Pb Ipcop GREEN+RED avec plusieurs Vlans (sous réseaux)

[jdh]

(J'ai été trompé par l'image d'un switch !)

Comme mentionné, Ipcop est VERITABLEMENT conçu pour un seul réseau Green. Le script firewall est donc écrit dans ce sens là. D'ailleurs, ce qui explique que la navigation fonctionne bien via un proxy.

Il faut donc revoir le script en fonction de ces multiples réseaux Green (en sus des routes qui sont un ba-ba au sens pile IP).

[fleib]

Quelle est la config de ton switch/routeur?

Quel est l'etat de sa table de routage?

[wissem112]

le switch a un RIP activé qui routes toutes sorte de plage IP connectés!

C'est automatique autrement dit

[wissem112]

@jdh

Il est ou ce script et que faut il y ajouter??!!

[fleib]

Cela dit, comme l'a dit jdh, dans ce post et d'autres avant, IPCop n'est conçu que pour avoir un reseau GREEN...

As tu pensé à rajouter des interfaces avec l'addon Xtiface (http://www.ban-solms.de/t/IPCop-xtiface.html) et un switch basique sur chacune des interfaces? Comme ça tu n'as qu'un GREEN et x GREY, ça donne les mêmes fonctionnalités (limitation du broadcast) et tu isoles les "VLANs" physiquement...

[ccnet]

Je ne comprend pourquoi la route par défaut de green serait 10.18.50.1. La gateway de green sur ipcop est l'interface red par construction.

[wissem112]

Oui la default_gateway au niveau du fichier /etc/rc.d/rc.local est effectivement 192.168.0.1 c a dire l'interface RED

Vous avez raison.

[wissem112]

ça y est!!! ENFIN

Je croyais que ça venais d'ipcop!! mais non!!

C'est la faute au routage au niveau du switch:

il faut juste rajouter :

ip route 0.0.0.0/0 adr_ipcop

ET c'est OK!!

En tout cas merci pour votre aide.

[jdh]

On a toujours intérêt à vérifier "ce qui est logique" .. et qu'on a pas toujours fait !

[fleib]

Et c'est pour cela que j'avais demandé plus haut l'état de la table de routage du switch, ça sentait le problème de route manquante...

Content pour toi que tu ais trouvé.

[Yoda]

bonjour,

Ipcop et les vlan, j'ai bien galéré mais j'ai trouvé une solution qui fonctionne avec des switchs Hp, mais je pense que quelque soit la marque, la solution devrait fonctionné.

j'ai simplement créé, un Vlan d'interconnexion qui ce charge du routage pour tous les autres Vlan... ma patte verte est donc connectée sur le switch qui host le Vlan d'interconnexion, tous le routage ce fait depuis ce Vlan.

la solution est en place depuis maintenant 6 mois sans soucis. la seule contrainte est de disposer de commutateur de niveau 3.

si ca peu aider quelqu'un...

[Fesch]

(Je n'ai jamais bien compris l'intérêt des VLAN : je viens de suivre l'installation de switchs Alcatel avec VLAN pour Voip mais je ne suis pas convaincu ... Ce qui est certain, c'est que les VLAN n'apportent pas de sécurité supplémentaire, c'est illusoire vu les outils faciles à trouver ...)

J'aimerais te donner un exemple que j'ai implémenté il y a quelques mois: Images-toi une DMZ avec une dizaine de serveurs. Généralement, dans une DMZ, les serveurs se "voient" mutuellement. Or, si jamais l'un des serveurs a été compromis, ce dernier pourra être utilisé pour attaquer avec une bande passante assez large l'un des autres serveurs de la DMZ.

Ce que j'ai mis en place, c'est ceci:

Un routeur pfSense définissant 10 VLAN différents qui est connecté à un switch capable de gérer des VLAN aussi. Chaque port du switch se trouve sur un VLAN différent tandis que le dernier port du switch est configurer en tant que "trunc" et faisant donc passé tous les paquets "taggés" vers pfSense. Chaque VLAN contient un seul serveur. Le routeur "voient" tous les serveurs, mais les serveurs ne se "voient" pas mutuellement.

A mon avis, la sécurité a donc clairement été augmenté ou non?

[jdh]

N'existe-t-il pas des outils simples permettant de passer au travers d'un vlan ? (DS....)

Le switch n'a-t-il pas une table d'adresses mac de taille donnée (8192, 16384) ? Que se passe-t-il quand on arrive en 8193ième position ?

Un serveur en DMZ ne doit-il pas lui-même disposer de son propre firewall (petit script iptables par exemple) ?

Les VLAN ne sont-il pas plus utilisés dans un réseau interne ?


J'entends les possibilités d'utilisation du vlan. Je connais bien désormais pfSense et en voit l'intérêt notamment pour les vlan. Mais il n'empêche, cela limite les broadcast avant tout. ....

[ccnet]

A propos des vlans, je n'en utilise que sur Cisco pour les switchs. C'est un concours de circonstances. Dans ce cas c'est un élément de sécurité et pour les autres marques je ne sais jusqu'à quel point on peut s'y fier.

Pour le saut de vlan avec des cisco bien configurés, ce n'est plus possible.

Les Cisco ne craignent pas les débordements de table d'adresses mac. Ce n'est pas le cas de tous. De plus il est possible d'entrer, dès les 2900 XL, des tables d'adresses mac statiques. Si il est facile d'usurper une adresse mac il est moins facile de connaitre celles qui sont autorisées sur le switch et de les utiliser sur n'importe quel port. Rien de tout cela n'est infaillible mais on peut compliquer singulièrement le travail d'un agresseur même si il est présent sur le réseau local.

Certains switchs bas de gamme se transforment en hub si la charge est trop importante. Alors tous les vlans sautent.

Un serveur en dmz doit être "firewallisé" bien sûr.

J'utilise parfois des vlans dans les dmz pour cloisonner au maximum le trafic et rendre plus difficile un rebond à partir d'une machine compromise.

En conclusion les vlans comme éléments de sécurité oui, mais avec une mise en œuvre adaptée.

[Titofe]

Bonjour,

Désolé de posé ma question ici, mais en suivant ce post j'ai cru comprendre que les Vlans pouvez apporté des problèmes de sécurité selon comment cela est fait.

Donc ma question et de savoir si on a les mêmes risque que ceux décrie ici si les vlans qui sont créer son sur une rangés de ports, je veux dire par là: rangés de ports 1 à 10 vlan1, 11 à 15 vlan2, etc.

Cdt,