[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] 1 switch et 2 sous réseaux



2005/12/15, Pascal@plouf <pascal.mail@plouf.fr.eu.org>:
Salut,

Gilles Mocellin a écrit :
> Le Jeudi 15 Décembre 2005 22:02, pingouin osmolateur a écrit :
>
>>Est-ce qu'il est possible de mettre 2 sous réseaux
>>(par exemple 192.168.2.0/24 et 192.168.1.0/24) avec
>>les ports des machines connectés sur le même switch.
>>Chaque sous-réseau ayant sa propre passerelle.
>>Mon but étant de récupérer des ports libres sur le
>>switch.
>>
>>Comme le switch est un équipement de la couche 2 cela
>>ne devrait pas poser problème.

En effet. Un switch se fiche de l'adressage IP (ou IPv6, IPX ou ce qu'on
veut) comme de l'an 40.

>>Qu'en dites vous ?
>
> Pas de problèmes, il faudra bien un routeur pour que les deux réseaux
> puissent communiquer.

Pas nécessairement.

>>Si cela fonctionne y'a t-il des problèmes de sécu ?
>
> Oui, on peut écouter l'autre réseau en mode promiscuous, il suffit de
> saturer le switch (voir Ettercap).

Pour faire simple, la division en sous-réseaux IP ne change rien : si
tout le monde est sur le même réseau physique, tout le monde peut
communiquer avec tout le monde, sous-réseaux IP ou pas.

>>Est-ce que la mise en place de vlan amélioré la chose,

Si VLAN en interne au niveau du switch, oui : tu pourras ainsi isoler
les deux sous-réseaux IP sur deux réseaux ethernet physiques distincts,
sauf faille du switch. Par contre si c'est juste du VLAN taggué 802.1q
entre machines, ça n'apporte rien puisqu'il n'y a toujours qu'un seul et
même réseau physique.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org


Oui c'est possible.
Ca ne pose meme aucun probleme pour renvoyer sur deux passerelles differentes.
Par contre coté secu, il est effectivement possible de bidouiller des choses pour un utilisateur d'un des deux rezo dans le but d'arriver sur le deuxieme.
Mais cela demande d'une part quelques connaissances informatiques, de savoir qu'il y a bien deux rezo, et que par chance il passent par le meme rezo physique. D'autre part, cela sous entend que la personne qui voudrait le faire est obligatoirement admin de son poste pour lancer de tels outils, que le poste soit en win, unix, ou solaris.
Comme dit plus haut, si t'es un brin parano, tu fera effectivement deux VLAN à condition que ton switch soit administrable et capable de faire du vrai VLAN, tes deux rezo seront avec un masque de sous reseau different histoire de compliquer encore un peu la tache d'un eventuel utilisateur pas sympa. Et tes deux passerelles n'accepterons que les connexions de leur rezo respectif en dropant tout packet venant du deuxieme rezo, avec log, et alerte aux admins si un packet de l'autre rezo arrive. Mode parano OFF, et bonne journée ;)
Reply to: