Réseau - Switch L2/l3 - Vlan Et Routage Inter-Vlan

[BenjyNet]

Suite à  une petite discussion commencée avec Laser en off, j'ouvre ce nouveau topic pour la continuer ici et ainsi partager avec vous mes idées/désirs sur l'évolution de mon réseau.

 

Aujourd'hui comme la plupart d'entre vous, je possède tout un tas de switchs dans la maison et l'ensemble de mes appareils sont connectés dessus (pcs, box, cam, iot, etc...). Bien évidement les switchs en cascade sont à  proscrire et il ne m'est pas possible d'isoler des lans entre eux. Par contre tout ça marche pas trop mal, mais si un jour ma cam chinoise se fait pirater c'est l'ensemble du réseau et de mes données personnelles qui peuvent en patir.

 

Comme je prévois l'installation d'une nouvelle baie dans le garage, c'est l'occaz de repenser tout ça. Ce que j'aurai voulu faire c'est d'isoler dans des vlan mes cams d'une part, le wifi d'un autre (j'attends le unify pro-ac) et l'ensemble de mes pcs/serveurs. Pour les iots comme l'ipx/hc2/fhem je sais pas trop encore comment les isoler. Est-ce que je les mets avec mes pcs ou dans un vlan à  part ? Bon apres il faut aussi que tout ça puisse dialoguer ensemble. Genre les cams enregistrent sur surveillance station, mon pc accède à  la HC2, etc... Autre contrainte, les cams sont POE, le unify aussi, comment faire ?

 

Enfin voilà , bref, je suis pas expert réseau mais vu les problèmes de sécurité sur certains iots et sur les cams (vraiment un truc auquel je ne fais pas confiance) je voulais profiter de l'update du matos pour y réfléchir. A vos claviers

[jojo]

je ne suis pas du tout  non plus un expert en réseau.

 

Mais je me dis que si tu fait des VLAN différents pour des raisons de sécurité (1 VLAN pour tout ce qui aurait une redirection de port depuis l'extérieur, et 1 VLAN pour ce qui est strictement inter ?). Mais si ils doivent pouvoir communiquer entre eux, est-ce encore bien utile d'avoir différents VLAN ? (je n'y connais rien, mais si tu sais faire coser différents VLAN, les pirates également ?)

 

Pour mes caméra, elles ne sont pas accessibles depuis l'extérieur (pas de port forwarding), et si je veux les regarder depuis l'extérieur, mon router fait VPN.

[Lazer]

Ce n'est pas parce que ta caméra n'est pas accessible depuis l'extérieur, que celle-ci ne se connecte pas d'elle-même vers l'extérieur.... créant donc une brèche que le méchant pirate pourra remonter.

 

Exemples d'équipements bien connus qui initient des connexions vers l'extérieur :

- HC2 (hé oui...... via le remote access Fibaro qui crée un tunnel SSL)

- Netatmo

- NEST,

- tous les objets Cloud d'une façon générale

 

Même si l'équipement ne se connecte pas officiellement au cloud du constructeur, la fonctionnalité est peut être cachée à  l'insu du plein gré de l'utilisateur.

Ou encore, une mise à  jour de firmware vérolée par un pirate (qui vérifie réellement le checksum des firmwares téléchargés....)

Ou encore un cheval de trois installé après avoir visité un site peu recommandable, ou ouvert l'email d'un ami qui vous veut du bien....

etc...

 

Donc isoler a du sens, ça devrait même être obligatoire ! Comme vous le savez peut être, ça fait longtemps que je parle de faire la même chose, mais je n'ai pas encore pris le temps d'organiser la chose, pourtant j'ai déjà  le matos.

 

Alors en matière de réseau, il y a 10000 façons de faire ce que tu veux, mais il faut savoir rester simple car tu n'es pas expert réseau (et moi non plus), donc :

- il te faut un routeur qui supporte les VLANs => cela implique de dégager tous les routeurs ADSL/Fibre des FAI. N'importe quel bon routeur fera l'affaire : Netgear, Synology, Ubiquiti, TP-Link, etc...

