Un commutateur Ethernet, ou « switch » en anglais, est un équipement de réseau « couche basse » similaire à un concentrateur. La différence essentielle entre ces deux équipements réside dans le fait qu’un commutateur viole sciemment le principe de.....
diffusion du protocole Ethernet : les trames Ethernet ne sont donc remises qu’à leur(s) seul(s) destinataire(s) et non pas à l’ensemble des machines présentes sur le segment Ethernet.
Ce mécanisme offre de nombreux avantages, tant en termes de performances qu’en termes de sécurité :
· L’écoute sur le réseau demeure particulièrement limitée : les seules trames pouvant être capturées sont les trames à destination de sa propre machine, celles que l’on émet soimême et les trames de broadcast.
· La bande passante disponible n’est pas partagée ; chaque équipement terminal dispose de la bande passante maximale puisqu’il est le seul à émettre et recevoir sur son propre segment physique.
· La sous-couche MAC (Medium Access Control), généralement matérialisée dans Ethernet par le protocole CSMA-CD, devient inutile sur les équipements terminaux :
du fait de la commutation des trames, c’est le commutateur qui gère les émissions de trames et donc les problèmes de collisions. Dans ce cas précis, on s’affranchit alors d’une sous-couche protocolaire, donc de temps de traitements. Lorsque l’on utilise un commutateur Ethernet, on associe à chaque port physique une et une seule machine.
Il est cependant possible de cascader un ou plusieurs concentrateurs sur un commutateur ; cette technique est souvent utilisée lorsque le nombre de ports Ethernet du commutateur est insuffisant au regard du nombre de machines à interconnecter, et ce en raison du coût plus élevé d’un commutateur. En termes de sécurité, mais également de performances, ce type d’architecture est à proscrire puisque l’on perd ici tous les avantages acquis par le choix d’un commutateur sur le segment réseau concerné (écoute essentiellement).
Notion de VLAN
Le principal intérêt que représente un commutateur par rapport à un concentrateur réside dans sa capacité à gérer des réseaux virtuels ou VLANs (Virtual Local Area Networks), logiquement étanches entre eux.
Les VLAN peuvent être déclarés essentiellement selon trois méthodes (ou combinaisons de ces trois méthodes) :
· Une liste de ports sur le commutateur.
· Une liste d’adresse d’un protocole de niveau 3 (IP,IPX…)
· Une liste d’adresses MAC
Ce mécanisme a été originellement créé afin d’éviter aux administrateurs réseaux une surcharge de travail lors de la migration physique d’une machine.
En effet, en supposant qu’une entreprise dispose de deux réseaux physiques indépendants, situés dans deux bâtiments distincts et qu’un utilisateur doivent déménager tout en restant raccordé à son réseau d’origine, les administrateurs de réseaux se verront obligé de tirer un câble supplémentaire entre les deux bâtiments :
La technologie des VLANs permet d’éviter une telle opération physique par une simple reconfiguration
de l’équipement actif. On définit alors sur les équipements autant de réseaux virtuels que nécessaire (deux dans notre exemple), puis on affecte, à chaque port, un ou plusieurs VLANs d’appartenance. Dans le cadre
d’un tel déménagement, la machine de l’utilisateur sera alors connectée sur un port libre du commutateur du nouveau bâtiment, puis l’administrateur réseau affectera à ce port le VLAN auquel l’utilisateur appartenait avant son déplacement.
Les principes de base de l’utilisation des VLANs se résument alors aux deux points suivants :
· Sur un commutateur, ou un ensemble de commutateurs, on définit une liste de réseaux virtuels
· En l’absence d’autres mécanismes (routage par exemple), les VLANs sont étanches entre eux : deux machines appartenant à deux VLANs différents ne peuvent pas communiquer directement même si elles disposent de la même plage d’adresse IP.
Routage inter-VLAN
Les commutateurs de niveau 2 ne savent pas gérer les échanges entre les VLANs, car cela impose de remonter dans les couches réseaux au niveau 3 (réseau). Cependant certains constructeurs proposent aujourd’hui ou à très court terme des commutateurs intégrant des fonctions de routage, y compris pour le routage inter-VLAN.
Il est cependant possible de réaliser du routage entre les différents VLANs à l'aide d'un routeur, en utilisant par exemple le protocole 802.1Q pour récupérer les informations de VLAN issus des commutateurs. Notons que, dans ce cas, le routage inter-VLAN n'a de sens, du point de vue de la sécurité, que si des filtres de paquets au niveau TCP/IP sont implémentés. Ainsi, lorsqu’un routeur réceptionne un paquet d’un VLAN 1 à destination d’un VLAN 2 :
· il vérifie que cette communication est autorisée (par consultation de ses listes à contrôle d’accès éventuelles),
· il dé-taggue le paquet (suppression du tag du VLAN 1),
· puis le re-taggue avec un numéro de VLAN approprié (tag du VLAN 2),
· et enfin, route le paquet vers sa destination.
Autres mécanismes de sécurité
D’autres mécanismes de sécurité ont été apportés aux commutateurs, ces mécanismes étant devenus natifs dans les commutateurs de dernière génération :
· Désactivation d’un port inutilisé (protection contre un branchement pirate),
· Reconnaissance des adresses Ethernet des équipements terminaux (permet la reconfiguration automatique des ports Ethernet des commutateurs en cas de déplacement physique d’une machine),
· Détection du branchement / débranchement de machine, puis inactivation du port (évite le remplacement d’une machine par une autre),
· Association statique, dynamique ou semi-statique entre une adresse IP et une adresse Ethernet8,
· Enfin, certains commutateurs disposent de capacités de routages intégrées (on parle alors – abusivement - de commutateurs de niveau 3).
diffusion du protocole Ethernet : les trames Ethernet ne sont donc remises qu’à leur(s) seul(s) destinataire(s) et non pas à l’ensemble des machines présentes sur le segment Ethernet.
