Blocage intra-VLAN : Sécuriser la communication au sein d’un VLAN

Introduction

Dans les réseaux d’entreprise, les VLAN (Virtual Local Area Network) sont essentiels pour segmenter les réseaux et améliorer la gestion des flux. Cependant, il existe des cas où il est nécessaire de restreindre la communication entre les appareils au sein d’un même VLAN. C’est là qu’interviennent des concepts comme le blocage intra-VLAN sur les équipements Fortinet ou les Private VLANs (PVLANs) sur Cisco. Cet article explore ces mécanismes et leur utilité pour améliorer la sécurité réseau.

Pourquoi restreindre la communication intra-VLAN ?

Un VLAN regroupe les appareils en un seul domaine de diffusion (broadcast domain), ce qui facilite la gestion du trafic réseau. Cependant, cela implique que tous les périphériques d’un même VLAN peuvent communiquer librement, ce qui n’est pas toujours souhaitable. Voici quelques raisons de bloquer la communication intra-VLAN :

  1. Isolation des utilisateurs : Dans les environnements partagés (comme les hôtels, universités, ou espaces de coworking), il est crucial d’empêcher les utilisateurs de s’espionner ou de s’attaquer mutuellement.
  2. Protection contre les attaques internes : Bloquer la communication limite les possibilités d’attaques entre des machines compromises au sein d’un même VLAN.
  3. Conformité et segmentation de la sécurité : Certaines réglementations exigent une séparation stricte entre les flux réseau, même dans le même VLAN.

Blocage intra-VLAN sur Fortigate

Fortinet propose une fonctionnalité simple et efficace pour contrôler la communication intra-VLAN à travers les pare-feux FortiGate. Cette méthode repose principalement sur l’activation ou la désactivation de l’isolation intra-VLAN.

Étapes pour configurer le blocage intra-VLAN sur FortiGate :

  1. Créer une politique de pare-feu :

    • Accédez à la configuration du pare-feu dans l’interface graphique.
    • Créez une nouvelle règle interdisant les communications entre les appareils au sein d’un même VLAN.

  2. Configurer l’isolation intra-VLAN :

    • Activez l’option de Device Isolation dans le paramétrage VLAN ou sur les ports.
    • Cela empêche les appareils connectés au même VLAN de communiquer directement.

  3. Inspection approfondie :

    • Utilisez des profils de sécurité FortiGate comme le Deep Packet Inspection (DPI) ou des stratégies anti-intrusion pour bloquer des flux spécifiques.

Avantages :

  • Facilité d’implémentation.
  • Compatible avec la segmentation des VLAN.
  • Idéal pour des réseaux simples.

Private VLANs (PVLANs) sur Cisco

Les Private VLANs de Cisco vont encore plus loin en offrant un contrôle granulaire sur les interactions entre les appareils d’un VLAN. Les PVLANs divisent un VLAN principal en trois types de ports pour gérer les communications internes :

  1. Promiscuous Ports : Ces ports peuvent communiquer avec tous les autres ports du VLAN.
  2. Isolated Ports : Ces ports ne peuvent communiquer qu’avec les Promiscuous Ports.
  3. Community Ports : Ces ports peuvent communiquer entre eux et avec les Promiscuous Ports, mais pas avec les Isolated Ports.

Configuration d’un PVLAN sur un commutateur Cisco :

  1. Créer un VLAN primaire et un VLAN secondaire :

    vlan 100
    private-vlan primary
    private-vlan association 101
    vlan 101
    private-vlan isolated

  2. Attribuer les ports au VLAN :

    interface FastEthernet 0/1
    switchport mode private-vlan host
    switchport private-vlan host-association 100 101

  3. Configurer un port Promiscuous :

    interface FastEthernet 0/24
    switchport mode private-vlan promiscuous
    switchport private-vlan mapping 100 101

Avantages :

  • Isolation fine au sein du VLAN.
  • Utilisé dans les datacenters ou les environnements virtualisés.

Alternatives d'autres éditeurs

Juniper Networks

Juniper propose une fonctionnalité similaire appelée Protected Ports. Cette méthode bloque les communications directes entre ports dans un même VLAN tout en permettant l’accès via des équipements spécifiques.

HPE/Aruba

Sur les commutateurs HPE ou Aruba, l’isolation intra-VLAN peut être configurée en utilisant des port isolation features ou des ACL (Access Control Lists) sur les VLANs.

VMware NSX

Dans les environnements virtualisés, VMware utilise des mécanismes comme le Micro-Segmentation pour restreindre les flux réseau intra-VLAN. Les règles de pare-feu sont définies au niveau de chaque machine virtuelle.

Cas d'utilisation

  • Hôtels et espaces publics : Empêcher les clients d’un hôtel de voir ou de communiquer avec d’autres appareils connectés au même réseau Wi-Fi.
  • Datacenters : Protéger les machines virtuelles sensibles dans un VLAN partagé.
  • Établissements éducatifs : Isoler les appareils des étudiants tout en autorisant l’accès à des services partagés (imprimantes, serveurs).

Conclusion

Le blocage intra-VLAN est une mesure indispensable pour renforcer la sécurité des réseaux modernes. Que ce soit avec Fortigate, Cisco, ou d’autres éditeurs, ces techniques offrent des moyens fiables pour isoler les flux réseau tout en maintenant une flexibilité dans la gestion des VLANs. Adapter la solution à vos besoins spécifiques garantira une sécurité renforcée sans compromettre les performances réseau.

Retour