- un ou plusieurs switchs

 

Si les switchs ne sont pas manageables, alors il faut :

- que le routeur aie plusieurs interfaces (une externe, et une par switch à  connecter)

=> chaque switch sera physiquement isolé sur un réseau différent, donc il est facile de connecter ses équipements sur un switch ou un autre

- limite de cette solution : aucune souplesse, chaque nouveau réseau impose un switch dédié et un port du routeur dédié

 

Si le (ou les) switch(s) est/sont manageable(s), alors :

- le routeur peut se limiter à  2 interface (1 externe, et 1 interne). Bien sur si on a plus d'interface, ça sera toujours utile (ex : Ubiquiti ERL-3 ou 5)

- sur le switch manageable, on active le 802.1q, qui consiste à  tagguer les paquets, afin d'isoler les équipements dans des VLANs distincts

=> le port du switch connecté au routeur devra être taggué, de sorte à  ce que ce port puisse faire passer les paquets de tous les VLANs

- Ensuite, chaque port est affecté à  un VLAN dédié, ainsi l'équipement branché sur le port sera affecté à  un VLAN ou à  un autre.

- Eventuellement, on pourra ajouter un (ou des) autre switch sur le premier switch, car le 802.1q permettra de propager les VLANs. On peut aussi brancher l'autre switch sur une autre interface du routeur si dispo.

 

Mettre des switchs en cascade n'est absolument pas un souci, toutes les entreprises fonctionnent ainsi.

Il faut juste essayer d'appliquer autant que possible une topologie en étoile (un coeur de réseau, les autres switchs étant connectés dessus).

Donc éviter les chaines de switch. L'exception c'est d'avoir 2 ou 3 switches, car on est à  la fois en Etoile et en Chaine !

Au passage, on évitera le triangle (les 3 switchs connectés ensemble... les plans à  3 c'est jamais stable sur la durée) car on crée une belle boucle, et une tempête de broadcast, essayez c'est très sympa (aucun réseau ne survit) Sauf si on a du Spanning Tree qui va fermer un chemin afin de casser la boucle.

Pour la maison, on va généralement avoir 2 switches : 1 coeur de réseau (par ex 24 ports), et un dédié POE (ex. 8 ports). Si tous les cables ne remontent pas dans la baie de brassage, on va alors commencer à  cascader des switchs, en essayant de respecter l'architecture en étoile évoquée précédemment.

Si on craint que le débit ne s"effondre entre 2 switchs, on peut agréger des ports (LAG statique, LACP dynamique, à  choisir en fonction de ce que supporte le switch). Note en passant : un serveur tel que le HP Proliant Microserver Gen8 a 2 cartes réseau, qu'on peut agréger sur le switch.

 

Le routeur est l'élément central du réseau qui permettra aux réseaux de communiquer ensemble (ou pas.... si firewall).

Tous les équipements de chaque réseau auront une plage d'adresse IP différente (par exemple 192.168.1.0/24, 192.168.2.0/24, etc) et comme passerelle par défaut le routeur.

Attention le DHCP ne travaille que sur un seul réseau (sauf à  y configurer du DHCP relay, mais j'ai dis qu'on restait simple au début). Donc on va laisser le DHCP pour le réseau interne (PC, etc), et pour le ou les réseaux IOT, on activera un autre DHCP ou pas selon si les équipements peuvent être configurés manuellement (IP Fixe). Les IOT ne le peuvent généralement pas (Netatmo, Sonos, etc). Avec un serveur DHCP, et en configurant un bail statique, on pourra forcer une IP pour un équipement en particulier, identifié par son adresse MAC.

 

En ce qui concerne le Wifi, si la borne le support (Ubiquiti), alors on pourra créer plusieurs WLAN (ESSID), et mettre chaque WLAN dans un VLAN différent. Ainsi le VLAN téléphone/tablette sera différent du VLAN invité, du VLAN IOT; etc.

 

Une fois qu'on a mis tout ça en place, le lecteur avisé aura constaté qu'on a isolé chaque équipement (qu'il soit filaire ou sans-fil) dans un réseau différent, mais que tout le monde pourra communiquer au travers du routeur.

 

C'est là  que le firewall va entrer en jeu.

