare-feux).
4
Contrôle des flux entrants et sortants à travers un firewall ou un routeur NAT.
Renforcer la sécurité en utilisant un firewall type pfSense pour contrôler les flux entrants et sortants. Appliquer des règles de filtrage IP pour limiter l'accès depuis et vers les VLANs exposés à Internet. Configurer des pare-feux pour bloquer toute activité malveillante et protéger les VLANs internes des attaques externes.
Exemple de règles avec pfSense
Anti-Lockout Rule
Permet de s'assurer que l'administrateur ne se verrouille pas hors de l'interface de gestion.
Ports : 80 (HTTP) et 22 (SSH) pour l'accès à l'administration du pfSense.
1. Allow DNS to pfSense
Autorise le trafic DNS (port 53) vers le pare-feu pour résoudre les noms de domaine.
Ports : 53 (DNS).
2. NAT Redirect DNS
Redirige les requêtes DNS vers le pare-feu pour qu'il gère la résolution des noms de domaine localement. Le pare-feu, dans ce cas, joue le rôle de serveur DNS.
Ports : 53 (DNS).
3. Block DNS everything else
Bloque toutes les autres requêtes DNS qui ne sont pas dirigées vers le pare-feu et qui tenteraient d'accéder à des serveurs DNS externes, pour des raisons de sécurité.
Ports : 53 (DNS).
4. Autoriser HTTP
Autorise le trafic HTTP (port 80) pour la navigation web non sécurisée.
Ports : 80 (HTTP).
5. Autoriser HTTPS
Autorise le trafic HTTPS (port 443) pour la navigation web sécurisée.
Ports : 443 (HTTPS).
6. Autoriser NTP
Autorise la synchronisation de l'heure via le protocole NTP (port 123).
Port : 123 (NTP).
7. Autoriser PING
Autorise les requêtes ICMP (ping) pour tester la connectivité réseau.
Protocole : ICMP (echo request).
8. Tout bloquer
Règle par défaut pour bloquer tout le trafic non autorisé par les règles précédentes.
Règles IPv6 désactivées
Règles par défaut pour IPv6, désactivées car non utilisées dans cette configuration.
Conclusion et Bonnes Pratiques
Conclusion sur l'isolation réseau
L'isolation des sous-réseaux via les VLANs améliore considérablement la sécurité, la performance et la gestion. En plus de l'isolation des sous-réseaux via les VLANs, il est également recommandé de surveiller régulièrement les vulnérabilités des équipements réseau pour assurer une sécurité continue. Il est essentiel de mettre à jour les micrologiciels et les patches de sécurité de manière proactive. Enfin, la mise en œuvre d'une authentification forte et d'un contrôle d'accès rigoureux contribue également à renforcer la sécurité du réseau.
- Utiliser des VLANs dédiés pour chaque service critique (DMZ, DB, ADMIN, SRVS ect…).
Cela permet de limiter la propagation des attaques et de faciliter la gestion des ressources réseau. Il est également essentiel de mettre en place des politiques de sécurité strictes pour ces VLANs, en utilisant des techniques telles que le filtrage IP, le NAT et les pare-feux pour contrôler les flux entrants et sortants. En suivant ces bonnes pratiques, on peut renforcer la sécurité du réseau et réduire les risques d'attaques externes.
- Appliquer des politiques strictes de pare-feux et de contrôle d'accès entre les VLANs.
Cela permet de limiter la communication entre les différents VLANs, réduisant ainsi les risques potentiels de compromission des services et des données sensibles. En utilisant des règles de pare-feu et de contrôle d'accès détaillées, on peut garantir que seuls les flux autorisés sont autorisés à traverser les VLANs, ajoutant une couche de sécurité supplémentaire au réseau. De plus, la mise en place de journaux d'audit permettra de surveiller et d'analyser l'activité entre les VLANs, facilitant la détection précoce des éventuelles anomalies ou tentatives d'intrusion.
- Mettre en œuvre une surveillance réseau régulière pour détecter les anomalies.
En mettant en place une surveillance réseau régulière, on peut détecter rapidement les anomalies et les comportements suspects qui pourraient indiquer une tentative d'intrusion. L'utilisation d'outils de surveillance automatisés permet de surveiller en permanence le réseau, d'analyser les flux de trafic et de recevoir des alertes en cas d'activité suspecte. Cela permet de réagir rapidement et efficacement aux menaces potentielles et de minimiser les risques de compromission de la sécurité.