Académique Documents
Professionnel Documents
Culture Documents
dito
Depuis maintenant quelques annes, se connecter au rseau filaire est devenu quelque chose dautomatique pour accder des ressources informatiques de lentreprise. Au dbut des rseaux Ethernet, il y avait un dcoupage au niveau physique. La scurit tait par consquent bien assure au niveau de lisolation entre ces diffrents rseaux. Mais avec lvolution de nos besoins informatiques, et pour garder une isolation cohrente entre les diffrents flux mtiers, une nouvelle technologie a vu le jour : le VLAN. Nous utilisons maintenant les VLAN ( Virtual LAN ou Virtual Local Area Network ) pour segmenter les rseaux logiquement sur un mme mdia physique. Cependant, cela nest pas sans risque. En plus de ceux qui existent dj avec les rseaux physiques spars (utilisation detherpin par exemple), dautres risques sont galement apparus. Pour se protger au maximum, et restreindre les attaques basiques les plus connues, ces quelques articles vont vous aider apprhender les risques et y faire face. Guillaume Bazire
sommaire
ethernet, un niveau ne pas ngliger le VLAN hopping qui marche trs bien scurit de la tlphonie, pntration du VLAN voix le Private VLAN cest quoi ? 6 8 12 16
et lextrieur
A lextrieur des murs, le LAN est facilement prsent laide dquipements dextension sans fils, par exemple en WiFi. Concernant les bornes daccs WiFi officielles , les questions de scurit spcifiques sont largement documentes par ailleurs. Mais il ne faut pas oublier quil existe aussi des quipements grand public dextension WiFi. Ils sont discrets et de mise en uvre facile. Ainsi, la porte du LAN peut tre tendue de manire incontrle. Cest ainsi que Gaston Lagaffe peut jouer la dame de pique en rseau avec Jules de chez Smith en face. Toujours lextrieur des murs, on notera la monte en puissance de services de transport de niveau 2 sur des longues distances. Dsormais, le WAN ne transporte pas uniquement des flux IP, il transporte galement des flux de niveau 2.
conclusion
Il est donc important de se soucier des questions de scurit au niveau 2. Les billets qui vont suivre vont aborder ce thme.
http://oran.ge/qaxQaj
larticle en ligne
Etherpin
Personne ne peut dterminer de manire fiable et durable les contours dun LAN.
savoir
Et l, on ne rit plus, cest beaucoup plus srieux. Je vous avait bien prvenu, dans mon premier post, que personne ne pouvait dterminer de manire fiable et durable les contours dun LAN. Cela a pu vous paratre trivial sur le moment, vous savez maintenant que cest une question qui mrite un peu dattention.
http://oran.ge/xazrsd
larticle en ligne
10
voir la video
http://youtu.be/ 68LKi4b9rzg
12
le menu administrateur du tlphone ne devrait pas tre accessible depuis linterface utilisateur
at t en tio n
13
Le tlphone IP est raccord directement au rseau sur un port grant les VLAN voix et data et a donc accs ces deux VLAN.
savoir
Lattaque de la vido a t ralise partir dun Mac. Certains crieront que cest un scandale, dautres le porteront au firmament. Personnellement, je trouve que cest une machine avec un hardware puissant permettant dimpacter le rseau sans avoir trois PC dans son sac. De plus, on y retrouve une base de type BSD, ce qui permet de compiler la majeure partie des scripts utiles. Pour le reste, la virtualisation offre la possibilit de faire tourner tous les systmes de faon fluide (le hardware, souvenez-vous). Mais bon, la vraie raison cest peut-tre que je suis un fan de la srie Millenium et que Lisbeth Salander minspire. Cela doit tre mon ct obscur. Mais revenons au vrai sujet, cette vido a donc permis de montrer plusieurs faiblesses dans la gestion de la scurit de la tlphonie de cette installation.