Tout routeur digne de ce nom intègre également un firewall, qui permet de filtrer très précisément ce qui passe.

Par exemples :

- les équipements internes auront accès à  tous les autres réseaux, y compris Internet

- les équipements IOT n'auront aucun accès au réseau interne.

- Certains équipements IOT auront accès à  Internet (Netatmo), tandis que d'autres seront bloqués (Caméras, ...)

Le filtrage peut être très fin, car on peut travailler par adresse IP, protocole (ICMP=ping, ...), port TCP (http, https, DNS, SSH, FTP, ...), etc...

 

Voilà , Madame me demande si j'écris un romain donc je vais m'arrêter là , mais c'était déjà  les grandes lignes.

Je ne peux pas entrer en détail, notamment sur le 802.1q et les Firewalls, il y a pleins de tutos sur Internets à  ce sujet, y compris des vidéos Youtube. D'autant plus que certains concepts sont génériques, mais l'implémentation diffère d'une marque à  une autre.

 

Je ne me suis pas relu, il y a surement un nombre de fautes incalculables....

[Shad]

Perso, toutes les sorties par internet passe passe par un proxy squid, et ce qui rentre par un reverse proxy.

J'évite de tous connecté en direct sur le net.

 

Après pour les webcams, tu leur bloque le net et tu fais toi même les maj.

Sur mon réseau par défaut les seules ports ouvert sont pop3, imap, smtp, dns.

Tous ce qui est port 80 passe par un proxy, et port 443 excepté équipement qui le demande en direct passe par le proxy ou est fermé.

 

Le seul serveur qui a full accès sur tous les ports est mon serveur de torrent/newsgroup et mes 2 pcs perso.

 

Après comme lazer j'ai pas encore eu le temps de regarder les vlan mais qui devrait arriver sous peu.

[Nico]

Mouais, moi je pense qu'on reste des particuliers, et des hackers qu'ils veulent contrôler une maison, bof quoi.

Par contre j'ai tout de même eu besoin de VLAN, car ma Freebox est en mode Bridge, et il faut les VLANs pour que le Freebox Tv est encore accès au Freebox Server àtravers le nouveau routeur.

[Lazer]

A mon avis le risque n'est pas qu'un hacker en particulier s'en prenne à  toi (quoi que, si un pote geek veut te pourrir y'a moyen).

 

Le risque c'est que des mecs trouvent des failles dans le cloud des entreprises, et s'en servent pour déployer massivement des programmes malveillants dans ton réseau.

Aujourd'hui le risque reste marginal car peu de monde est équipé, mais d'ici quelques années la majorité des gens auront des IOT à  domicile, et l'impact peut être violent.

 

Pour faire un parallèle, dans la passé (et encore aujourd'hui), combien de gens se sont retrouvé à  héberger à  leur insu des warez, ou font office de relai à  spam. Tu verras qu'il arrivera des cas similaires avec les IOT, grâce à  l'exploitation de faille dans les réseaux d'IOT les plus populaires. Sais-tu que le NEST peut être rooté, c'est un vrai Linux avec un accès au réseau local Wi-Fi, donc une porte d'entrée virtuelle dans la maison. Les exemples sont nombreux....

 

A l'extrême, imaginons un programme malveillant qui :

- démarre tous les chauffages de toutes les maisons de la ville et fait sauter les transfos, les réseaux, les centrales...

- fait clignoter toutes les lumières pour les claquer

- ouvre toutes les portes des maisons du quartier

 

Sur ce dernier point en particulier, je te rappelle qu’aujourd’hui les voleurs de voiture font du "mouse jacking". Ce n'est pas qu'ils aient les compétences de hacking, c'est juste qu'ils ont acheté la télécommande universelle au bon endroit....

Un exemple concret, un ami s'est fait voler sa voiture. Il va au commissariat, il n'a pas eu besoin de donner le modèle que le flic savait déjà  : ils ont volé toutes les voitures de ce modèle en particulier dans la ville, en quelques jours. Imagine la même chose pour les maisons... et encore une fois, par des mecs qui sont tout sauf hacker. OK aujourd'hui c'est de la science fiction, mais plus pour longtemps.

