Dell - Vlan + DHCP

[YoKs]

Bonjour, à tous je suis nouveau sur le forum je vais me faire un plaisir de participer à la vie du forum en essayant de partager les quelques connaissances que j'ai acquises depuis deux ans en Bac Pro Informatique.

Aujourd'hui si vous me le permettez c'est moi qui ai besoin de votre aide.

Je suis actuellement en stage en entreprise (une SSII)

Pour valider mon stage je dois présenter un rapport de stage qui tourne autour d'un projet réalisé en entreprise, le projet est le suivant.

A l'heure actuelle l'entreprise possède plusieurs bureaux et des open-spaces tous le monde est sur le même sous réseau en 10.0.0.0 /22 le problème étant que les performances du réseau sont faibles et la sécurité interne est compromise, donc mon projet est de scinder les open-spaces et les bureaux en vlan avec une nomenclature explicite c'est a dire j'ai un bureau nommé 1D140 au première étage donc le nom du vlan serait 1D140 et son adressage IP 10.14.140.X j'ai par la suite le besoin de créer un Vlan spécifique à la voIP avec du QoS mais ceci n'est pas le problème immédiat (enfin je pense).

Mon problème est que comme vous l'avez compris il me faut un pool d'adresse DHCP spécifique à chaque vlan et donc l'idée serait de ne pas avoir à mettre un DHCP par vlan mais de faire une sorte de routage inter-vlan ou quelque choses qui va dans ce sens Checkpoint>> Autres Serveurs >> DHCP >> Ipcop >> Switch Dell 3548 >> VLANs

J'ai pensé à la fonction Ip-helper address mais malheureusement elle n'existe pas sur les Dell.

En dehors de cela je n'ai aucune idée de comment réaliser ceci, j'ai fait beaucoup de recherches, j'ai trouvé très peu de choses intéressantes sur les switch dell, j'ai quelques notions sur les ciscos concernant le mode trunk (802.1q) qui a l'air compliquer a mettre en place sur les dell.

Je ne sais pas si j'ai étais assez clair si j'ai oublié des points importants ou pas mais dans tous les cas je peux répondre à toutes questions et j'en serais même ravis.

[arapaho]

Bonjour,


Je n'ai pas encore regardé les options disponibles sur ce genre de switch. Est-ce qu'il permet le relais DHCP ?

[ccnet]

A l'heure actuelle l'entreprise possède plusieurs bureaux et des open-spaces tous le monde est sur le même sous réseau en 10.0.0.0 /22 le problème étant que les performances du réseau sont faibles et la sécurité interne est compromise, donc mon projet est de scinder les open-spaces et les bureaux en vlan avec une nomenclature explicite c'est a dire j'ai un bureau nommé 1D140 au première étage donc le nom du vlan serait 1D140 et son adressage IP 10.14.140.X j'ai par la suite le besoin de créer un Vlan spécifique à la voIP avec du QoS mais ceci n'est pas le problème immédiat (enfin je pense).

Mon problème est que comme vous l'avez compris il me faut un pool d'adresse DHCP spécifique à chaque vlan et donc l'idée serait de ne pas avoir à mettre un DHCP par vlan mais de faire une sorte de routage inter-vlan ou quelque choses qui va dans ce sens Checkpoint>> Autres Serveurs >> DHCP >> Ipcop >> Switch Dell 3548 >> VLANs

En français il y a un truc assez pratique pour améliorer la lisibilité des textes et structurer son propos : la ponctuation, et en particulier, le point. Je ne sais si cela vous dit quelque chose. Votre texte est difficile à lire.

Venons en à votre problème. Ce que je retiens, à ce stade de votre exposé de la situation, est que vous avez l'intention de faire dépendre l'affectation à un vlan de la prise réseau. E attendant de voir comment cela est possible, avez vous mesuré toutes les implications de ce choix ? En d'autres termes, un même utilisateur ne sera pas sur le même sous réseau réseau selon l'endroit où il se connecte. Pour moi c'est une très curieuse (et mauvaise) idée en terme de sécurité. Je préfère de beaucoup qu'un utilisateur soit toujours dans le même Vlan et cela en fonction de son identification.

Qu'en pensez vous ?

[YoKs]

Bonsoir, merci pour vos réponses.

