l

a scurit des VLAN le temps dun caf

dito
Depuis maintenant quelques annes, se connecter au rseau filaire est devenu quelque chose dautomatique pour accder des ressources informatiques de lentreprise. Au dbut des rseaux Ethernet, il y avait un dcoupage au niveau physique. La scurit tait par consquent bien assure au niveau de lisolation entre ces diffrents rseaux. Mais avec lvolution de nos besoins informatiques, et pour garder une isolation cohrente entre les diffrents flux mtiers, une nouvelle technologie a vu le jour : le VLAN. Nous utilisons maintenant les VLAN ( Virtual LAN ou Virtual Local Area Network ) pour segmenter les rseaux logiquement sur un mme mdia physique. Cependant, cela nest pas sans risque. En plus de ceux qui existent dj avec les rseaux physiques spars (utilisation detherpin par exemple), dautres risques sont galement apparus. Pour se protger au maximum, et restreindre les attaques basiques les plus connues, ces quelques articles vont vous aider apprhender les risques et y faire face. Guillaume Bazire

la scurit des VLAN le temps dun caf

la scurit des VLAN le temps dun caf

sommaire
ethernet, un niveau ne pas ngliger le VLAN hopping qui marche trs bien scurit de la tlphonie, pntration du VLAN voix le Private VLAN cest quoi ? 6 8 12 16

la scurit des VLAN le temps dun caf

ethernet, un niveau ne pas ngliger

ethernet, un niveau ne pas ngliger

par Pascal Bonnard Suite la large mdiatisation dactions nocives perptues via lInternet, les risques associs aux niveaux 3 et au-dessus sont largement identifis et documents. Cependant, il nen va pas de mme des risques associs aux niveaux infrieurs, et en particulier sur le rseau local. Comme son nom lindique, le LAN est un rseau local, matrialis par des prises murales RJ45. De ce fait, la scurit du LAN est souvent assimile la scurit des locaux. Et pourtant

la scurit lintrieur des murs...

lintrieur des murs, le rseau local est largement expos : Pour commencer par le plus facile, qui sait combien il y a de prises murales et o elles se trouvent ? O vont les cbles qui sont branchs dessus ? Plus difficile maintenant, comment contrler les quipements qui sont connects au LAN ? Comment savoir si des quipements de rplication non contrls sont prsents, quand on sait quun switch est un produit grand public qui cote quelques dizaines deuros ?

la scurit des VLAN le temps dun caf

ethernet, un niveau ne pas ngliger

et lextrieur
A lextrieur des murs, le LAN est facilement prsent laide dquipements dextension sans fils, par exemple en WiFi. Concernant les bornes daccs WiFi officielles , les questions de scurit spcifiques sont largement documentes par ailleurs. Mais il ne faut pas oublier quil existe aussi des quipements grand public dextension WiFi. Ils sont discrets et de mise en uvre facile. Ainsi, la porte du LAN peut tre tendue de manire incontrle. Cest ainsi que Gaston Lagaffe peut jouer la dame de pique en rseau avec Jules de chez Smith en face. Toujours lextrieur des murs, on notera la monte en puissance de services de transport de niveau 2 sur des longues distances. Dsormais, le WAN ne transporte pas uniquement des flux IP, il transporte galement des flux de niveau 2.

conclusion
Il est donc important de se soucier des questions de scurit au niveau 2. Les billets qui vont suivre vont aborder ce thme.

http://oran.ge/qaxQaj

larticle en ligne

la scurit des VLAN le temps dun caf

le VLAN hopping qui marche trs bien

le VLAN hopping qui marche trs bien

par Pascal Bonnard Attention : si vous pensez quun VLAN, cest la scurit, ce post peut vous dprimer gravement ! La scurit dun VLAN est infrieure celle dun LAN et cette dernire diminue avec : La longueur des cbles La prsence de Gaston Le nombre de ports

un simple cble Ethernet pour relier deux VLAN

Tous les spcialistes vous le diront : un switch pur ne peut pas faire communiquer deux VLAN. Pour cela, il faut un switch routeur et passer par le niveau 3. Grave erreur ! En ralit, un switch pur peut faire communiquer deux VLAN, il suffit dun bout de cble. On passera par le niveau 1, tout simplement. Mme un enfant de 5 ans sait faire cela (Comme dirait Groucho Marx : quon mamne un enfant de 5 ans). Imaginons un switch avec deux VLAN utilisateurs, disons les VLAN 2 et 3. Les 12 premiers ports sont dans le VLAN 2, les 12 suivants dans le VLAN 3. Le PC de Gaston est sur le port 1, celui de Moiselle Jeanne sur le port 20. Gaston branche un cble Ethernet entre le port 12 et le port 24. Du coup, les VLAN 2 et 3 sont relis entre eux. Si en plus les adresses IP ne sont pas dupliques Voil que Gaston peut changer de jolis smiley avec Moiselle Jeanne !