 

/mode parano

[Nico]

Arrête de regarder Die Hard 4

Bien sûr, que cela évolue. Mais pour ça il y a l'alarme. Et le gars pour passer toutes les barrières différentes que j'ai mises en place, devra être sacrément équipé.

Après, hormis pour un netatmo, je n'ai rien de cloud, je veux tout en local pour un accès local. Cela changera peut être, àvoir.

[BenjyNet]

Très intéressant tout ça mais je vois un inconvénient dans la structure que propose Lazer : c'est le routeur qui supporte la charge et uniquement lui. Pourquoi ne pas partir directement sur un switch L3 ?

[Lazer]

@Nico : ah je l'avais oublié ce film là  ! Ca doit être mon subconscient qui est allé chercher l'idée dedans

Bien sur tu as une alarme, moi aussi.

Mais la tendance c'est clairement de ne plus avoir d'alarme quand qqcn a de la domotique.... regarde le forum, le nombre de questions de gens qui ont acheté une box et qui veulent s'en servir pour faire alarme, et ainsi faire l'économie d'une alarme dédiée. A mon avis la tendance va clairement dans ce sens (malheureusement.... encore que c'est discutable, la norme Z-Wave évolue, et les prochains chipset Z-Wave intègreront la détection de brouillage.... manque plus que le bi-fréquence, des capteurs fiables, et un contrôleur qui ne plante pas pour voir l'agrément NFA2P.... au rythme ou vont les choses, d'ici 10 ans c'est bon     )

 

@BenjyNet :

 

Alors justement, j'ai volontairement exclu le routage par le switch pour ne pas compliquer. C'est justement un sujet que je ne voulais pas aborder..... m'enfin puisque tu insistes, allons-y pour un autre roman

Si le switch est capable de faire du routage L3 (pour info chez Cisco c'est à  partir de la gamme SG300, on en trouve chez Mikrotik aussi, pour les autres marques je ne sais pas), il va être compliqué de gérer les tables de routage de tous les appareils du réseau.

En effet, une pile TCP/IP ne peut avoir qu'une seule passerelle par défaut. Donc si tu en mets 2 (ton routeur Internet et ton switch), alors ta pile TCP/IP ne sait plus où elle doit envoyer les paquets, et elle va les envoyer alternativement sur l'un et l'autre.... perte de paquets assurés, et gros gros problèmes de communication.

 

L'alternative c'est de jouer avec les routes statiques. Donc la defaut gateway pointe sur le routeur Internet, et les routes statiques vers les autres VLANs pointent vers le switch.

Pour un OS de bureau, aucun souci (Windows, Linux, MacOS, ...).

Pour un OS autre (téléphone, tablette, embarqué (tous les IOT)), il n'est pas (ou très rarement) possible de configurer des routes statiques. Donc ces équipements seront incapables de communiquer avec les autres VLANs. Si tu n'es pas capable de communiquer avec ta caméra alors que ton smartphone est connecté au Wi-Fi, c'est dommage....

Il est possible de pousser les routes statiques depuis le serveur DHCP, mais il faut pour cela un vrai serveur DHCP auquel on a accès à  toutes les options de configuration. Cela n'est pas possible avec les box Internet des opérateurs (Freebox, Livebox, etc)

 

Une autre architecture consiste à  décider que le swich est l'unique passerelle du réseau. Cela résout le problème.

Mais à  ce moment là , le routeur Internet doit être positionné dans un autre VLAN dédié. Le routeur Internet sera alors la passerelle par défaut du switch, ce qui lui permet de router tous les paquets entre les VLANs et le WAN (Wide Area Network = Internet)

Ca fonctionne très bien, mais cela peut poser des problèmes pour les connexions VPN. A étudier en fonction de comment vous utilisez votre VPN (sur la box Internet, ou sur une machine dédiée dans le LAN, ou mieux dans une DMZ)

 

Avantage du routage par le switch :

- performance (enfin, ça dépend, les switch Mikrotik d'entrée de gamme ont des performances de l'ordre de 10 à  100 Mbps de mémoire....donc très faible)

Inconvénient :

- réseau totalement dépendant du switch, qui n'est plus un switch, mais un switch+routeur. Le jour où il est en panne, ou qu'on fait une fausse manip, plus rien ne fonctionne.

