Cette page appartient aux archives web de l'EPFL et n'est plus tenue à jour.
This page belongs to EPFL's web archive and is no longer updated.

VLANS, suite...

Ou comment des analogies mal choisies peuvent nous faire passer à côté de l'évidence.

Le plan initial était d'utiliser les vlans comme des zones virtuellement séparées. Se pose alors le problème de la configuration de la passerelle de sécurité, qui doit communiquer avec des machines sur le même subnet mais sur des interfaces différentes, et toutes les complications qui s'ensuivent.

Par chance, le matériel que nous avons a disposition ne semble pas nous imposer de quelconque corrélation entre les vlans attribués aux paquets entrants, et l'appartenance d'un port a la livraison de paquets sortants. Nous pouvons donc voir les vlans comme des canaux de communication unidirectionnels si nécessaire, ce qui peut grandement nous simplifier la vie!

Le schéma précédemment utilisé décrivait deux zones: Trusted et Untrusted. Les serveurs sont en zone Trusted, les clients basculent de l'une a l'autre selon le bon vouloir de la passerelle. Au milieu de la frontière, la passerelle devient délicate a configurer... (je n'ai aucune expérience avec le bridging sous linux). Stupidement, je n'ai pas pensé a utiliser un 3e vlan pour la passerelle, solution pourtant conceptuellement plus simple.

Le nouveau schéma décrit trois classes de traffic:
- Trusted : communications émanant des clients sûrs et des serveurs
- Untrusted: communications émanant des clients non sûrs
- Gateway: communications émanant de la passerelle.

La catégorisation du traffic ingress est ainsi trivialement donnée. Pour le traffic egress, on utilisera les regles suivantes:

- Trusted: délivré aux clients sûrs, serveurs et passerelle
- Untrusted: délivré à la passerelle
- Gateway: délivré a tout le monde sauf la passerelle.

Pour basculer un client en statut sécurisé, il suffit de:

- Changer le vlan par défaut du traffic ingress du port de Untrusted en Trusted
- Ajouter le port a la liste de livraison de la classe Trusted.

Le schéma peut être simplifié en fusionnant les classes Trusted et Gateway, les machines non vérifiées sont alors atteignables par les autres stations, mais aucun retour direct n'est possible, ce qui ne devrait pas s'avérer trop problématique. Ceci permet de réduire le statut de chaque port a son VLAN ingress par défaut, ce qui est changable atomiquement par SNMP, et réduit encore les risques d'accident de configuration. C'est peut-etre la solution qui sera retenue.
Posted by Maxime Augier on Friday 15 October 2004 at 16:19
Comments
youpie :)
Posted by Anthony Ducommun on Sunday 17 October 2004 at 17:07