la scurit des VLAN le temps dun caf

le VLAN hopping qui marche trs bien

Pour 2012, je vous offre un hack vlan hopping qui marche.

gag : la boucle Ethernet pour les nuls

Il est parfois ncessaire de prvoir des boucles pour faire marcher correctement un rseau, par exemple pour rgler certains problmes de plan dadressage IP. Mes collgues appellent cette boucle hairpin , cest dire pingle cheveux en bon franais. Alors, pour raccorder deux VLAN, pour Nol, jai eu une merveilleuse Etherpin, voyez plutt :

Etherpin

la boucle Ethernet, version CPL

Pour se servir de son Etherpin, il faut que Gaston ait accs au switch, parfois bien cach derrire une pile de courrier des lecteurs. Comme cest bien ennuyeux de bouger les piles de courrier, Gaston utilise la version lectrique de lEtherpin. On narrte pas le progrs... Il lui suffit de trouver les prises RJ45 murales libres dans les bureaux des services, pas trop loin dune prise de courant.

Personne ne peut dterminer de manire fiable et durable les contours dun LAN.

savoir

la scurit des VLAN le temps dun caf

le VLAN hopping qui marche trs bien

Et l, on ne rit plus, cest beaucoup plus srieux. Je vous avait bien prvenu, dans mon premier post, que personne ne pouvait dterminer de manire fiable et durable les contours dun LAN. Cela a pu vous paratre trivial sur le moment, vous savez maintenant que cest une question qui mrite un peu dattention.

mais alors, que faire ?

Se jeter par la fentre nest pas une bonne solution. Bien relire le post. Au dbut, je fais rfrence la scurit du LAN. En fait, si Gaston vient brancher son PC sur une prise murale dans le service de Moiselle Jeanne, le rsultat est presque le mme. Si les ressources du LAN sont convenablement protges, lutilisation dune Etherpin ne cre pas une situation radicalement nouvelle. A mon avis, cela ne vaut pas la peine de chercher se protger de lEtherpin. Il est bien plus efficace de protger le LAN. Un moyen simple pour cela, cest de mettre en uvre des contrles daccs sur les protocoles de niveau 3 et les adresses IP utilises (ACL). Les bonnes rsolutions pour 2012 : contrler les protections niveau 3, les ACL dans les switches et les routeurs du rseau. Revisiter le firewall. Vrifier lefficacit de lIDS...

http://oran.ge/xazrsd

larticle en ligne

10

la scurit des VLAN le temps dun caf

la scurit des VLAN le temps dun caf

scurit de la tlphonie, pntration du VLAN voix

scurit de la tlphonie, pntration du VLAN voix

par Cedric Baillet Rcemment, des rfrents scurit mont encore dclar que la tlphonie ne pouvait pas tre scurise. Cela sappelle jeter un pav dans la mare ! Surtout lorsque lon jette un gant comme celui-ci la figure de quelquun dont le mtier est prcisment dessayer de rduire les risques sur cette technologie. Pour essayer de dmontrer que malgr une ralit qui nest pas tendre, il y a toujours des moyens de renforcer la scurit sur ces environnements, je vais vous proposer une srie de petites vidos retraant les grandes tapes dun audit (forcment catastrophique !) et les prconisations pour rsoudre les points levs. Pour notre premier rendez-vous, la facilit daccs du VLAN voix va tre teste.

audit scurit : laccs au VLAN voix

Pour rappel, dans la plupart des installations, le tlphone IP est raccord directement au rseau sur un port grant les VLAN voix et data. Le tlphone a donc accs ces deux VLAN, tandis que le PC branch sur ce dernier naccde qu la partie data. Le but du jeu est donc dtudier comment obtenir un accs au VLAN voix Et pour cela, flashez le QR code ci-contre.

voir la video

http://youtu.be/ 68LKi4b9rzg

12

la scurit des VLAN le temps dun caf

scurit de la tlphonie, pntration du VLAN voix

le menu administrateur du tlphone ne devrait pas tre accessible depuis linterface utilisateur
at t en tio n

la scurit des VLAN le temps dun caf

13

scurit de la tlphonie, pntration du VLAN voix

Le tlphone IP est raccord directement au rseau sur un port grant les VLAN voix et data et a donc accs ces deux VLAN.

savoir

Unique outil utilis : une carte rseau supportant le multi VLAN.