- switch cher

- filtrage limité entre les VLANs. On peut utiliser des ACL, qui sont un filtrage par IP uniquement. Ce n'est pas un firewall.

 

Comparé au routage par routeur dédié, les avantages :

- simplicité grâce à  la séparation des fonctions, moins de risque de panne et d'erreur de config

- fonctionnalités avancées (un routeur évolué fait du NAT, DHCP, Firewall, VPN, etc... la liste est longue)

- performance (si le routeur a de bonnes perfs, un Ubiquiti ERL-3 route à  2 Gbps, faut déjà  y aller à  la maison pour le saturer. D'autres modèles permettent d'aller au delà )

Inconvénient :

- performance (si routeur lent)

 

Au sujet des performances, que ça soit par switch L3 ou routeur dédié, on placera sur un même VLAN les équipements qui vont effectuer de gros échanges. Par exemple un PC + Home-Cinéma + NAS de données.

De même, il peut être judicieux que le NAS aie une patte dans le VLAN des caméras. Je ne sais pas si DSM permet cela.... tandis qu'avec un hyperviseur comme ESXi on aura aucun mal à  le configurer grâce au tagging 802.1q (plusieurs VLANs, donc plusieurs IP, sur la même interface physique).

 

En pratique, le routage par switch L3 est surtout viable en entreprise, car il n'y a pas de filtrage entre les VLANs. Pour les VLANs qui nécessitent de la sécurité, le flux passe dans un firewall. Idem pour sortir sur Internet, le firewall est de rigueur (auquel on ajoutera souvent un proxy et différents équipements). De plus, les switchs peuvent être redondants entre eux via différentes technologies.

 

Maintenant si tu veux te lancer dedans, n'hésite pas, c'est fun !

[pepite]

je commente juste pour pouvoir suivre les experts reseau ;-)

[Lazer]

si un expert réseau passe par là, je vais surement me faire défoncer, ce n'est pas du tout ma spécialité, juste de la culture générale

[Nico]

Pour moi cela tiens la route. On fait un peu ça chez nous au boulot, mais je laisse tout de même la main au routeur, cela simplifie grandement la chose.

A la maison, avec la Freebox en Bridge, tu es déjà  obligé de créer un VLAN à  part pour le player, alors si tu rajoutes un switch entre en L3 qui fait la partie routage, en plus du routeur qui serait office de routeur côté WAN, cela devient un peu usine à  gaz pour une maison

 

Sinon l'alarme c'est encours chez moi, et donc j'aurai un peu tout : Domotique, alarme à  part, un mix alarme + domotique dans un autre cas, bref, aussi une usine à  gaz au final

[BenjyNet]

Ouch le mal de crane après la lecture Bon j'ai quelques bons plans sur des routeurs, je vais voir ce que je fais mais je pense pas non plus m'embarquer dans un truc trop complexe pour une utilisation domestique.

[jerome_clamart]

Bonsoir,

 

Si je peux apporter mon retour d'expérience, j'encadre des personnes qui sont dans le réseau et la sécurité.

Le fait de créer des VLAN va vous permettre de faire des réseaux qui sont étanches entre eux mais au moment de les interconnecter, sauf a utiliser un firewall ou des ACL sur des routeurs puissants, cela ne servira a rien.

 

J'avais ma freebox en bridge avec un Fortinet pour faire la sécurité, (un lien IN, un lien OUT, un lien video IN et un lien player) un CISCO 3850 derrière pour le routage. Tout fonctionnait a merveille jusqu'en juillet/aout dernier, free a mis a jour et le player ne voulais plus ...

 

J'ai la chance de ne pas payer le matériel de test mais pour ceux qui payent, cela fini par couter cher pour une sécurité relative...

Ce qui ne doit pas aller sur internet doit simplement être débranché et les mot de passe doivent être différents pour toutes les systèmes et complexes.

 

Quelques règles de bon sens et cela ira bien, tous ces qui misent sur le cloud avec des mot de passe faibles le payeront le prix fort le jour ou cela sera piraté ...