Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2976 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Segmentation physique accés WAN

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Segmentation physique accés WAN

n°164894
skoizer
tripoux et tête de veau
Posté le 27-08-2019 à 12:02:32  profilanswer
 

Bonjour,
j'aurai besoin d'informations reseau/sécurité.
Nous sommes en train d’étudier le changement de nos équipements LAN.
Pour limiter les risques, nous partirions sur une évolution de l'infrastructure avec deux coeurs de réseau situés dans des baies différentes.
 
Lors d'un éclatement des cœurs réseau, on ne peut plus relier les modems/routeurs accés WAN directement à nos 2 Firewalls en Haute disponibilité.  
 
Dans ce cas la, deux solutions sont envisagées :
1 - Les différents vlan d'interco des accés WAN passent par des vlan intercoeur  
2 - Un commutateur physique spécialisé accés WAN est ajouté dans chaque baie des cœurs reseau. Ces deux commutateurs, même si ils sont dans des baies differentes, seraient stacké a l'aide de deux fibres optiques. Chaque commutateurs serait relié a notre reseau via les Firewall de chaque baie.
 
Le deuxième choix nous contraint a tirer 2 nouvelles fibres entre nos baies.
 
Les liens interco des WAN, bien que chacun isolés dans des VLAN séparés, cela exposerait-il notre coeur de réseau a des attaques de type déni de service (exemple ARP SPOOFING).
N’étant pas expert en sécurité, ce type d'attaque est il envisageable ?  
Même si le deuxième choix semble plus complexe et coûteux, s'agit il d'une préconisation "standard" ?

Message cité 1 fois
Message édité par skoizer le 27-08-2019 à 15:47:59

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le 27-08-2019 à 12:02:32  profilanswer
 

n°164896
Ivy gu
we are legion uwu
Posté le 27-08-2019 à 12:12:46  profilanswer
 

skoizer a écrit :


Les liens interco des WAN, bien que chacun isolés dans des VLAN séparés, cela exposerait-il notre coeur de réseau a des attaques de type déni de service (exemple ARP SPOOFING).


 
Non si tes switchs ne font que du niveau 2, il n'y a pas d'ARP. Dans tous les cas ARP est un protocole qui fonctionne sur un segment L2 donné donc sauf si tu crains une attaque de la part de ton FAI...
 
 

skoizer a écrit :


N’étant pas expert en sécurité, ce type d'attaque est il envisageable ?


 
non
 

skoizer a écrit :


Même si le deuxième choix semble plus complexe et coûteux, s'agit il d'une préconisation "standard" ?


 
non


---------------
The Mystery of the Bloomfield Bridge
n°164901
skoizer
tripoux et tête de veau
Posté le 27-08-2019 à 15:43:48  profilanswer
 

pardon, ok pour l'arp
 
Sur les commutateurs, il y a bien une table PORT--> MAC
si mes souvenir sont bon, il y a bien aussi une technique de deny de service "MAC SPOOFING".
de plus en lisant ceci, ce n'est pas l'avis de l'anssi
https://www.ssi.gouv.fr/uploads/201 [...] ateurs.pdf
page 28/75
 
"Il est tout de même important de noter que si la technologie est éprouvée, elle n’a pas été conçue
dans le but d’améliorer la sécurité des SI. De plus, des réglementations imposent un cloisonnement
physique des réseaux dans certains cas d’usage, le cloisonnement physique étant la méthode de
cloisonnement la plus sécurisée."
 
mais ils n'expliquent pas les cas d'usage, par exemple "quand vous faite du routage inter vlan".

Message cité 1 fois
Message édité par skoizer le 27-08-2019 à 16:05:55

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°164903
Ivy gu
we are legion uwu
Posté le 27-08-2019 à 16:20:18  profilanswer
 

skoizer a écrit :

pardon, ok pour l'arp
 
Sur les commutateurs, il y a bien une table PORT--> MAC
si mes souvenir sont bon, il y a bien aussi une technique de deny de service "MAC SPOOFING".


 
même chose que pour l'ARP, la table MAC n'est manipulable que depuis le LAN, le seul cas où tu dois t'inquiéter de ça c'est si tu crains une attaque de la part de ton FAI, auquel cas tu as des problèmes plus importants à gérer.
 
 

skoizer a écrit :


de plus en lisant ceci, ce n'est pas l'avis de l'anssi
https://www.ssi.gouv.fr/uploads/201 [...] ateurs.pdf
page 28/75
 
"Il est tout de même important de noter que si la technologie est éprouvée, elle n’a pas été conçue
dans le but d’améliorer la sécurité des SI. De plus, des réglementations imposent un cloisonnement
physique des réseaux dans certains cas d’usage, le cloisonnement physique étant la méthode de
cloisonnement la plus sécurisée."


 
L'argument est un peu vide de sens, dans la pratique sur un réseau bien administré il n'y a pas de risque spécifique à avoir différents vlans plutôt que différents switchs.
Le seul risque induit par cette pratique c'est l'opérateur à gros doigts qui va faire n'importe quoi. Mais la solution à ça n'est pas forcément de rajouter du matériel, et ajouter du matériel a aussi un coût, donc dans la pratique je pense que c'est rarement une bonne solution.


---------------
The Mystery of the Bloomfield Bridge
n°164905
skoizer
tripoux et tête de veau
Posté le 27-08-2019 à 17:02:29  profilanswer
 

merci "Ivy gu"
avoir des commutateurs spécialisés ne me semble pas pratique a administrer
Il y a aussi un manque de souplesse, les ports de libres sur ceux ci ne peuvent être réutilisé pour d'autre fonction.
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Segmentation physique accés WAN

 

Sujets relatifs
dual wanSécuriser accès depuis extérieur
Acces depuis chez moi aux logiciels entreprisemodification connexion acces bureau a distance win 10
[RESOLU] - Problème VPN - Accès partages windows 2016Serveur pour une association
accès NAS Synology depuis Explorateur Windows via InternetAllied Telesis - Accès VPN Site to Site
Créer un point d'accès Wifi pour stagiaires formationAccès au serveur membre avec compte admin du domaine
Plus de sujets relatifs à : Segmentation physique accés WAN


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR