Bonsoir, La solution d’avoir un tunnel IPSec entre les PC et un concentrateur IPSec a l’entrée des zone a protéger me semble plus pérenne, en cas de réorganisation ton infra ne change pas et tes user peuvent travailler de n’importe quel bureau.
Bonne soirée Envoyé de mon iPhone > Le 5 nov. 2019 à 18:46, [email protected] a écrit : > > C’est surement un peu lourd mais bon c’est propre : > > UTM à chaque extrémité qui gère ta sécurité, tes VLAN + un service > d’authentification avec timeout car détaggé le soir je n’y crois pas. > > Et tu peux prolonger tes VLAN entre les UTM et mettre un user sur un VLAN > selon sont authentification. > > > > > Xavier > > > > > > De : DUVERGIER Claude <[email protected]> > Envoyé : mardi 5 novembre 2019 18:16 > À : [email protected] > Objet : [FRnOG] [TECH] Authentification entre 2 switchs pour trunk VLAN ? > > > > Bonjour la liste, > > Je recherche un moyen/système d'authentification entre 2 switchs histoire de > limiter la diffusion de VLANs taggés dans un environnement semi-hostile (un > open-space) : est-ce quelque chose qui existe ? > > Suite à une restructuration, une équipe initialement située dans un bureau > avec porte (qui ferme à clé) va se retrouver dans un open-space. > > Le problème est que cette équipe est amenée à se connecter à différents VLANs > (administration réseau, téléphonie, etc. pour provisionnement, configuration, > etc.). Jusqu'à présent cela ne posait pas trop de problème vu que le bureau > fermait : on taggait des ports du switch (id. switchPrincipal) où étaient > brassés les prises RJ45 du bureau. > Mais si les prises arrivent dans l'open-space, accessible à tous, laisser des > prises RJ45 taggées vers ces VLANs à la portée du premier venu ne m'enchante > guère. > > Je me disais que je pourrais, sur switchPrincipal, définir comme trunk VLAN > un port (en le liant à tous les VLANs nécessaires), y brasser une prise RJ45 > sur laquelle je connecte un "petit" switch (id. switchTable) qui sera posé > sur le bureau de l'équipe. > > En donnant aux membres de l'équipe accès à la configuration de switchTable : > ils pourront tagger/détagger leurs ports de bureau respectifs pour faire leur > interventions (et à leur charge de détagger leurs ports le midi/soir en > partant). > > Le problème c'est que le premier venu peut toujours débrancher switchTable , > brancher un ordi et avoir accès à tous les VLANs... > Donc je recherche un moyen pour que switchPrincipal n'ouvre le trunk (eg. ne > "délivre" le trafic des VLANs) que s'il est sûr d'avoir switchTable en face > de lui (via une "authentification" par secret partagé par exemple). > Un genre de 802.1X "light" entre les 2 switchs ? > > Ou alors, solution plus "radicale" : je mets switchTable dans un boîtier > métallique fermé à clé ne laissant que sortir des câbles déjà branchés tout > en empêchant la possibilité d'en brancher de nouveaux (sans déverrouiller le > boîtier) : ça existe ? > > Merci d'avoir lu jusque là :) > > -- > DUVERGIER Claude > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
