sécuriser un switch.

Le
rr
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux qui
vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec les
serveurs tout en gardant le même sous-réseau.

merci,
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
GuiGui
Le #22236741
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux qui
vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec les
serveurs tout en gardant le même sous-réseau.

merci,



Ça dépend des switchs, certains permettent de le faire.
rr
Le #22236841
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec les
serveurs tout en gardant le même sous-réseau.

merci,



Ça dépend des switchs, certains permettent de le faire.


Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce
n'est pas standard ?
ici je pensais à un procurve 2510-48.
GuiGui
Le #22240331
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.

merci,



Ça dépend des switchs, certains permettent de le faire.


Je croyais que tous les switchs L2 avaient les même fonctionnalités, ce
n'est pas standard ?



Non. Les fonctionnalités de base sont standard (gérer les ports, gérer
les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui
lui semblent utiles ou commercialement attractives de façon à créer une
gamme cohérente et concurrentielle. Il est clair que si tu mets toute
les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus
cher ne se vendra pas.

ici je pensais à un procurve 2510-48.



Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.
rr
Le #22257611
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.

merci,



Ça dépend des switchs, certains permettent de le faire.


Je croyais que tous les switchs L2 avaient les même fonctionnalités,
ce n'est pas standard ?



Non. Les fonctionnalités de base sont standard (gérer les ports, gérer
les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités qui
lui semblent utiles ou commercialement attractives de façon à créer une
gamme cohérente et concurrentielle. Il est clair que si tu mets toute
les fonctionnalités d'un switch à 3000€ dans un switch à 100€, le plus
cher ne se vendra pas.

ici je pensais à un procurve 2510-48.



Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.


Merci pour l'information.
Pour avoir cette fonctionnalité sur un 48 ports quel modèle me
conseilleriez vous ?

RR
rr
Le #22258241
rr a écrit :
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés (ceux
qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.

merci,



Ça dépend des switchs, certains permettent de le faire.


Je croyais que tous les switchs L2 avaient les même fonctionnalités,
ce n'est pas standard ?



Non. Les fonctionnalités de base sont standard (gérer les ports, gérer
les vlans, snmp) mais chaque constructeur ajoute des fonctionnalités
qui lui semblent utiles ou commercialement attractives de façon à
créer une gamme cohérente et concurrentielle. Il est clair que si tu
mets toute les fonctionnalités d'un switch à 3000€ dans un switch à
100€, le plus cher ne se vendra pas.

ici je pensais à un procurve 2510-48.



Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.


Merci pour l'information.
Pour avoir cette fonctionnalité sur un 48 ports quel modèle me
conseilleriez vous ?

RR


J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de
blocage de communication inter-port (niveau ethernet)
GuiGui
Le #22260091
rr a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
GuiGui a écrit :
rr a écrit :
Bonjour, j'aimerai savoir si avec un switch L2, il est possible de
bloquer la communication entre les ports, sauf ceux autorisés
(ceux qui vont vers les serveurs)
Le but étant de ne pas communiquer avec son voisin mais juste avec
les serveurs tout en gardant le même sous-réseau.

merci,



Ça dépend des switchs, certains permettent de le faire.


Je croyais que tous les switchs L2 avaient les même fonctionnalités,
ce n'est pas standard ?



Non. Les fonctionnalités de base sont standard (gérer les ports,
gérer les vlans, snmp) mais chaque constructeur ajoute des
fonctionnalités qui lui semblent utiles ou commercialement
attractives de façon à créer une gamme cohérente et concurrentielle.
Il est clair que si tu mets toute les fonctionnalités d'un switch à
3000€ dans un switch à 100€, le plus cher ne se vendra pas.

ici je pensais à un procurve 2510-48.



Le 2510 n'a pas de fonctionnalités de sécurité, donc c'est pas possible.


Merci pour l'information.
Pour avoir cette fonctionnalité sur un 48 ports quel modèle me
conseilleriez vous ?

RR


J'ai trouvé des switchs a routage IP statique (niveau IP) mais pas de
blocage de communication inter-port (niveau ethernet)




Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un
private vlan, vous pouvez mettre des ports en mode "isolated" (ne
communiquent pas avec les autres ports qui sont dans ce mode) ou en mode
"promiscuous" (communiquent avec tous les ports du private vlan). Il
existe également le mode "community" : les ports dans ce mode
communiquent entre-eux et avec les promiscuous mais pas avec les isolated.

https://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml

Je pense que ça doit exister chez les autres constructeurs.
GuiGui
Le #22260231
GuiGui a écrit :

Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un
private vlan, vous pouvez mettre des ports en mode "isolated" (ne
communiquent pas avec les autres ports qui sont dans ce mode) ou en mode
"promiscuous" (communiquent avec tous les ports du private vlan). Il
existe également le mode "community" : les ports dans ce mode
communiquent entre-eux et avec les promiscuous mais pas avec les isolated.

https://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml


Je pense que ça doit exister chez les autres constructeurs.






