VLAN, routage et segmentation

La segmentation consiste à séparer les réseaux pour réduire les mouvements non nécessaires. VLAN, routage et filtrage permettent d'organiser cette séparation.

Pourquoi segmenter

Un réseau plat facilite les déplacements latéraux. Si un poste utilisateur compromis peut joindre tous les serveurs, imprimantes, interfaces d'administration et sauvegardes, l'incident peut vite s'étendre.

La segmentation aide à :

• limiter l'exposition
• réduire les mouvements latéraux
• isoler les invités
• protéger l'administration
• séparer les environnements
• clarifier les flux autorisés

VLAN

Un VLAN sépare logiquement un réseau de niveau 2.

VLAN 10 : utilisateurs
VLAN 20 : serveurs
VLAN 30 : invités
VLAN 40 : administration

Les machines de VLAN différents ne communiquent pas directement sans routage ou filtrage.

Routage

Le routage permet à des réseaux différents de communiquer. Une passerelle ou un routeur décide où envoyer les paquets.

ip route
traceroute example.com

Une segmentation utile ne repose pas seulement sur des VLAN. Il faut aussi contrôler les flux entre les segments.

Filtrage inter-VLAN

Le filtrage définit quels flux sont autorisés.

Exemple logique :

Le modèle doit suivre les besoins réels, pas l'habitude du "tout ouvert".

Zones classiques

• utilisateurs
• serveurs
• administration
• invités
• sauvegardes
• supervision
• DMZ
• développement
• production

Risques fréquents

• VLAN créés mais filtrage absent
• règles trop larges
• réseau invité trop permissif
• interfaces d'administration accessibles partout
• sauvegardes joignables par tous les postes
• absence de documentation des flux
• règles anciennes jamais nettoyées

Bonnes pratiques

• documenter les zones
• autoriser seulement les flux nécessaires
• isoler l'administration
• isoler les invités
• protéger les sauvegardes
• journaliser les refus importants
• revoir les règles régulièrement
• tester depuis chaque segment