Lattaque de la vido a t ralise partir dun Mac. Certains crieront que cest un scandale, dautres le porteront au firmament. Personnellement, je trouve que cest une machine avec un hardware puissant permettant dimpacter le rseau sans avoir trois PC dans son sac. De plus, on y retrouve une base de type BSD, ce qui permet de compiler la majeure partie des scripts utiles. Pour le reste, la virtualisation offre la possibilit de faire tourner tous les systmes de faon fluide (le hardware, souvenez-vous). Mais bon, la vraie raison cest peut-tre que je suis un fan de la srie Millenium et que Lisbeth Salander minspire. Cela doit tre mon ct obscur. Mais revenons au vrai sujet, cette vido a donc permis de montrer plusieurs faiblesses dans la gestion de la scurit de la tlphonie de cette installation.

les enseignements de laudit du tlphone

Tout dabord, le menu administrateur du tlphone naurait pas d tre accessible depuis linterface utilisateur. Il est vident que si linformation du VLAN nest pas disponible, cela complique les choses. Certains pourraient rpondre que des outils comme UCSniff ou VoipHopper sont l pour cela (uniquement dans un monde Cisco). Cest vrai. Nanmoins, cela demande un minimum de connaissances techniques de la part de lattaquant, ce qui rduit le risque. Par ailleurs, il est toujours possible de configurer le

14

la scurit des VLAN le temps dun caf

scurit de la tlphonie, pntration du VLAN voix

VLAN la main. Deuxime point, le VLAN choisi pour la voix est trs bas (11). Si lattaquant ne peut utiliser un outil automatique comme ceux cits prcdemment, il faudra raliser une recherche systmatique du VLAN, soit la main, soit par script ( faire soi-mme, cette mthode nayant pas la faveur des experts publiant des outils sur Internet). Il devient alors vident que si le numro de VLAN est 800, la mthode manuelle sera un calvaire et la mthode scripte prendra au mieux plusieurs dizaines de minutes (exprience personnelle). La difficult qui vient dtre ajoute nest en rien une charge pour ladministrateur et complique dj les choses pour notre attaquant.

conclusion : la scurit de la tlphonie en quelques tapes

Les deux propositions ci-dessus ne portent que sur la configuration du systme tlphonique et du rseau et cela quasiment sans aucune surcharge de travail des quipes devant intgrer les systmes. Maintenant, pour ceux qui peuvent sinvestir pour monter le niveau de scurit dun cran, il est possible denvisager les technologies de type 802.1X. Cela permettra dauthentifier les terminaux laccs avant mme douvrir le rseau. Un moyen imparable pour bloquer les attaquants ds le dpart. Mais cela est une autre histoire

http://oran.ge/vL9OY6

larticle en ligne

la scurit des VLAN le temps dun caf

15

le private VLAN cest quoi ?

le private VLAN cest quoi ?

par Guillaume Bazire

le private Vlan (PVLAN) ?

Depuis quelques annes maintenant, jai rgulirement recours lutilisation de VLAN pour segmenter au Niveau 2 les rseaux dentreprise. A chaque fois est attribu ces VLAN un sousrseau IP qui est rout via des quipements de Niveau 3 (Routeurs, Pare-feu). Cependant, jai pu constater que, trs souvent, il y a un abus de lutilisation de cette segmentation, qui consiste saucissonner en une multitude de sous-rseaux afin dapporter une scurit suffisante entre les diffrentes machines. Le private VLAN est l pour pallier cet excs de dcoupage et amne une scurit de Niveau 2 supplmentaire.

besoins auxquels le private VLAN peut rpondre

Le besoin qui me vient immdiatement lesprit, cest lutilisation pour des zones dutilisateurs invits (o se connectent trs souvent des PC de la bureautique...). Cela est trs souvent utilis pour les accs WiFi invits. Une option interdisant les communications entre les clients est possible sur la borne, ce qui interdit les changes directs entre eux (par dfaut sur un rseau WiFi la communication est en mode diffusion au mme titre que sur un Hub, il faut donc se protger contre la rcupration de donnes

16

la scurit des VLAN le temps dun caf

le private VLAN cest quoi ?

par un ptit malin). Lobjectif dans cet exemple est dviter le transfert de donnes ou les attaques entre clients galement sur les rseaux cbls considrs comme hostiles. Si lon voulait isoler ces clients, il faudrait utiliser un VLAN par client, ce qui est impensable. Heureusement que le private VLAN est l... Une autre utilisation possible concerne les DMZ, afin dviter la multiplication de ces zones sur les pare-feu. Nous avons souvent besoin dune segmentation des serveurs des DMZ avec chaque fois un rseau IP, et donc une interface sur le pare-feu (et plus nous avons dinterfaces sur un pare-feu, plus la matrice des flux explose).

