Je suis de plus en plus sollicité par mes clients, qui me demandent s’il vaut mieux séparer physiquement l’architecture des invités de celle de l’entreprise ou si une séparation logique à l’aide des VLANs est suffisante. Il n’y a pas de réponse simple et directe, et, bien sûr, en tant que consultant, ma réponse est souvent : « ça dépend ».
Cela dit, je tends à rejoindre l’avis de ceux qui estiment qu’une séparation logique est généralement suffisante pour segmenter les deux infrastructures.
Il y a quelques années, les VLANs présentaient des vulnérabilités qui permettaient de transférer des paquets entre eux via des techniques telles que le VLAN hopping. Aujourd’hui, une attaque de type VLAN hopping est peu probable et encore moins susceptible de permettre une communication bidirectionnelle entre les VLANs. Certes, si un switch tombe en panne et perd sa configuration, il peut redémarrer avec tous les ports regroupés sur le VLAN par défaut (VLAN 1), mais on peut toujours minimiser ce risque en bloquant la transmission du VLAN natif sur les interfaces de trunk. Ainsi, toute infrastructure segmentée dans le VLAN invité n’aura aucune possibilité de communiquer avec le reste du réseau.
J’ai également constaté que dans certains environnements, la séparation physique des infrastructures est une pratique courante, dictée par la nécessité d’un contrôle plus strict.
Dans les rares cas où je me trouve face à des ingénieurs de sécurité particulièrement rigides sur cette question, j’essaie d’engager une discussion constructive. Je leur pose des questions sur les vulnérabilités potentielles liées à la séparation logique avant de recommander la solution la plus adaptée.
Driss JABBAR
Driss JABBAR
Co-Fondateur de la société MHD-EXPERTs et Architect réseaux avec plus de 16 ans d'expérience dans la conception et l'implémentation des architectures complexes LAN/WAN/DC/Cloud Networking. Pendant son parcours professionnelle, Driss a travaillé chez des intégrateurs et aussi des opérateurs. Driss possède actuellement trois certifications d'expertise Cisco CCIE RS & SP et CCDE.
En dehors du travail, Driss consacre plus de temps pour sa famille mais il réserve toujours un petit créneau pour apprendre des nouvelles technologies ou pour regarder un match de foot de son club préféré.
Driss est contributeur du blog MHD et joignable à l’adresse : driss.jabbar@mhd-experts.com