Vos Avis: Wifi et DMZ sur des VLAN ?

jackos

Bonjour,

Contexte : autodidacte / pfsense 2.2.2 / switch manageable
j'ai débuté (sous ipcop) et suis depuis avec 3 pattes => Wan/WIFI/LAN (parfois 4 => Wan/WIFI/DMZ/LAN)
je découvre depuis quelques semaines les vlans pour séparer quelques services de la société.

Questions : Vous arrivent t'ils de mettre le wifi sur un vlan (et/ou le dmz) ou préférez vous vraiment les différencier physiquement ?

Pourquoi
les plus :

• moins de cablages
• moins de switchs
• moins d'onduleur
• moins de serveurs si ils sont virtualisé (ex proxmox)

les moins :

• si une mauvaise configuration des switch/proxmox cela rend perméable les diférents reseaux
• si une faille de sécurité sur un équipement existe
• si … vos argumentations!!!

c'est pas vraiment un  problème mais plutot un retour d'experience
Cordialement

Jack

ccnet

Il n'y a pas de réponse univoque à vos questions. Tous ces choix se font selon un niveau de sécurité requis et éventuellement des contraintes réglementaires. Un réseau CD par exemple ne peut comporter de wifi.
Typiquement les réseaux wifi sont souvent isolés dans un ou plusieurs vlan (un par SID par exemple). On peut imaginer (et pratiquer) que différentes dmz sont mises en œuvre dans des vlans différents.
Dans d'autres situations les différentes dmz sont segmentées, délimités par des firewalls physiques différents installés en coupure. Ces deux cas de figures ne s'excluant pas.
Tout cela va dépendre principalement ce la politique de sécurité du SI et des directives techniques de mise en œuvre. Du moins lorsque celle ci existe. Il faut comprendre que ces choix ne sont pas fait a priori (c'est mieux, c'est moins bien) mais en fonction d'objectifs de sécurité propres à une organisation.
Décrire les avantages et inconvénients n'est pas non plus juste mettre oui ou non dans des cases. De fait ce qui est un avantages pour une entreprise est un inconvénient pour une autre. La complexité de gestion est à la porté d'une entreprise et pas d'une autre, par exemple. Les enjeux et risques inhérents à l’erreur humaine sont variables d'une organisation à l'autre.

Endast

HS : un réseau CD ? Qu'est-ce que c'est ?

ccnet

Confidentiel défense. On peut obtenir ce type d'homologation qui est le niveau le plus bas. Elle est délivrée par le Haut Fonctionnaire de Défense (HFDS).

jackos

@Endast:

HS : un réseau CD ? Qu'est-ce que c'est ?

J'osais pas poser la question  ::)

merci de votre point de vue ccnet.

chris4916

Pour compléter la réponse déjà très claire de ccnet, il ne faut pas non plus négliger les aspects de performance.

Si les VLAN doivent tous être isolés les uns des autres, il n'y a généralement pas ce type de soucis (performance) mais dès lors que tu vas mettre en œuvre des VLAN pour des environnements hébergeant des services partagés pour plusieurs VLANs (par exemple un datacentre)  il va falloir, idéalement, faire du trunking pour supporter le lien inter-VLAN. Le bon dimensionnement des routeur de niveau 3 est important (je ne dis pas qu'il y a forcément un bottleneck mais qu'il faut y penser).

De même dans un environnement compartimenté via des VLANs, il est parfois utile voir indispensable de se ménager un ou des VLAN dédiés à des fins d'administration  ;)