Bonjour,
j'aurai besoin d'informations reseau/sécurité.
Nous sommes en train d’étudier le changement de nos équipements LAN.
Pour limiter les risques, nous partirions sur une évolution de l'infrastructure avec deux coeurs de réseau situés dans des baies différentes.
 
Lors d'un éclatement des cœurs réseau, on ne peut plus relier les modems/routeurs accés WAN directement à nos 2 Firewalls en Haute disponibilité.  
 
Dans ce cas la, deux solutions sont envisagées :
1 - Les différents vlan d'interco des accés WAN passent par des vlan intercoeur  
2 - Un commutateur physique spécialisé accés WAN est ajouté dans chaque baie des cœurs reseau. Ces deux commutateurs, même si ils sont dans des baies differentes, seraient stacké a l'aide de deux fibres optiques. Chaque commutateurs serait relié a notre reseau via les Firewall de chaque baie.
 
Le deuxième choix nous contraint a tirer 2 nouvelles fibres entre nos baies.
 
Les liens interco des WAN, bien que chacun isolés dans des VLAN séparés, cela exposerait-il notre coeur de réseau a des attaques de type déni de service (exemple ARP SPOOFING).
N’étant pas expert en sécurité, ce type d'attaque est il envisageable ?  
Même si le deuxième choix semble plus complexe et coûteux, s'agit il d'une préconisation "standard" ?

 
Non si tes switchs ne font que du niveau 2, il n'y a pas d'ARP. Dans tous les cas ARP est un protocole qui fonctionne sur un segment L2 donné donc sauf si tu crains une attaque de la part de ton FAI...
 
 

 
non
 

 
non

pardon, ok pour l'arp
 
Sur les commutateurs, il y a bien une table PORT--> MAC
si mes souvenir sont bon, il y a bien aussi une technique de deny de service "MAC SPOOFING".
de plus en lisant ceci, ce n'est pas l'avis de l'anssi
https://www.ssi.gouv.fr/uploads/201 [...] ateurs.pdf
page 28/75
 
"Il est tout de même important de noter que si la technologie est éprouvée, elle n’a pas été conçue
dans le but d’améliorer la sécurité des SI. De plus, des réglementations imposent un cloisonnement
physique des réseaux dans certains cas d’usage, le cloisonnement physique étant la méthode de
cloisonnement la plus sécurisée."
 
mais ils n'expliquent pas les cas d'usage, par exemple "quand vous faite du routage inter vlan".

 
même chose que pour l'ARP, la table MAC n'est manipulable que depuis le LAN, le seul cas où tu dois t'inquiéter de ça c'est si tu crains une attaque de la part de ton FAI, auquel cas tu as des problèmes plus importants à gérer.
 
 

 
L'argument est un peu vide de sens, dans la pratique sur un réseau bien administré il n'y a pas de risque spécifique à avoir différents vlans plutôt que différents switchs.
Le seul risque induit par cette pratique c'est l'opérateur à gros doigts qui va faire n'importe quoi. Mais la solution à ça n'est pas forcément de rajouter du matériel, et ajouter du matériel a aussi un coût, donc dans la pratique je pense que c'est rarement une bonne solution.

merci "Ivy gu"
avoir des commutateurs spécialisés ne me semble pas pratique a administrer
Il y a aussi un manque de souplesse, les ports de libres sur ceux ci ne peuvent être réutilisé pour d'autre fonction.