Segmentation et Sécurisation des réseaux

Vlan

Dans le cadre d’un projet Personnel encadré nous avons dû améliorer un réseau existant. Les objectifs :

- La sécurisation (Séparation de flux Logique)
- Segmentation (moins de paquet en broadcast)
- Meilleure gestion du réseau

Partie 1 : Segmentation du réseaux Nous avons eu a disposition :

- 1 Switch Cisco SG300-20
- 1 Switch Cisco SG200-8
- 1 Routeur Pfsense

Tout d’abord on va configurer le switch via son interface web dans le menu « vlan management » et « create Vlan » puis sur le bouton « Add »

Dans cette fenêtre on va renseigner le numéro de vlan et un nom qui nous permettra de mieux les reconnaître

Toujours dans l’interface web du swicth on va aller dans le menu « Vlan Management » puis « Interface Settings »

Puis on sélectionne un port que l’on veut modifier puis on clique sur le bouton « Edit »

Dans cette fenêtre on va choisir le mode du Vlan

- Access pour que un port affecte seulement 1 vlan
- Trunk si une machine ou un routeur a besoin de plusieurs vlan

Toujours sur l’interface du Swicth on va aller dans le menu « Vlan Management » puis « Port to Vlan »

Dans « Filter: VLAN ID equals To » Choisissez le vlan que vous souhaiter affecter à tel ou tel port puis appuyer sur « Go »

Dans le cas d’un port en mode Access il faudra choisir Untagged dans le cas d’un port en mode Trunk il faudra sélectionner Tagged pour chacun des vlan auquel on associe le port

Dans le menu « Vlan Management » et « Port Vlan Menbership » on peut voir l’état de nos ports

cisco_sg300-20_portvlanmembership

Ici on voit que

Le port 1-2 sont dans le vlan 10
Le port 3-4 sont dans le vlan 20
Le port 5-6 sont dans le vlan 30
le port 7-8 sont dans le vlan 40
Le port 17 Tagge les Vlan 1 , 10, 20, 30, 40

Maintenant on va placer le switch dans le vlan10 pour qu’il posséde une Ip dans le Vlan10

Dans le menu « Administration » et « Management Interface » puis « Ipv4 Interface »

On peut voir quelle Vlan on pourra l’administré ici on choisi le Vlan10, Puis on choisie l’adresse Ip Fixe du switch

siwtchvlan10ipmanagement

Connectez-vous à votre interface administration de pfsense puis allé dans le menu « Interface » puis « Assign »

pfsense_virt_interface_assign

Puis sélectionner l’onglet Vlan

pfsense_virt_interface_assign_vlan

Appuyer sur le bouton : pfsense_addbutton

Pour ajouter un nouveau vlan ici sélectionner l’interface physique sur laquelle doit se trouver le vlan ( normalement sur l’interface LAN) Dans « vlan Tag » Inscrivez le numéro du vlan dans « vlan description » Renseigner un commentaire pour une meilleure organisation puis cliquée sur Save

pfsense_virt_interface_assign_vlan_add

Recommencer pour chacun vlan Maintenant allée sur l’onglet « interface Assignement » et Cliqué sur le bouton : pfsense_addbutton

Cela aura effet de vous rajouter l’interface Virtuelle associée au vlan Recommencer pour chaque Vlan, normalement le bouton disparaîtra quand toutes les interfaces seront créées

pfsense_virt_interface_assign_netport

Retenez bien le nom de l’interface avec lequel est associé le vlan elle portera le nom d’Optx (X étant un chiffre) (Photo avec interface déjà renommé)
Maintenant allé dans le menu interface

pfsense_virt_interface_assign

Puis sélectionner l’interface « OPTX » (Photo avec interface déjà renommée)
Cocher la case « Enable » Interface puis renseigner les différentes cases

« Description » vous permettra de renommer l’interface d’Optx » en « informatique » par exemple
Il faudra donné une adresse IP à cette interface qui correspondra à l’adresse Ip du routeur mais dans un vlan différent vérifier bien que cases situées dans la partie « Private Network » soit décoché

pfsense_virt_interface_optx

Recommencer pour chaque interface

PfSense a la possibilité de pouvoir faire un serveur DHCP pour chaque interface Virtuelle pour cela allé dans le menu « Service » puis « DHCP Serveur », sélectionner l’interface Virtuelle à laquelle vous voulez créer le serveur DHCP, Cocher la case « enable DHCP » et renseigner les informations dont vous aurez besoin en fonction de chaque réseau. Puis Cliquer sur SAVE

pfsense_virt_service_dhcpserver

Partie 2 : Sécurisation du réseau

La mise en place du routeur relier au vlan fait que le routeur fait du routage inter vlan, ce qui m’est en cause la segmentation et la sécurisation de celui-ci On va donc mètre en place des règles qui empêchent la communication entre les vlan en fonction du cahier des charges On va aller dans l’onglet « Firewall » puis « Rules »

pfsense_firewall_rules

Puis on choisit l’interface à laquelle on veut attribuer une règle

pfsense_rules_add

On va maintenant ajouter une règle en appuyant sur le bouton : ici on va choisir l’action que va faire la règle « Autorisé » ou « Bloqué »

« Disable rule » : permet de désactiver momentanément la règle

« Interface » : cela permet de choisir sur quelle interface doit s’appliquer la règle

« Protocole » : cela permet de choisir le type de protocole « Tcp Udp Icmp) ou encore beaucoup d’autres

« Source » permet de spécifier l’adresse ip qui va envoyer le paquet

« Destination » permet de spécifier l’adresse ip qui va recevoir le paquet

« Destination port » permet de spécifier le port qui va recevoir le paquet d’autres paramètres peuvent entrer en jeu comme un planificateur l’état du paquet pour bloquer 2 vlan entre eux il faut avoir comme règle dans chacun d’eux

Dans vlan5 bloquait, tout protocole, toute source vers vlan10
Dans vlan10 bloquait, tout protocole, toute source vers vlan5

Si on veut autoriser certaines machines à pouvoir accéder d’un vlan a l’autre il faut faire une règle qui autorise avant celle qui bloque, l’ordre des règles est très important car le paquet va passer une à une la règle et s’il correspond à une règle il ne testera pas les autres règles

Vous pouvez retrouver toute la documentation utilisé et produite

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.