14
VLAN la main. Deuxime point, le VLAN choisi pour la voix est trs bas (11). Si lattaquant ne peut utiliser un outil automatique comme ceux cits prcdemment, il faudra raliser une recherche systmatique du VLAN, soit la main, soit par script ( faire soi-mme, cette mthode nayant pas la faveur des experts publiant des outils sur Internet). Il devient alors vident que si le numro de VLAN est 800, la mthode manuelle sera un calvaire et la mthode scripte prendra au mieux plusieurs dizaines de minutes (exprience personnelle). La difficult qui vient dtre ajoute nest en rien une charge pour ladministrateur et complique dj les choses pour notre attaquant.
http://oran.ge/vL9OY6
larticle en ligne
15
16
par un ptit malin). Lobjectif dans cet exemple est dviter le transfert de donnes ou les attaques entre clients galement sur les rseaux cbls considrs comme hostiles. Si lon voulait isoler ces clients, il faudrait utiliser un VLAN par client, ce qui est impensable. Heureusement que le private VLAN est l... Une autre utilisation possible concerne les DMZ, afin dviter la multiplication de ces zones sur les pare-feu. Nous avons souvent besoin dune segmentation des serveurs des DMZ avec chaque fois un rseau IP, et donc une interface sur le pare-feu (et plus nous avons dinterfaces sur un pare-feu, plus la matrice des flux explose).
17
Le private VLAN permet bien souvent une simplification de larchitecture ou un ajout de scurit simple mettre en place.
savoir
mettra en pril les autres services de cette zone DMZ do, trs souvent, un dcoupage fin en plusieurs DMZ. Avec la fonction de private VLAN en mode Isolated , une seule DMZ pourrait contenir plusieurs serveurs avec pour chacun des services diffrents avec le mme niveau de scurit.
Dans le cas dun ensemble de serveurs qui auraient besoin de communiquer ensemble, le mode Community serait plus adapt. En effet, cela permet aux serveurs de communiquer au sein dune mme communaut, et daccder la passerelle (Pare-feu) tout en tant isols des autres serveurs dune autre communaut. Pour rsumer, au lieu davoir X DMZ avec chaque fois un rseau IP, nous avons X Communauts PVLAN avec un mme rseau IP et une mme interface sur le Pare-feu, pour un niveau de scurit quivalent.
conclusion
Le private VLAN, bien que connu par de nombreux experts, reste encore trop souvent cart alors quil permet bien souvent une simplification de larchitecture (cas disolations de serveurs en DMZ par exemple) ou un ajout de scurit simple mettre en place (cas des rseaux invits). Maintenant que vous en savez plus, il ny a plus qu se poser la bonne question au bon moment ! ;-) Edit : pour celles et ceux qui souhaitent en savoir plus, il existe maintenant une suite cet article. Par ici !
http://oran.ge/LObbVm
larticle en ligne
18
at t
en
tio
19
les auteurs
Cedric Baillet
Membre actif de la communaut scurit dOrange Business Services, je suis aujourdhui en charge, au sein de lquipe marketing scurit, de la bonne prise en compte de la scurit dans nos offres traitant des communications sur IP, et cela du mode cloud lintgr classique. Un large primtre pour rencontrer des problmatiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un ocan de motivation pour toute personne qui marche au challenge et lenvie dapprendre.
Guillaume Bazire
Salari dEconocom, je suis actuellement en mission en tant quarchitecte scurit des offres Cloud France et leurs services transverses pour Orange Business Services. Arriv depuis peu sur le blog, Je viens du monde du rseau, et je me suis spcialis dans la scurit depuis 2008. Passionn avant tout de technologie, et fort de mon exprience en tant quancien intgrateur en solution de scurit, cest avec plaisir que je viens apporter ma contribution.
Pascal Bonnard
Depuis 2004, je moccupe dingnierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, jai voulu savoir ce quil y avait sous le capot... et cest l que jai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent dinvitables questions de scurit. Sont-ils fiables ? Peuvent-ils tre tromps ? Il me semble que ce domaine est peu document, et que les informations disponibles sont souvent incompltes, parfois errones. Je dsire vous faire partager mes connaissances qui sappuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines oprationnelles.
Le blog: http://blogs.orange-business.com/securite/ Document tlchargeable sur: http://livres-blancs.orange-business.com/ dit par Orange Business Services 10.09.2012
France Tlcom 78, rue Olivier de Serres, 75015 Paris, France SA au capital de 10 595 541 532 380 129 866 RCS Paris Document non contractuel juin 2012