Ce mécanisme offre de nombreux avantages, tant en termes de performances qu’en termes de sécurité :
· L’écoute sur le réseau demeure particulièrement limitée : les seules trames pouvant être capturées sont les trames à destination de sa propre machine, celles que l’on émet soimême et les trames de broadcast.
· La bande passante disponible n’est pas partagée ; chaque équipement terminal dispose de la bande passante maximale puisqu’il est le seul à émettre et recevoir sur son propre segment physique.
· La sous-couche MAC (Medium Access Control), généralement matérialisée dans Ethernet par le protocole CSMA-CD, devient inutile sur les équipements terminaux :
du fait de la commutation des trames, c’est le commutateur qui gère les émissions de trames et donc les problèmes de collisions. Dans ce cas précis, on s’affranchit alors d’une sous-couche protocolaire, donc de temps de traitements. Lorsque l’on utilise un commutateur Ethernet, on associe à chaque port physique une et une seule machine.
Il est cependant possible de cascader un ou plusieurs concentrateurs sur un commutateur ; cette technique est souvent utilisée lorsque le nombre de ports Ethernet du commutateur est insuffisant au regard du nombre de machines à interconnecter, et ce en raison du coût plus élevé d’un commutateur. En termes de sécurité, mais également de performances, ce type d’architecture est à proscrire puisque l’on perd ici tous les avantages acquis par le choix d’un commutateur sur le segment réseau concerné (écoute essentiellement).
Notion de VLAN
Le principal intérêt que représente un commutateur par rapport à un concentrateur réside dans sa capacité à gérer des réseaux virtuels ou VLANs (Virtual Local Area Networks), logiquement étanches entre eux.
Les VLAN peuvent être déclarés essentiellement selon trois méthodes (ou combinaisons de ces trois méthodes) :
· Une liste de ports sur le commutateur.
· Une liste d’adresse d’un protocole de niveau 3 (IP,IPX…)
· Une liste d’adresses MAC
Ce mécanisme a été originellement créé afin d’éviter aux administrateurs réseaux une surcharge de travail lors de la migration physique d’une machine.
En effet, en supposant qu’une entreprise dispose de deux réseaux physiques indépendants, situés dans deux bâtiments distincts et qu’un utilisateur doivent déménager tout en restant raccordé à son réseau d’origine, les administrateurs de réseaux se verront obligé de tirer un câble supplémentaire entre les deux bâtiments :
La technologie des VLANs permet d’éviter une telle opération physique par une simple reconfiguration
de l’équipement actif. On définit alors sur les équipements autant de réseaux virtuels que nécessaire (deux dans notre exemple), puis on affecte, à chaque port, un ou plusieurs VLANs d’appartenance. Dans le cadre
d’un tel déménagement, la machine de l’utilisateur sera alors connectée sur un port libre du commutateur du nouveau bâtiment, puis l’administrateur réseau affectera à ce port le VLAN auquel l’utilisateur appartenait avant son déplacement.
Les principes de base de l’utilisation des VLANs se résument alors aux deux points suivants :
· Sur un commutateur, ou un ensemble de commutateurs, on définit une liste de réseaux virtuels
· En l’absence d’autres mécanismes (routage par exemple), les VLANs sont étanches entre eux : deux machines appartenant à deux VLANs différents ne peuvent pas communiquer directement même si elles disposent de la même plage d’adresse IP.
Routage inter-VLAN
Les commutateurs de niveau 2 ne savent pas gérer les échanges entre les VLANs, car cela impose de remonter dans les couches réseaux au niveau 3 (réseau). Cependant certains constructeurs proposent aujourd’hui ou à très court terme des commutateurs intégrant des fonctions de routage, y compris pour le routage inter-VLAN.
Il est cependant possible de réaliser du routage entre les différents VLANs à l'aide d'un routeur, en utilisant par exemple le protocole 802.1Q pour récupérer les informations de VLAN issus des commutateurs. Notons que, dans ce cas, le routage inter-VLAN n'a de sens, du point de vue de la sécurité, que si des filtres de paquets au niveau TCP/IP sont implémentés. Ainsi, lorsqu’un routeur réceptionne un paquet d’un VLAN 1 à destination d’un VLAN 2 :
· il vérifie que cette communication est autorisée (par consultation de ses listes à contrôle d’accès éventuelles),
· il dé-taggue le paquet (suppression du tag du VLAN 1),
· puis le re-taggue avec un numéro de VLAN approprié (tag du VLAN 2),
· et enfin, route le paquet vers sa destination.
Autres mécanismes de sécurité
D’autres mécanismes de sécurité ont été apportés aux commutateurs, ces mécanismes étant devenus natifs dans les commutateurs de dernière génération :
· Désactivation d’un port inutilisé (protection contre un branchement pirate),
· Reconnaissance des adresses Ethernet des équipements terminaux (permet la reconfiguration automatique des ports Ethernet des commutateurs en cas de déplacement physique d’une machine),
· Détection du branchement / débranchement de machine, puis inactivation du port (évite le remplacement d’une machine par une autre),
· Association statique, dynamique ou semi-statique entre une adresse IP et une adresse Ethernet8,
· Enfin, certains commutateurs disposent de capacités de routages intégrées (on parle alors – abusivement - de commutateurs de niveau 3).