solutions proposes avec le private VLAN

Pour mon premier besoin, dans une zone de clients invits , il est idal dun point de vue scurit disoler les clients entre eux. Et cest l que, bien souvent, laspect scurit passe la trappe, et tout le monde se retrouve dans le mme VLAN avec un accs sans contrle. La solution ici est dutiliser la fonction de private VLAN, avec un PVLAN invit en mode Isolated . De cette manire, nous avons un seul VLAN pour nos invits, mais ils peuvent uniquement contacter la passerelle par dfaut, qui va permettre le filtrage et/ou lauthentification vers les ressources. Pour notre second besoin en DMZ, on saperoit que, trs souvent, un serveur en DMZ est utilis en mode proxy, avec une communication du type LAN->DMZ->WAN ou WAN->DMZ->LAN, et rarement intra-DMZ. Dans le cas dune DMZ contenant plusieurs types de service (relai Mail, Web, Portail SSL) laltration dun serveur de la DMZ par un pirate

la scurit des VLAN le temps dun caf

17

le private VLAN cest quoi ?

Le private VLAN permet bien souvent une simplification de larchitecture ou un ajout de scurit simple mettre en place.

savoir

mettra en pril les autres services de cette zone DMZ do, trs souvent, un dcoupage fin en plusieurs DMZ. Avec la fonction de private VLAN en mode Isolated , une seule DMZ pourrait contenir plusieurs serveurs avec pour chacun des services diffrents avec le mme niveau de scurit.

Dans le cas dun ensemble de serveurs qui auraient besoin de communiquer ensemble, le mode Community serait plus adapt. En effet, cela permet aux serveurs de communiquer au sein dune mme communaut, et daccder la passerelle (Pare-feu) tout en tant isols des autres serveurs dune autre communaut. Pour rsumer, au lieu davoir X DMZ avec chaque fois un rseau IP, nous avons X Communauts PVLAN avec un mme rseau IP et une mme interface sur le Pare-feu, pour un niveau de scurit quivalent.

conclusion
Le private VLAN, bien que connu par de nombreux experts, reste encore trop souvent cart alors quil permet bien souvent une simplification de larchitecture (cas disolations de serveurs en DMZ par exemple) ou un ajout de scurit simple mettre en place (cas des rseaux invits). Maintenant que vous en savez plus, il ny a plus qu se poser la bonne question au bon moment ! ;-) Edit : pour celles et ceux qui souhaitent en savoir plus, il existe maintenant une suite cet article. Par ici !

http://oran.ge/LObbVm

larticle en ligne

18

la scurit des VLAN le temps dun caf

le private VLAN cest quoi ?

il y a trs souvent un abus de la segmentation au Niveau 2

at t

en

tio

la scurit des VLAN le temps dun caf

19

les auteurs
Cedric Baillet
Membre actif de la communaut scurit dOrange Business Services, je suis aujourdhui en charge, au sein de lquipe marketing scurit, de la bonne prise en compte de la scurit dans nos offres traitant des communications sur IP, et cela du mode cloud lintgr classique. Un large primtre pour rencontrer des problmatiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un ocan de motivation pour toute personne qui marche au challenge et lenvie dapprendre.

la scurit des VLAN le temps dun caf

Guillaume Bazire
Salari dEconocom, je suis actuellement en mission en tant quarchitecte scurit des offres Cloud France et leurs services transverses pour Orange Business Services. Arriv depuis peu sur le blog, Je viens du monde du rseau, et je me suis spcialis dans la scurit depuis 2008. Passionn avant tout de technologie, et fort de mon exprience en tant quancien intgrateur en solution de scurit, cest avec plaisir que je viens apporter ma contribution.

la scurit des VLAN le temps dun caf

Pascal Bonnard
Depuis 2004, je moccupe dingnierie de commutateurs Ethernet (switches en anglais). Comme je suis curieux de nature, jai voulu savoir ce quil y avait sous le capot... et cest l que jai vu tous ces protocoles qui ne nous veulent que du bien, mais qui posent dinvitables questions de scurit. Sont-ils fiables ? Peuvent-ils tre tromps ? Il me semble que ce domaine est peu document, et que les informations disponibles sont souvent incompltes, parfois errones. Je dsire vous faire partager mes connaissances qui sappuient sur des tests en laboratoire ainsi que sur plusieurs centaines de machines oprationnelles.

la scurit des VLAN le temps dun caf

Le blog: http://blogs.orange-business.com/securite/ Document tlchargeable sur: http://livres-blancs.orange-business.com/ dit par Orange Business Services 10.09.2012

la scurit des VLAN le temps dun caf

France Tlcom 78, rue Olivier de Serres, 75015 Paris, France SA au capital de 10 595 541 532 380 129 866 RCS Paris Document non contractuel juin 2012