Concernant mon post désolé, ma prof de français de l'époque, me l'as beaucoup, reproché, seulement je ne lui en ai jamais, tenu rigueur, j'ai un problème avec la ponctuation en effet soit j'en mets toujours trop soit jamais assez !!

Passons,

Pour ce qui est de l'affectation aux VLANs c'est une bonne question, je n'ai pas encore décidé définitivement de la manière dont j'allais m'y prendre, cependant j'ai bien relevé dans votre message qu'il est possible d'affecter des personnes à des VLANs par authentification ceci peut être une option fort intéressante.

Néanmoins, je ne comprends pas en quoi ma solution peut poser des problèmes de sécurité (pouvez-vous m'éclairer).

Dans le cadre actuelle des choses une personne travaille dans son bureau et n'a pas lieu d'y bouger.

Vous ai-je mal compris ?

Donc pour résumer,

Oui, je souhaite faire du Vlan par port.

Non, il ne semble pas faire du relais dhcp ou ip-helper address (je ne suis pas sur de ce que j'avance mais d'après mes recherches ce n'est pas le cas).

Merci beaucoup de votre aide et n'hésitez pas à poser vos questions, mon architecture est loin d'être la meilleure elle est peut-être même très mauvaise.

[YoKs]

Bonjour,

Désolé pour ma réponse légèrement impertinente, seulement j'ai du mal avec la mentalité très peu indulgente des membres des forums, je prend très mal les réponses peu constructive, sur la manière dont les personnes écrivent.Cela ne fait pas avancer les choses même si je comprend bien que c'est moi qui suis en position de demande mais ce n'est pas comme si je me permettais d'écrire en langage sms.

Sinon pour en revenir à nos moutons, je n'ai pas trouvé de fonction Relais DHCP (je croyais que ceci existait seulement sur les routeurs).

Est ce que ceci vous parait convenable :

Port e1 : Mode Trunk >> relié à IPCOP configuré avec le module modprobes 8021q et création de sous interfaces pour chaque vlan. Ce même port est en mode trunk avec tous les ports de mon switch qui sont eux même relié à un vlan.

Port e2 mode acces sur le vlan 2
Port e3 mode acces sur le vlan 3

..... ... ....... ....... ........

Je ne connais pas du tout le fonctionnement du DHCP sur IpCop et comme je n'ai pas le temps de m'y intérésser j'ai décider que mon serveur DHCP sera sur 2003 serveur est ce qu'il y aura quelques choses à paramétrer sur le serveur DHCP pour que la demande d'adresse IP provenant du vlan 2 (1d140) acquiert bien une adresse ip correspondant à sont pool d'adresse.

J'attends votre aide et vos remarques, merci d'avoir pris le temps de me lire.

[ccnet]

Pour ce qui est de l'affectation aux VLANs c'est une bonne question, je n'ai pas encore décidé définitivement de la manière dont j'allais m'y prendre, cependant j'ai bien relevé dans votre message qu'il est possible d'affecter des personnes à des VLANs par authentification ceci peut être une option fort intéressante.

Néanmoins, je ne comprends pas en quoi ma solution peut poser des problèmes de sécurité (pouvez-vous m'éclairer).

Dans le cadre actuelle des choses

Cela pose bien un problème de sécurité. Les ressources réseaux accessibles (informations, fonctionnalités divers) sont bien fonction de la personne. On comprend bien pourquoi, un DG, un commercial, un assistante, et ont des accès différents, des niveaux de confiance différents. On comprend bien aussi que ce n'est pas une histoire de prises réseaux mais bien de niveau de confiance. La déduction qui s'impose, si le Vlan est conçu comme un éléments de sécurité (et c'est une idée judicieuse) est qu'une personne doit se trouver dans le bon Vlan lorsqu'elle connecte sa machine. Mais aussi puisque nous faisons de la sécurité, qu'elle ne doit pouvoir en changer ni volontairement, ni accidentellement et que par ailleurs ce dispositif doit s'accommoder des habitudes de travail actuelles (j'emporte mon portable en réunion mais je veux rester connecté).
L'erreur est de penser qu'il n'y a que de gentils utilisateurs.

Une personne travaille dans son bureau et n'a pas lieu d'en bouger.

