Segmenter le réseau avec des VLAN : pourquoi et comment
Tout avoir sur un même réseau plat est pratique… jusqu'à ce que quelque chose soit infecté. Les VLAN limitent les dégâts.
Un réseau plat signifie que n'importe quel appareil peut communiquer avec n'importe quel autre. Si une machine tombe, l'attaquant se déplace librement à travers tout le réseau.
L'idée
Un VLAN divise un seul commutateur physique en réseaux logiques isolés. Le trafic de l'un n'atteint pas l'autre, sauf s'il passe par un routeur/pare-feu où vous définissez les règles.
Un schéma typique pour une petite entreprise
- VLAN 10 — Bureau : postes de travail.
- VLAN 20 — Serveurs : accès restreint.
- VLAN 30 — Invités / WiFi : Internet oui, réseau interne non.
- VLAN 40 — IoT / caméras : aussi isolé que possible.
La clé
La segmentation ne fonctionne que si le pare-feu entre les VLAN refuse par défaut et que vous n'autorisez que les flux nécessaires (par exemple, bureau → serveur sur le port spécifique, et rien d'autre).
Segmenter n'empêche pas l'intrusion ; cela empêche qu'on prenne tout si elle a lieu.