Il y a aussi la notion de "protected port" sur des switchs plus bas de
gamme (par exemple sur un 3550). Les ports en mode protégés ne
communiquent pas entre eux mais communiquent avec les ports qui ne sont
pas dans ce mode. C'est un peu moins souple que les private vlan mais
peut-être cela suffit-il pour ce que tu veux faire.


http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_11_ea1/configuration/guide/swtrafc.html#wp1029319
rr
Le #22262481
GuiGui a écrit :
GuiGui a écrit :

Chez Cisco et HP, c'est la fonctionnalité de "private vlan". Dans un
private vlan, vous pouvez mettre des ports en mode "isolated" (ne
communiquent pas avec les autres ports qui sont dans ce mode) ou en
mode "promiscuous" (communiquent avec tous les ports du private vlan).
Il existe également le mode "community" : les ports dans ce mode
communiquent entre-eux et avec les promiscuous mais pas avec les
isolated.

https://www.cisco.com/en/US/products/hw/switches/ps700/products_tech_note09186a008013565f.shtml


Je pense que ça doit exister chez les autres constructeurs.






Il y a aussi la notion de "protected port" sur des switchs plus bas de
gamme (par exemple sur un 3550). Les ports en mode protégés ne
communiquent pas entre eux mais communiquent avec les ports qui ne sont
pas dans ce mode. C'est un peu moins souple que les private vlan mais
peut-être cela suffit-il pour ce que tu veux faire.


http://www.cisco.com/en/US/docs/switches/lan/catalyst3550/software/release/12.1_11_ea1/configuration/guide/swtrafc.html#wp1029319



Merci pour tous ces renseignements.
Effectivement la gamme n'est pas la même.

Le but était d'éviter qu'un internat avec prise réseau dans les chambres
ne se transforme en vaste lan-party.
La première idée simple était donc bloquer le trafic entre les chambres
au niveau du switch. (switchs non accessibles physiquement).

Une autre idée pourrait être éventuellement de faire un dynamic vlan via
freeradius avec un VLAN différent par poste déclaré routable uniquement
vers l'internet, en passant par un routeur linux 802.1q.
J'avais de toutes manières l'intention de faire du 802.1x sur des
machines déclarées (au moins MAC même si c'est pas l'idéal). Tous les
switchs L2 savent faire cela.
La question étant de savoir combien de VLan je peux tagger avec ces
switchs bas de gamme sans que ça merdoie...

RR
GuiGui
Le #22262621
rr a écrit :

Une autre idée pourrait être éventuellement de faire un dynamic vlan via
freeradius avec un VLAN différent par poste déclaré routable uniquement
vers l'internet, en passant par un routeur linux 802.1q.




C'est faisable, mais ça dépend combien tu as de vlans à déclarer. Les
switchs ont une limite (variable suivant la gamme). si ton switch
n'accepte que 200 vlans et que tu as 300 chambres, ça ne fonctionnera pas.

J'avais de toutes manières l'intention de faire du 802.1x sur des
machines déclarées (au moins MAC même si c'est pas l'idéal).



Il y a plus simple : tu mets les ports en mode security avec un bail
infini si ton switch le permet. Comme ça, le premier PC branché est
autorisé à se connecter, mais impossible d'en mettre un autre (à moins
de spoofer la mac, ce qui n'est pas difficile). Pour autoriser une autre
machine à se connecter, il faut faire un clear du port, il réapprend la
mac et se verrouille dessus.

Tous les
switchs L2 savent faire cela.



Le mieux est 802.1x basé sur l'authentification windows.

La question étant de savoir combien de VLan je peux tagger avec ces
switchs bas de gamme sans que ça merdoie...




En général pas beaucoup (souvent 256), dès que tu monte un peu en gamme
(genre catalyst 3550) tu peux en général monter à 2048.


Sinon, j'ai regaqrdé chez HP, le 2810 possède la fonctionnalité
protected port (en tout cas c'est dans la plaquette
http://www.procurve.com/products/pdfs/datasheets/ProCurve_Switch_2810_Series.pdf)
Erwan David
Le #22262891
GuiGui
Tous les switchs L2 savent faire cela.



Le mieux est 802.1x basé sur l'authentification windows.



Et ça se passe comment quand on branche autre chose qu'un windows ?

802.1x se base sur du Radius, donc ça peut aussi être basé sur un ldap...

--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Publicité
Poster une réponse
Anonyme