Elle a une très bonne raison d'en vouloir changer : accéder à des informations qui normalement ne devrait pas lui être accessible. Là vous pêchez par naiveté. Et comme vous allez devenir un professionnel, l'expérience passant, on vous accusera de négligence.
En sécurité on ne peut pas penser que le pirate respecte vos règles du jeu.
Le développement des portables, du wifi et autres terminaux extrêmement mobiles ne font que rendre le problème plus aigu.
Au surplus lorsque vous parlez de vlan par port c'est partiellement juste car il faut considérer que le port est connecté à un câble qui lui abouti à une prise dans un local quelconque. Rien n'empêche une personne (pas forcément de l'entreprise !) d'utiliser une prise ou une autre.
Pour les utilisateur l'affectation d'un vlan par port physique n'est pas sûre, elle n'est pas souple (vous faites comment dans les salles de réunion avec des personnes d'un niveau de confiance différent ?) et elle est très lourde à gérer.
A mon sens si vous souhaitez que les vlans contribuent à la sécurité vous devez utiliser une solution basée sur le 802.1x.

Je ne connais pas du tout le fonctionnement du DHCP sur IpCop et comme je n'ai pas le temps de m'y intérésser j'ai décider que mon serveur DHCP sera sur 2003 serveur

Le DHCP d'ipcop fonctionne comme tous les serveurs DHCP. Maintenant si vous connaissez mieux l'interface de 2003 at que vous êtres plus à l'aise avec, vous avez bien raison de le choisir.

est ce qu'il y aura quelques choses à paramétrer sur le serveur DHCP pour que la demande d'adresse IP provenant du vlan 2 (1d140) acquiert bien une adresse ip correspondant à sont pool d'adresse.

La trame ethernet émise par le client pour acheminer sa requête DHCP ne contient aucune information sur le Vlan utilisé. Le paquet UDP non plus. Je ne sais pas si un serveur 2003 est capable de gérer les vlans directement et, dans son serveur dhcp, de définir un pool d'adresse par interrface logique (Vlan). Si oui vous devriez vous en sortir.

Vous allez utiliser des Switch Dell 3548. Je ne les connais pas. Toutefois j'attire votre attention sur le mauvais comportement de certains switchs qui cessent de se comporter comme tel dès lors que la charge augmente. Par ailleurs la sécurité que l'on peut espérer d'un switch est très dépendante de leur configuration. Certaines fonctionnalités d'administration sont dangereuses. Parfois les sauts de Vlans sont assez facilement réalisables. Les switch doivent être sécurisés physiquement et logiquement, et en particulier le vlan d'administration doit être distinct des vlans utilisateurs. Switch et vlans peuvent être très utile pour la sécurité mais il faut être très attentif à leur usage.

[YoKs]

Bonsoir,

Merci de votre réponse qui m'a bien aidé à comprendre l'importance de chaque petits détails de sécurité, car en effet je suis naïf je n'avais pas pensé à la méthode la plus simple pour contourner le scindage par vlan c'est-à-dire prendre son petit portable et venir se brancher gentiment sur le port de la comptable ou autre.

j'en ai donc parlé à mon patron (enfin tuteur de stage) qui m'a répondu que l'on ne pouvait pas prétendre pendre garde à chaque détails (enfin en gros faut que ce soit fonctionnel sans trop se prendre la tête et très rapidement) je précise quand même pour sa défense que c'est quelqu'un de très sympathique et de très doué dans son domaine, je n'ai donc pas compris sa réaction de reculer fasse à davantage de sécurité enfin si ! il m'a dit on part sur une base de confiance des employés... je vais en rediscuter histoire de voir si il peut changer d'avis.

Pour cela il me faut des arguments, j'aimerais savoir si la mise en place de vlan par identification est fastidieuse et longue, car je ne reste pas longtemps en stage et comme c'est mon projet je n'aimerais pas les laisser avec un projet à moitié commencé sur les bras.

Ce soir j'ai paramétré mon Dell, le port 1 en mode trunk sur mes différents Vlans et relié à mon IPcop que j'ai paramétré, j'ai créé mes interfaces virtuelles (soit disant passant grâce à un post du forum) et j'arrive à pinger mes passerelles.

Je vais voir pour mettre mes Hôtes en DHCP et là ce sera un grand pas ensuite j'aurais plus qu'à faire du routage sur IPcop pour que certains Vlans puissent se parler ou non.

