En plus des informations sur Pourquoi les gens me disent de ne pas utiliser de VLAN pour la sécurité? voici quelques bits plus spécifiques et généraux à considérer:
Remarques générales sur la sécurité
Le système le plus sécurisé est celui où les hôtes de chaque sous-réseau sont connectés à un commutateur ayant exactement le nombre de ports qui seront utilisés par les périphériques connectés. Dans une telle configuration, vous ne pouvez pas connecter des machines aléatoires à vos réseaux sécurisés, car cela nécessiterait de débrancher quelque chose (et théoriquement, votre système de surveillance le remarquerait).
Les VLAN vous offrent quelque chose de similaire en termes de sécurité, divisant votre commutateur en de plus petits commutateurs virtuels (LAN virtuels: VLAN) qui sont isolés les uns des autres de manière logique, et avec une configuration appropriée peuvent apparaître à tous les systèmes connectés comme s'ils étaient physiquement isolé.
Remarques générales sur
les configurations de VLAN relativement sécurisées Ma pratique pour les commutateurs compatibles VLAN est que tout le trafic doit être affecté à un VLAN, avec la configuration de base suivante:
Attribuez tous les ports inutilisés à un VLAN "inutilisé".
Tous les ports se connectant à un ordinateur spécifique doivent être affectés nativement au VLAN dans lequel cet ordinateur doit être. Ces ports doivent être dans un et un seul VLAN (sauf certaines exceptions que nous ignorerons pour l'instant).
Sur ces ports, tous les paquets entrants (vers le commutateur) sont étiquetés avec le VLAN natif, et les paquets sortants (depuis le commutateur) (a) proviennent uniquement du vlan attribué, et (b) ne sont pas étiquetés et apparaissent comme n'importe quel Ethernet standard paquet.
Les seuls ports qui devraient être des «trunks VLAN» (ports dans plusieurs VLAN) sont les ports trunk - ceux qui acheminent le trafic entre les commutateurs, ou qui se connectent à un pare-feu qui divisera le trafic VLAN par lui-même.
Sur les ports de jonction, les balises vlan entrant dans le commutateur seront respectées et les balises vlan ne seront pas supprimées des paquets quittant le commutateur.
La configuration décrite ci-dessus signifie que le seul endroit où vous pouvez facilement injecter du trafic "VLAN hopping" est sur un port de jonction (sauf un problème logiciel dans la mise en œuvre du VLAN de vos commutateurs), et tout comme dans le scénario "le plus sécurisé" cela signifie débrancher quelque chose important et provoquant une alarme de surveillance. De même, si vous débranchez un hôte pour vous connecter au VLAN, il vit dans votre système de surveillance devrait remarquer la disparition mystérieuse de cet hôte et vous alerter.
Dans ces deux cas, nous parlons d'une attaque impliquant un accès physique aux serveurs - Bien qu'il ne soit pas complètement impossible de rompre l'isolement du VLAN, il est au minimum très difficile dans un environnement configuré comme décrit ci-dessus.
Réflexions spécifiques sur VMWare et la sécurité des VLAN
Les commutateurs virtuels VMWare peuvent être affectés à un VLAN - Lorsque ces commutateurs virtuels sont connectés à une interface physique sur l'hôte VMWare, tout trafic émis aura la balise VLAN appropriée.
L'interface physique de votre machine VMWare devrait être connectée à un port de jonction VLAN (transportant les VLAN auxquels elle aura besoin d'accéder).
Dans des cas comme celui-ci, il est doublement important de prêter attention aux meilleures pratiques VMWare pour séparer la carte réseau de gestion de la carte réseau de la machine virtuelle: votre carte réseau de gestion doit être connectée à un port natif dans un VLAN approprié, et votre carte réseau de machine virtuelle doit se connecter à un trunk qui possède les VLAN dont les machines virtuelles ont besoin (qui ne devraient idéalement pas transporter le VLAN de gestion VMWare).
Dans la pratique, l'application de cette séparation, de concert avec les éléments que j'ai mentionnés et ce que je suis sûr que d'autres proposeront, créera un environnement raisonnablement sûr.