Voilà pour ce qui est de l'avancer du projet, tenez-moi au courant si vous avez des remarques elles seront les bienvenues.

[ccnet]

C'est agréable d'avoir un patron sympathique. Cela n'en fait pas pour autant quelqu'un de compétent dans le domaine de la sécurité. Et en dépit de toute la sympathie que vous avez pour lui il faut bien dire qu'il est incompétent dans ce domaine. Gardez lui néanmoins votre sympathie, c'est sans doute un homme agréable avec des qualités mais d'autres qualités.
Mettez cela de côté pour le futur.

J'en ai donc parlé à mon patron (enfin tuteur de stage) qui m'a répondu que l'on ne pouvait pas prétendre pendre garde à chaque détails

C'est une phrase terrible. Tous est dans les détails. Si vous regardez l'histoire de la cryptographie vous y découvrirez que c'est à cause de détails, simples, anodins en apparence, que l'armée allemande a vu une grosse partie de ses communications pourtant chiffrées avec la fameuse machine Enigma ... déchiffrées. Le code a été cassé à cause de détails. Voilà pour la petite histoire.
La seconde erreur est de faire confiance. Dans la vie courante j'ai tendance à faire confiance sans problème. En matière de sécurité je suis raisonnablement parano.
Lorsque vous devrez déployer du wifi, car vous y serez quasi obligé un jour, vous allez retourner à l case départ. Si vous mettez du 802.1X vous êtes parés pour l'avenir sans fil.
Avec un peu de maitrise du sujet c'est assez rapide à déployer.

[YoKs]

Bonjour,

Merci de ta réponse, j'en prend notes.

J'aimerais savoir, je recherche le dhcrelay ou dhcp-relay sur ipcop si quelqu'un a une source ?! car il n'est pas sur mon ipcop ce doit surement être un module ou add-on à ajouter.

A oui et il faudrait qu'il soit déjà compilé car je ne peux pas recompiler sur ipcop.

Merci beaucoup.

[ccnet]

Bonjour,

Merci de ta réponse, j'en prend notes.
Merci beaucoup.

Telle que la "sécurité" est imaginée pour ce réseau, en dépit des vlan, un simple livreur de pizza réalisera sans peine une intrusion. On ne fait de la sécurité avec des bons sentiments. Voilà qui est dit.

Pour le DHCP.
Sur ipcop il n'y a pas de fonction dhcp relay parce qu'il existe un service dhcp par zone, que l'on active ou non pour chaque zone. Chaque zone est paramétrée avec l'étendue qui convient et comme le broadcast avec le dhcp_request parvient forcément sur la bonne interface, la machine cliente reçoit une ipdans la bonne étendue. C'est simple et c'est cohérent. Maintenant lorsque l'on modifie ipcop pour lui faire gérer les Vlan, je ne sais pas ce que devient le comportement d'ipcop pour dhcp.
C'est tout le problème des utilisations à la marge. De plus il faudra ajouter BOT sur ipcop car ce dernier laisse tout sortir, ce qui est presque aussi dangereux que le trafic entrant. Et BOT + Vlan là non plus je ne sais pas ce que cela donne ...
Une chose est certaine. Si nous parvenions à faire un relais, d'un vlan vers un autre, comment le DHCP s'y prend t il pour associer le vlan source avec une étendue ? Je n'ai pas de réponse et ni UDP ni Ethernet ne l'ont. La seule solution est celle que nous avons déjà évoqué. Le serveur DHCP doit avoir une interface dans chaque Vlan à desservir. Si la carte supporte les vlans elle sera connectée par un lien trunk au switch coeur de réseau.

[YoKs]

Bonsoir,

Merci, c'est ce que j'ai fini par faire.

J'ai paramétré le dhcp sur ipcop je l'avais déjà fait en cours sous debian c'est la même choses.
En effet en indiquant l'adresse de broadcast il reconnait d'où viens la demande et fourni ainsi l'adresse ip de la plage correspondant.

(Ça fonctionne !)

Je n'ai pas eu l'occasion de rediscuter du Vlan par authentification avec mon patron hors-mis ce point important en terme de sécurité, qu'est ce qui a vos yeux comporte des risques ?

Bonne soirée.